目录
一、SpringSecurity环境搭建
这里需要阐述一下的是,每一个框架的出现都是为了解决某一问题而产生了,那么Spring Security框架的出现是为了解决什么问题呢?
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。
Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求
从官网的介绍中可以知道这是一个权限框架。想我们之前做项目是没有使用框架是怎么控制权限的?对于权限 一般会细分为功能权限,访问权限,和菜单权限。代码会写的非常的繁琐,冗余。
怎么解决之前写权限代码繁琐,冗余的问题,一些主流框架就应运而生而Spring Scecurity就是其中的一种。
1、安全模块应该在什么时候考虑:设计之初!
- 非功能性需求
- 漏洞,隐私泄露
- 架构一旦确定,就不好更改了
2、市面上存在比较有名的:Shiro,Spring Security !:
- shiro比springSecurity早出
- 二者很像,都具有认证、授权功能
3、MVC-Spring-SpringBoot 一路在简化
如果你对过滤器、拦截器特别熟悉,不需要框架就可以自己写出来这些功能。
但如果不够熟练,这个框架里的功能,如果自己用拦截器实现,代码量要多10倍。
二、用户认证和授权
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!
记住几个类:
-
WebSecurityConfigurerAdapter:自定义Security策略
-
AuthenticationManagerBuilder:自定义认证策略
-
@EnableWebSecurity:开启WebSecurity模式
Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。
1、引入 Spring Security依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
<version>2.3.2.RELEASE</version>
</dependency>
2、编写 Spring Security 配置类
这是样板方法
// AOP:拦截器
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// http模版实现方法
@Override
protected void configure(HttpSecurity http) throws Exception {
// 首页所有人都能访问,功能页只有对应权限的人才能访问
// 链式编程
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
// 没有权限默认会到登录页面,这个登录页面是框架自带的
http.formLogin();
}
3、定制请求的授权规则
查看formLogin的源码,这个框架自带了默认的登陆页面,登录名密码,登录失败页面。
4、在configure()方法中加入以下配置,开启自动配置的登录功能!
// 开启自动配置的登录功能
// /login 请求来到登录页
// /login?error 重定向到这里表示登录失败
http.formLogin();
5、测试一下
发现,没有权限的时候,会跳转到登录的页面!
6、我们可以定义认证规则
重写configure(AuthenticationManagerBuilder auth)方法
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
// 方式一:内存获取用户
auth.inMemoryAuthentication()
// 官方推荐的是使用bcrypt加密方式,也可以使用java原生的base64加密
.passwordEncoder(new BCryptPasswordEncoder())
.withUser("kuang").password(new BCryptPasswordEncoder().encode("123")).roles("vip1")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip2")
.and()
// 若密码不加密,会报错There is no PasswordEncoder mapped for the id “null”
.withUser("guest").password("123").roles("vip3");
// 方式二:从数据库获取用户
}
7、测试
发现,登录成功,并且每个角色只能访问自己认证下的规则!搞定
三、注销及权限控制
1、开启自动配置的注销的功能
我们想让他注销成功后,依旧可以跳转到首页,该怎么处理呢?
// 登出功能,配置跳转到首页
http.logout().logoutSuccessUrl("/");
2、我们在前端,增加一个注销的按钮,index.html 导航栏中
<a class="item" th:href="@{/logout}">
<i class="address card icon"></i> 注销
</a>
我们可以去测试一下,登录成功后点击注销,发现注销完毕会跳转到登录页面!
3、关闭防止csrf跨站请求伪造
如果注销404了,就是因为它默认防止csrf跨站请求伪造,因为会产生安全问题,我们可以将请求改为post表单提交,或者在spring security中关闭csrf功能;
// 关闭跨站请求伪造,防止404
http.csrf().disable();
四、记住我
现在的情况,我们只要登录之后,关闭浏览器,再登录,就会让我们重新登录,但是很多网站的情况,就是有一个记住密码的功能,这个该如何实现呢?很简单
1、开启记住我功能
// 开启记住我功能,在cookie中存储登录信息,默认保存2周
http.rememberMe();
2、如何实现的呢?其实非常简单
我们再次启动项目测试一下,发现登录页多了一个记住我功能,我们登录之后关闭 浏览器,然后重新打开浏览器访问,发现用户依旧存在!
我们可以查看浏览器的cookie
3、我们点击注销的时候,可以发现,spring security 帮我们自动删除了这个 cookie
五、首页定制
现在这个登录页面都是spring security 默认的,怎么样可以使用我们自己写的Login界面呢?
1、在刚才的登录页配置后面指定 loginpage
// 定制我的首页
http.formLogin().loginPage("/toLogin")
// 登陆表单提交请求路径
.loginProcessingUrl("/login")
.usernameParameter("kuang")
.passwordParameter("123");
// 定制记住我的参数
http.rememberMe().rememberMeParameter("remember");
2、前端同步修改
然后前端也需要指向我们自己定义的 login请求
<a class="item" th:href="@{/toLogin}">
<i class="address card icon"></i> 登录
</a>
在登录页增加记住我的多选框
<input type="checkbox" name="remember"> 记住我
3、我们登录,需要将这些信息发送到哪里,我们也需要配置
login.html 配置提交请求及方式,方式必须为post:
在 loginPage()源码中的注释上有写明: