Spring Security 入门

最新推荐文章于 2021-08-05 16:48:27 发布
最新推荐文章于 2021-08-05 16:48:27 发布
阅读量4.5k 收藏 1
点赞数 2
分类专栏: java 文章标签: spring SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42295733/article/details/104112522
版权

Spring-Security

本文测试所用demo资源已上传:https://download.csdn.net/download/qq_42295733/12125241
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

官网:https://www.springcloud.cc/spring-security.html

导入依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>

用户授权和认证

路由控制

@Controller
public class RouterController {
    @RequestMapping({"/","/index","/index.html"})
    public String index() {
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin() {
        return "/views/login";
    }

    @RequestMapping("/level1/{id}")
    private String level1(@PathVariable("id") int id) {
        return "/views/level1/" + id;
    }

    @RequestMapping("/level2/{id}")
    private String level2(@PathVariable("id") int id) {
        return "/views/level2/" + id;
    }

    @RequestMapping("/level3/{id}")
    private String level3(@PathVariable("id") int id) {
        return "/views/level3/" + id;
    }

}

到目前为止,我们的WebSecurityConfig仅包含有关如何验证用户身份的信息。Spring Security如何知道我们要求所有用户都经过身份验证?Spring Security如何知道我们想要支持基于表单的身份验证?原因是WebSecurityConfigurerAdapterconfigure(HttpSecurity http)方法中提供了一个默认配置

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //首页所有人可以访问,功能页只有对应有权限的人才能访问
        http
                .authorizeRequests().antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限就会默认到登陆页面
        http.formLogin();

    }
}

上述规定了各个级别角色所能访问的页面,运行测试一下

在这里插入图片描述
在这里插入图片描述

未分配角色前,点击任意一个页面后,自动在url后添加/login,这便是我们的配置生效了

现在继续重写一个方法protected void configure(AuthenticationManagerBuilder auth)

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    //此处采用内存验证用户账号密码,也可以用数据库
    auth.inMemoryAuthentication()//各个用户分配角色权限
            .withUser("lizeyu").password("111111").roles("vip2", "vip3")
            .and()
            .withUser("root").password("111111").roles("vip1", "vip2", "vip3")
            .and()
            .withUser("guest").password("111111").roles("vip1");
}

运行后会发现报一个错误

采用普通用户登录

在这里插入图片描述

在这里插入图片描述

提醒我们密码需要设置加密,完整代码如下

//认证:springboot 2.1.X 可以直接使用
//密码编码:PasswordEncoder()
//在spring security 5.0+,新增了很多的加密方法
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
            .withUser("lizeyu").password(new BCryptPasswordEncoder().encode("111111")).roles("vip2", "vip3")
            .and()
            .withUser("root").password(new BCryptPasswordEncoder().encode("111111")).roles("vip1", "vip2", "vip3")
            .and()
            .withUser("guest").password(new BCryptPasswordEncoder().encode("111111")).roles("vip1");
}

再次运行依然是普通用户登录,访问level1下的目录,由上可知是vip1角色才可以

在这里插入图片描述

这样目的达到,OJBK

增加注销功能

//注销
http.logout();

采用semantic-ui作为样板

<link href="https://cdn.bootcss.com/semantic-ui/2.4.1/semantic.min.css" rel="stylesheet">

<!--注销-->
    <a class="item" th:href="@{/logout}">
       <i class="sign-out icon"></i>注销
    </a>

测试

在这里插入图片描述

在这里插入图片描述
注销成功,OJBK

如果我们想让注销后跳到首页:

//注销,开启了注销功能,跳到首页
http.logout().logoutSuccessUrl("/");

为实现不同权限的用户仅显示自己拥有权限的页面,我们引入thymeleaf与secrity整合的包

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
    <version>3.0.4.RELEASE</version>
</dependency>

导入sec命名空间

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"

实现未登录仅显示登录按钮,登录成功显示用户名和注销按钮

				<!--如果未登录-->
                <!--Authenticated 表示用户已经认证-->
                <div sec:authorize="!isAuthenticated()">
                    <!--未登录-->
                    <a class="item" th:href="@{/toLogin}">
                        <i class="address card icon"></i> 登录
                    </a>
                </div>

                <!--如果已经登录-->
                <div sec:authorize="isAuthenticated()">
                    <a class="item">
                        用户名:<span sec:authentication="name"></span>
                    </a>
                </div>

                <div sec:authorize="isAuthenticated()">
                    <!--注销-->
                    <a class="item" th:href="@{/logout}">
                        <i class="sign-out icon"></i>注销
                    </a>
                </div>

在这里插入图片描述

此时会发现一个问题,我们注销后无法返回首页,会进入到一个404页面,可能原因是我们采用的提交请求是get,security会认为明文传输不安全,自动帮我们屏蔽,这时我们不能觉得我们代码错了,而是配置问题

在这里插入图片描述

//关闭防止网站攻击
http.csrf().disable();

OJBK

实现不同权限用户不同页面

sec:authorize="hasRole('vip2')"          <!--加入显示标签内即可-->

在这里插入图片描述

这样我们的权限控制就完成了

记住我功能实现

//记住我功能实现
http.rememberMe();

在这里插入图片描述

定制我们的登录页面

//定制登陆页面
http.formLogin().loginPage("/toLogin");

ok!

在自定义登录界面添加记住我按钮

//自定义记住我标签的name
http.rememberMe().rememberMeParameter("remember");

<div class="field">
   <input type="checkbox" name="remember-me">记住我
</div>

如果不自定义记住我的参数,观看源码可知默认的参数名为remember-me,即可自动后台帮我们设置cookie中记住我的参数

本部分只是对SpringSecurity初步的入门讲解,真正企业开发整合:https://www.cnblogs.com/cao-lei/p/13298394.html

