超详细——SpringBoot整合Spring Security

最新推荐文章于 2024-05-01 14:27:11 发布
最新推荐文章于 2024-05-01 14:27:11 发布
阅读量952 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43080741/article/details/114138169
版权

简介

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。

Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。

SpringBoot底层默认的安全框架技术选型就是Spring Security,我们只需要简单的配置即可实现安全管理。

特征

  • 全面和可扩展的身份验证和授权支持
  • 防御会话固定,点击劫持,跨站点请求伪造等攻击
  • Servlet API集成
  • 与Spring Web MVC的可选集成

几个重要的类:

  • WebSecurityConfiureAdapter:自定义Security策略
  • AuthenticaManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式

认证和授权

1、引入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、编写基础配置类

参见官方文档https://docs.spring.io/spring-security/site/docs/5.2.7.RELEASE/reference/htmlsingle/#jc-custom-dsls

@EnableWebSecurity // 开启WebSecurity模式
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

   @Override
   protected void configure(HttpSecurity http) throws Exception {
       
  }
}

3、定制请求的授权规则

@EnableWebSecurity//开启WebSecurity模式
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人都能访问
        http.authorizeRequests().antMatchers("/").permitAll()
            //level1下的资源必须拥有角色vip1才能访问
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
    }
}

现在测试一下!

首页可以进入,但是无法直接访问其他页面!因为我们目前没有登录的角色,因为请求需要登录的角色拥有对应的权限才可以!

4、在configure()方法中加入以下配置,开启自动配置的登录功能!

// 开启自动配置的登录功能
// /login 请求来到登录页
// /login?error 重定向到这里表示登录失败
//loginPage()定制登录页面
//loginProcessingUrl("/login")以post方式请求
//定制登录成功后跳转的页面
http.formLogin().loginProcessingUrl("/login").successForwardUrl("/index");

测试一下,发现没有访问权限时会自动跳转到登录页面。

5、定义认证规则,重写configure(AuthenticationManagerBuilder auth)方法

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    //在内存中定义,也可以在jdbc中去拿
    auth.inMemoryAuthentication()
            .withUser("chunni1").password("123").roles("vip1")
            .and()
            .withUser("chunni2").password("123").roles("vip2","vip3")
            .and()
            .withUser("chunni3").password("123").roles("vip3");
}

此时测试登录,会出现如下错误:

为了安全,这是要求前端传回的密码需要进行加密处理。Security5默认要求密码使用加密。

6、密码加密

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    //在内存中定义,也可以在jdbc中去拿
    //spring security 官方推荐的是使用bcrypt加密方式。
    auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
            .withUser("chunni1").password(new BCryptPasswordEncoder().encode("123")).roles("vip1")
            .and()
            .withUser("chunni2").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3")
            .and()
            .withUser("chunni3").password(new BCryptPasswordEncoder().encode("123")).roles("vip3");
}

登录测试,完成每个角色对应的规则认证。


注销与权限控制

1、开启注销功能

@EnableWebSecurity//开启WebSecurity模式
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
		...
        //注销
        //定制注销后跳转页面
        http.logout().logoutSuccessUrl("/login");
    }

2、在首页welcome.html增加一个注销的按钮

<a th:href="@{/logout}">注销</a>

完成注销功能!

权限控制:在不同的情况下显示不同的界面内容。例如,没有登录时,就显示登录按钮;登录时,就显示注销按钮。拥有不同角色的用户登录时看到的内容是之前定制的认证规则中规定的内容。这里我们需要整合一下Thymeleaf

3、导入所需依赖

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

4、修改前端首页welcome.html,完成登录注销及用户的显示

导入命名空间:

xmlns:sec="http://www.thymeleaf.org/extras/spring-security"

<div class="right menu">
<!--	没登录则显示登录-->
	<span sec:authorize="!isAuthenticated()"><a th:href="@{/login}">登录</a></span>
	<div sec:authorize="isAuthenticated()">
		<span sec:authentication="name"></span>您好,您的角色有:
		<span sec:authentication="principal.authorities"></span>
	</div>
<!--	登录了就显示注销-->
	<span sec:authorize="isAuthenticated()"><a th:href="@{/logout}">注销</a></span>
</div>

测试完成再往下!


