SpringBoot———安全框架之SpringSecurity

---

简介

• Spring Security 基于 Spring 框架，提供了一套Web 应用安全性的完整解决方案。
• Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链，不同的功能经由不同的过滤器。

一般来说，Web 应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分。

• 用户认证 Authentication：验证某个用户是否为系统中的合法主体，也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
• 用户授权 Authorization：验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如对一个文件来说，有的用户只能进行读取，而有的用户可以进行修改。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一系列的权限。

Spring Security 框架对此有很好的支持：

• 用户认证：Spring Security 框架支持主流的认证方式，包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。
• 用户授权：Spring Security 提供了基于角色的访问控制和访问控制列表（Access Control List，ACL），可以对应用中的领域对象进行细粒度的控制。

案例1：用户授权查看

1. 创建一个springBoot项目，添加web框架
2. 导入jar包

 <!--SpringSecurity-->
<dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-security</artifactId>
 </dependency>
 <!--thymeleaf-->
 <dependency>
     <groupId>org.thymeleaf</groupId>
     <artifactId>thymeleaf-spring5</artifactId>
 </dependency>
 <dependency>
     <groupId>org.thymeleaf.extras</groupId>
     <artifactId>thymeleaf-extras-java8time</artifactId>
 </dependency>

3. application.properties中配置

spring.thymeleaf.cache=false

4. 导入静态资源
   
   index.html

    <h3>level 1</h3>
    <p><a th:href="@{/level1/1}">level 1-1</a></p>
    <p><a th:href="@{/level1/2}">level 1-2</a></p>
    <p><a th:href="@{/level1/3}">level 1-3</a></p>
    <h3>level 2</h3>
    <p><a th:href="@{/level2/1}">level 2-1</a></p>
    <p><a th:href="@{/level2/2}">level 2-2</a></p>
    <p><a th:href="@{/level2/3}">level 2-3</a></p>
    <h3>level 3</h3>
    <p><a th:href="@{/level3/3}">level 3-1</a></p>
    <p><a th:href="@{/level3/2}">level 3-2</a></p>
    <p><a th:href="@{/level3/3}">level 3-3</a></p>

5. 编写controller进行页面跳转

@Controller
public class testController {

    @RequestMapping("/index")
    public String index(){
        return "index";
    }
    @RequestMapping("/toLogin")
    public String toLogin(){
        return "login";
    }
    @RequestMapping("/level1/{id}")
    public String level01(@PathVariable("id")int id){
        return "views/level1/"+id;
    }
    @RequestMapping("/level2/{id}")
    public String level02(@PathVariable("id")int id){
        return "views/level2/"+id;
    }
    @RequestMapping("/level3/{id}")
    public String level03(@PathVariable("id")int id){
        return "views/level3/"+id;
    }
}

6. 编写SecurityConfig进行用户认证和用户授权

// 开启webSecurity模式
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /* 用户授权 */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 其他页面，所有人可见
                .antMatchers("/").permitAll()
                // vip页面，仅对应的vip可见
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        // 没有权限，默认到SpringSecurity自带的login页面
        http.formLogin();
    }

    /* 用户认证 */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    // new BCryptPasswordEncoder()——————进行加密操作
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("root").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip2","vip3")
                .and()
                .withUser("admin").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip2")
                .and()
                .withUser("player").password(new BCryptPasswordEncoder().encode("123")).roles("vip1");
    }
}

案例2：添加注销功能

1. 在SecurityConfig中添加

 // 开启注销功能,注销完跳转到首页
        http.logout().logoutSuccessUrl("/");

2. 在前端页面中添加注销功能/logout

<a th:href="@{/logout}">注销</a>

3. 效果展示
   

• 这里是注销完跳转回登录页面的截图（SpringSecurity自带的登录页面真牛*！）
  

案例3：添加仅显示用户权限内的信息功能

1. 导入jar包

 <!--Spring和Security整合包-->
 <dependency>
     <groupId>org.thymeleaf.extras</groupId>
     <artifactId>thymeleaf-extras-springsecurity5</artifactId>
 </dependency>

2. 首页中显示对应用户的信息

<div sec:authorize="!isAuthenticated()">
    <!--若未登录，显示登录-->
    <a th:href="@{/login}">登录</a>
</div>
<!--若已登录，显示用户名和注销-->
<div sec:authorize="isAuthenticated()">
    用户名：<span sec:authentication="principal.username"></span>
    <a th:href="@{/logout}">注销</a>
</div>

3. 首页中展示对应用户能看到的信息

 <ul>
        <div sec:authorize="hasRole('vip1')">
            <h2>level 1</h2>
            <li><a th:href="@{/level1/1}">level 1-1</a></li>
            <li><a th:href="@{/level1/2}">level 1-2</a></li>
            <li><a th:href="@{/level1/3}">level 1-3</a></li>
        </div>
    </ul>
    <ul>
        <div sec:authorize="hasRole('vip2')">
            <h2>level 2</h2>
            <li><a th:href="@{/level2/1}">level 2-1</a></li>
            <li><a th:href="@{/level2/2}">level 2-2</a></li>
            <li><a th:href="@{/level2/3}">level 2-3</a></li>
        </div>

    </ul>
    <ul>
        <div sec:authorize="hasRole('vip3')">
            <h2>level 3</h2>
            <li><a th:href="@{/level3/3}">level 3-1</a></li>
            <li><a th:href="@{/level3/2}">level 3-2</a></li>
            <li><a th:href="@{/level3/3}">level 3-3</a></li>
        </div>
    </ul>

注意：使用sec:authorize时，页面导入对应标签

<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

案例4：添加登录时记住我功能

在SecurityConfig的用户授权方法中加上

// 登录页面的记住我
http.rememberMe();