SpringBoot整合Security(一)

最新推荐文章于 2024-06-27 11:53:28 发布

qq_37705525

最新推荐文章于 2024-06-27 11:53:28 发布

阅读量520

点赞数

分类专栏： springboot 文章标签： spring boot java 安全

本文链接：https://blog.csdn.net/qq_37705525/article/details/125244341

版权

springboot 专栏收录该内容

32 篇文章 2 订阅

订阅专栏

SpringBoot整合Security

1 依赖
2 MySecurityConfig
3 权限控制

1 依赖

     <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>      
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
            <version>3.0.4.RELEASE</version>

2 MySecurityConfig

@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);
        http.csrf().disable();
        http.authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .antMatchers("/hello").hasRole("USER")
                .antMatchers("/user/**").hasAnyRole("USER")
                .anyRequest() 
                .authenticated() 
                .and()
                .formLogin().loginPage("/login")
                .usernameParameter("user")
                .passwordParameter("pwd")
                .defaultSuccessUrl("/hello").failureUrl("/login?logout").permitAll()
                .and()
                .exceptionHandling().accessDeniedPage("/403")
                .and()
                .logout().logoutSuccessUrl("/login?logout").permitAll();
                .and()
                .csrf().disable().headers().frameOptions().disable(); 
        http.rememberMe().rememberMeParameter("remember");
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //super.configure(auth);
        auth.inMemoryAuthentication()
                .passwordEncoder(new BCryptPasswordEncoder())
                .withUser("zs").password(new BCryptPasswordEncoder().encode("123456")).roles("USER");
    }
}

3 权限控制

按照常规来说，不同的人进入首页后应该显示不同权限所显示的内容这个时候我们就需要thymeleaf与Security的整合
首先在页面中导入thymeleaf-Security的命名空间

 xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"

    <!--登录注销-->
           <div class="right menu">
               <!--未登录  显示登录按钮-->
               <div sec:authorize="!isAuthenticated()">
               <a class="item" th:href="@{/toLogin}">
                   <i class="address card icon"></i> 登录
               </a>
               </div>
              <!-- 已登录 显示注销 和用户信息-->
               <div sec:authorize="isAuthenticated()">
                   <a class="item">
                       用户名：<span sec:authentication="name"></span>&nbsp;
                       权限：<span sec:authentication="principal.Authorities"></span>
                   </a>
               <a class="item" th:href="@{/logout}">
                   <i class="sign out icon"></i> 注销
               </a>
               </div>

核心是这句判断，
IsAuthenticated 属性是一个布尔值，指示当前用户是否已通过身份验证（已登录）
明白了这个属性的作用就等于理清了我们上面的思路
登录之后有了登录角色的信息

接下来就是思考 vip不同等级的人应该有不同的展示页面

将对应的语句放在对应权限才能访问的页面的第一个div标签中进行判断 hasRole：拥有了角色在这我们可以理解为拥有的权限大致意思就是有vip1权限就显示vip1的内容以此类推设置完成后进行测试访问没有登陆的情况下我们没有任何权限所以不显示任何内容

记住我
上图就是设置与否的区别这里的记住我的功能相当于是将cookie保存了起来即使我们页面关闭也不会丢失 cookie有效期为

注销
使用自己的登录页面完成注销功能会有一个404的错误这是Secruity自动开启了CSRF的脚本攻击校验我们只需要关闭它即可
http.csrf().disable();

注意 security的配置文件中使用.defaultSuccessUrl(“/hello”)