5、修改前端首页welcome.html,完成角色功能块权限控制

<div sec:authorize="hasRole('vip1')">
   <h3>level1</h3>
   <ul>
      <li><a th:href="@{/level1/1}">1</a></li>
      <li><a th:href="@{/level1/2}">2</a></li>
      <li><a th:href="@{/level1/3}">3</a></li>
   </ul>
</div>


<div sec:authorize="hasRole('vip2')">
   <h3>level2</h3>
   <ul>
      <li><a th:href="@{/level2/1}">1</a></li>
      <li><a th:href="@{/level2/2}">2</a></li>
      <li><a th:href="@{/level2/3}">3</a></li>
   </ul>
</div>

<div sec:authorize="hasRole('vip3')">
   <h3>level3</h3>
   <ul>
      <li><a th:href="@{/level3/1}">1</a></li>
      <li><a th:href="@{/level3/2}">2</a></li>
      <li><a th:href="@{/level3/3}">3</a></li>
   </ul>
</div>

测试成功!搞定注销和权限控制。

记住我功能

很多网站都会有“记住我”的功能,也就是登录过一次之后,关闭浏览器,再打开不需要再次登录。

1、开启记住我功能

@EnableWebSecurity//开启WebSecurity模式
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
    ...
     //记住我
        http.rememberMe();
 
    }

2、测试

再次打开登录页,发现多了一个记住我功能。勾选它,登录之后关闭浏览器,再次打开浏览器访问,发现用户依旧存在!

原因其实很简单,Java Web中就是使用cookie实现了记住用户的功能。

查看浏览器的cookie

当我们点击登录时,会增加一个cookie。点击注销时,springsecurity会删除这个cookie。

当然,我们在实际的开发中不可能用springsecurity默认提供的登录页,需要使用我们自己的登录页。

就是配置一个loginPage(),在前面的代码里也有提到。

不过有些地方需要注意:

默认的登录页上用户名是用"username"接收,密码是用"password"接收,记住我是用"remember-me"接收。如果定制的登录页上对应属性的name不一致,需要我们自己配置,如:

http.formLogin().loginProcessingUrl("/login").successForwardUrl("/index")
        .usernameParameter("usr")
        .passwordParameter("pwd");

//记住我
http.rememberMe().rememberMeParameter("remember");

附上demo结构及welcome.html完整代码:
在这里插入图片描述

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"
	  xmlns:sec="http://www.thymeleaf.org/extras/spring-security">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<div class="right menu">
<!--	没登录则显示登录-->
	<span sec:authorize="!isAuthenticated()"><a th:href="@{/login}">登录</a></span>
	<div sec:authorize="isAuthenticated()">
		<span sec:authentication="name"></span>您好,您的角色有:
		<span sec:authentication="principal.authorities"></span>
	</div>
<!--	登录了就显示注销-->
	<span sec:authorize="isAuthenticated()"><a th:href="@{/logout}">注销</a></span>
</div>
<hr>

<div sec:authorize="hasRole('vip1')">
	<h3>level1</h3>
	<ul>
		<li><a th:href="@{/level1/1}">1</a></li>
		<li><a th:href="@{/level1/2}">2</a></li>
		<li><a th:href="@{/level1/3}">3</a></li>
	</ul>
</div>


<div sec:authorize="hasRole('vip2')">
	<h3>level2</h3>
	<ul>
		<li><a th:href="@{/level2/1}">1</a></li>
		<li><a th:href="@{/level2/2}">2</a></li>
		<li><a th:href="@{/level2/3}">3</a></li>
	</ul>
</div>

<div sec:authorize="hasRole('vip3')">
	<h3>level3</h3>
	<ul>
		<li><a th:href="@{/level3/1}">1</a></li>
		<li><a th:href="@{/level3/2}">2</a></li>
		<li><a th:href="@{/level3/3}">3</a></li>
	</ul>
</div>

