spring security

最新推荐文章于 2023-06-21 21:52:46 发布

明天重开学java

最新推荐文章于 2023-06-21 21:52:46 发布

阅读量136

点赞数

文章标签： spring spring boot

本文链接：https://blog.csdn.net/qq_48254516/article/details/108062014

版权

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。
Spring Security是一个框架，致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样，Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求

特征
对身份验证和授权的全面且可扩展的支持

防止攻击，例如会话固定，点击劫持，跨站点请求伪造等

Servlet API集成

与Spring Web MVC的可选集成

多得多…

WebSecurityConfigurerAdapter：自定义Security策略

AuthenticationManagerBuilder：自定义认证策略

@EnableWebSecurity：开启WebSecurity模式  @Enablexxx 开启某个功能和

Spring Security的两个主要目标是 “认证” 和 “授权”（访问控制）。

“认证”（Authentication）

身份验证是关于验证您的凭据，如用户名/用户ID和密码，以验证您的身份。

身份验证通常通过用户名和密码完成，有时与身份验证因素结合使用。

“授权” （Authorization）

授权发生在系统成功验证您的身份后，最终会授予您访问资源（如信息，文件，数据库，资金，位置，几乎任何内容）的完全权限。

这个概念是通用的，而不是只在Spring Security 中存在。

具体的实现

1.导入

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

进行的配置

package com.yang.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@EnableWebSecurity // 开启WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //链式编程
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可以访问，功能页只有对应有权限的人才能访问
        /*认证的请求*/
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限跳转到登陆页面
        http.formLogin().loginPage("/toLogin");

        //注销，开启了注销功能

        //防止网站工具： get set
        http.csrf().disable();  //关闭csrf功能  退出失败的原因

        //退出
        http.logout().logoutSuccessUrl("/");

        http.rememberMe().rememberMeParameter("remember");


    }

    //定义认证规则

    //认证，springboot 2.1.x 可以直接使用
    //密码编码：PasswordEncoder
    //在spring Security 5.0+新增了很多的加密方式

/*    passwordEncoder(new BCryptPasswordEncoder()*/

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //这些数据正常从数据库中读写

        //从内存中读写
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("yangchenggang").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");
    }

}

thymeleaf与security整合

        <!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>

导入的命名空间

xmlns:sec="http://www.thymeleaf.org/extras/spring-security"

参考出处：[狂神整合spring security(https://mp.weixin.qq.com/s?__biz=Mzg2NTAzMTExNg==&mid=2247483957&idx=1&sn=fc30511490b160cd1519e7a7ee3d4ed0&scene=19#wechat_redirect)