学习资源:https://blog.csdn.net/qq_42640067/article/details/113062222

nan feng
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SpringBoot 引入 Spring Security 备忘
nangongyanya的专栏
08-28 2174
1、引入 Spring Security Maven 依赖 <!-- SpringBoot 集成 Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-se...
QXDM与QPST使用小结
12-05
QXDM与QPST使用总结,可以参考看看。
Spring Security 3 安全权限管理手册(最新)
01-05
Spring Security 3 安全权限管理手册(最新) Spring Security 3 安全权限管理手册(最新)
SpringSecurity学习一 快速开始
YellowShite的博客
05-21 233
simple 简单的SpringSecurity部署,仅从内存里配置用户数据。 项目源码gitte地址: https://gitee.com/xiang_Gitee/spring-security-learn(子工程simple) 推荐博文: 手把手带你入门 Spring SecuritySpring Security 入门原理及实战 干货|一个案例学会Spring Security 中使用 JWT 必要依赖 <dependency> <groupId>org.sp
【计算机网络】IPsec(IP Security)简介
guaishounan的博客
03-01 4270
本文主要介绍: 1.IPsec的作用。 2.为 IPsec 服务的三个协议:IKE(Internet Key Exchange),ESP(Encapsulating Security Protocol)和AH(Authentication Header) 其中,IKE用来保证密钥的安全传输、交换以及存储,主要是对密钥进行操作,并不对用户的实际数据进行操作,ESP(Encapsulating Security Protocol)和 AH(Authentication Header)主要工作保护数据安全,
Spring Security入门
04-11
**Spring Security 入门** Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用和Web应用程序中。它为开发者提供了安全功能,包括用户认证、授权、会话管理以及防止常见...
spring security 入门demo
08-11
在这个"Spring Security 入门demo"中,我们将会探讨一系列关键概念和功能,通过提供的压缩包文件,我们可以看到不同方面的实现示例。 1. **Spring Security RESTful服务**: - `spring-security-rest-full` 模块...
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
Spring Security-2.0入门教程
shangchm
06-05 230
Spring Security-2.0入门教程 欢迎阅读咱们写的Spring Security教程,咱们既不想写一个简单的入门教程,也不想翻译已有的国外教程。咱们这个教程就是建立在咱们自己做的OA的基础上,一点一滴总结出来的经验和教训。 首先必须一提的是,Spring Security出身名门,它是Spring的一个子项目http://static.springsource.or...
快速了解Java 8 新特性
南风的博客
03-12 9339
Java8新特性 Lambda表达式的使用 举例: (o1,o2) -> Integer.compare(o1,o2); 格式: ​ -> :lambda操作符 或 箭头操作符 ​ -> 左边:lambda形参列表(其实就是接口中抽象方法的形参列表) ​ -> 右边:lambda体(其实就是重写的抽象方法的方法体) lambda表达式的使用:(分为6种情况介绍) 语法格式一:无参,无返回值 Runnable r = () -> System.out.printl
SpringSecurity登录中的密码加密与验证
南风的博客
08-04 8750
PasswordEncoder是Spring Security提供的一个接口,称它为密码解析器,这个接口主要是处理密码的。源码如下: public interface PasswordEncoder { /** * Encode the raw password. Generally, a good encoding algorithm applies a SHA-1 or * greater hash combined with an 8-byte or greater randomly ge
多线程入门
南风的博客
03-29 7595
多线程 感谢狂神说 java --秦疆老师的教学,教学视频地址 创建线程方式一 //创建线程方式一: 继承Thread类,重写run()方法,调用start开启线程 public class ThreadDemo extends Thread { @Override public void run() { //run方法线程体 for (int i = 0; i < 20; i++) { System.out.println("我在看" + i);
注解与反射
南风的博客
08-05 6935
文章目录注解1.什么是注解2.常用的注解3.自定义注解反射1.Class类的常用方法2.类的加载与ClassLoader的理解3.什么时候会发生类的初始化4.类加载器5.获取运行时类的完整结构6.动态创建对象,通过反射7.反射操作注解 注解 1.什么是注解 Java 注解(Annotation)又称 Java 标注,是 JDK5.0 引入的一种注释机制。 Java 语言中的类、方法、变量、参数和包等都可以被标注。和 Javadoc 不同,Java 标注可以通过反射获取标注内容。在编译器生成类文件时,标注可
SpringBoot基础
南风的博客
01-30 6529
配置文件 SpringBoot使用一个全局的配置文件 , 配置文件名称是固定的 application.properties 语法结构 : key=value application.yml 语法结构 :key:空格 value YAML配置文件是官方推荐的配置方式:YAML语法 基础语法: k:(空格) v 以此来表示一对键值对(空格不能省略);以空格的缩进来控制层级关系...
十分钟掌握Swagger
南风的博客
01-30 4963
Swagger Swagger简介 号称世界上最流行的Api框架 Restful Api文档在线自动生成工具=》Api文档与Api定义同步更新 直接运行,可以在线测试API接口 支持多种语言 官网:https://swagger.io/ 在项目中使用Swagger需要SpringBox: swagger2 ui SpringBoot集成Swagger 新建一个web项目 导入相关依赖 ...
springsecurity入门
最新发布
09-13
Spring Security是一个用于身份验证和授权的框架,在Spring项目中提供了一套强大的安全性解决方案。以下是你入门Spring Security的步骤: 1. 添加Spring Security依赖:在你的项目中,通过Maven或Gradle添加Spring Security的依赖。例如,在Maven中,你可以添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个配置类来配置Spring Security。这个配置类需要继承`WebSecurityConfigurerAdapter`类,并覆盖`configure`方法。例如,你可以创建一个类叫做`SecurityConfig`: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 允许公共访问的URL .anyRequest().authenticated() // 其他URL需要身份验证 .and() .formLogin() // 启用表单登录 .loginPage("/login") // 自定义登录页面URL .permitAll() .and() .logout() // 启用注销 .permitAll(); } } ``` 上述配置中,我们定义了哪些URL是公开访问的,哪些URL需要身份验证,以及自定义了登录和注销的相关配置。 3. 创建用户服务:在上面的配置类中,你需要定义一个用户服务来获取用户的身份验证信息。这可以通过实现`UserDetailsService`接口来完成。你可以创建一个类叫做`UserService`来实现这个接口,并重写`loadUserByUsername`方法: ```java @Service public class UserService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 从数据库或其他数据源中获取用户信息 // 然后返回一个实现了UserDetails接口的类,代表用户的身份验证信息 // 例如,你可以使用Spring Security提供的User类 return User.builder() .username(username) .password("password") .roles("USER") .build(); } } ``` 上述代码中,我们简单地返回了一个固定的用户信息,实际应用中你需要从数据库或其他数据源中获取真实的用户信息。 4. 配置密码编码器:为了安全起见,你需要对用户密码进行编码。在上述的配置类中,通过重写`configure`方法来配置密码编码器。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService).passwordEncoder(passwordEncoder()); } // 其他配置... } ``` 上述代码中,我们使用了`BCryptPasswordEncoder`来对密码进行编码。 这些是入门Spring Security的基本步骤。当你完成了上述配置后,你的应用程序将需要进行身份验证,并且可以通过URL保护来限制访问。你可以根据需要进一步自定义和扩展Spring Security的功能。希望这能帮助到你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nan feng

打赏一杯咖啡吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值