</body>
</html>
椿尼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Spring Security详细教程】
m0_52789121的博客
06-12 8394
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。什么叫做单点登录呢。就是在一个多应用系统中,只要在其中一个系统上登录之后,不需要在其它系统上登录也可以访问其内容。举个例子,京东那么复
SpringBoot:集成SpringSecurity
qq_43161404的博客
01-05 1385
前言:B站狂神说JavaSpringBoot笔记,传送门 UP很nice,课程生动形象,欢迎支持。 一、认识SpringSecurity Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Se
springboot3整合SpringSecurity实现登录校验与权限认证(万字详细讲解)
2301_78646673的博客
12-11 9934
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
SpringBoot整合SpringSercurity5完整实现例子
最新发布
Spell a的博客
05-01 443
super(msg);super(msg);return msg;@Component@OverrideString jsonString = JSONObject.toJSONString(ResponseResult.error(401, "您没有访问权限,请重新登录!"));
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 8586
SpringSecurity整合基础
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2755
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
Spring Boot集成Spring Security
我是一只蘑菇17的博客
11-02 1446
开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。很多成熟的大公司都会有专门针对用户管理方面有一套完整的SSO(单点登录),ACL(权限访问控制),UC(用户中心)系统。 但是在我们开发中小型系统的时候,往往还是优先选择轻量级可用的业内通用的框架解决方案。Spring Security 就是一个Spring生态中关于安全方
SpringBoot整合Spring Security详细教程
08-18
SpringBoot 整合 Spring Security详细教程 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,提供了完善的认证机制和方法级的授权功能。下面是 SpringBoot 整合 Spring Security详细...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurity和jwt整合SpringBoot项目中,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java的安全框架,它提供了一个灵活的安全机制来...
Spring boot 中 Spring Security 使用改造5部曲
weixin_30919235的博客
11-17 1375
文章的内容有点长,也是自己学习Spring security的一个总结。如果你从头看到尾,我想你对Spring Security的使用和基本原理应该会有一个比较清晰的认识。 如果有什么理解不对的地方,请留言,谢谢。 一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供...
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
weixin_42907150的博客
01-16 646
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.
SpringBoot 集成 SpringSecurity 从入门到深入理解
Wayfreem的博客
09-13 624
从最简单的工程开始了解Spring Security,到逐渐深入,并且有源码提供可以方便于搭建自己的Spring Security项目
springboot项目整合springSecurity框架流程
weixin_67909064的博客
04-18 842
addFilter(new TokenVerifyFilter(super.authenticationManager())) // 绑定校验的接口(将步骤四定义的token校验过滤器扔进来).addFilter(new TokenLoginFilter(super.authenticationManager())) // 绑定认证的接口(将步骤三定义的登录过滤器扔进来)auth.userDetailsService(mySecurityService) // 绑定自定义的认证Service。
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录)
jiaoqi6132的博客
04-04 2325
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
springboot整合springSecurity
m0_65111173的博客
07-14 385
攻击防范(Attack Protection):Spring Security提供了一系列的攻击防范机制,包括跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持(Clickjacking)等。上面的意思是,“lllllc”这个用户(正常需要连接jdbc,在数据库中获取),可以访问vip1和vip3页面,需要设置密码加密,否则页面会错。重写configure方法,这个方法是会涉及到重载,有很多方法名相同的,我们需要重写参数为http的方法。这个的意思是请求的url,我们没有填,所以是主页。
springboot整合springsecurity详细代码
04-24
很抱歉,我无法提供您想要的答案。我的AI只能回答通用性问题。但我可以给您提供一些资源,帮助您自己解决问题: 1. Spring官方文档:https://spring.io/projects/spring-security 2. CSDN的博客,可能有相关的教程和代码示例:https://www.csdn.net/ 3. GitHub上的Spring Security示例代码:https://github.com/spring-projects/spring-security-samples 希望这些资源可以帮助您找到您需要的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值