SpringBoot学习 — 集成Spring Security

最新推荐文章于 2024-09-11 21:04:43 发布

Z2Min_

最新推荐文章于 2024-09-11 21:04:43 发布

阅读量151

点赞数

分类专栏：框架

本文链接：https://blog.csdn.net/queen00000/article/details/105388271

版权

框架专栏收录该内容

38 篇文章 0 订阅

订阅专栏

Spring Security介绍

测试案例

Spring Security介绍

在Web开发中，安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求，但是应该在应用开发的初期就考虑进去。如果在应用开发后期才考虑安全问题，就可能陷入一个两难的境地：一方面，应用存在严重的安全漏洞，无法满足用户要求，并可能造成用户的隐私数据被攻击者窃取；另一方面，应用的基本架构已经确定，要修复安全漏洞，可能还需要对系统的架构做出较大的调整，因而需要更多的开发时间，影响应用的发布进程。因此，从应用开发的第一天就应该把安全相关的因素考虑进去，并在整个应用的开发过程中。

Shiro，Spring Security

Spring Security 是Spring提供的一个安全框架，提供认证和授权功能。最主要的是它提供了简单的使用方式，同时又有很高的灵活性，简单、强大。权限框架

SpringSecurity官网

翻译过来：Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架，致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样，Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。

Spring Security 基于Spring 框架，提供了一套Web 应用安全性的完整解决方案。一般来说，Web引用的安全性包括用户认证（authentication）和用户授权（authorization）两部分。

用户认证：验证某个用户是否为系统中的合法主体，也就是说改用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过验证用户名和密码，来完成认证过程。
用户授权：验证某个用户是否有权限执行某个操作。

基础

对于 Spring Security 安全控制，我们仅需要引入spring-boot-starter=security 模块，进行少量的配置，即可实现强大的安全管理。

核心类

WebSecurityConfigurerAdapter：自定义Web安全配置
AuthenticationManagerBuilder：自定义认证策略
@EnableWebSecurity ：启用Spring Security 的安全支持

测试案例

1.新建SpringBoot项目，引入web模块、thymeleaf模块

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!--    thymeleaf    -->
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>

2.导入静态资源

3.编写Controller层跳转

@Controller
public class RouterController {

    @RequestMapping({"/","/index"})
    public String index(){
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
        return "views/level1/"+id;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
        return "views/level2/"+id;
    }
    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
        return "views/level3/"+id;
    }
}

4.测验实验环境是否成功。

认证和授权

1.引入 Spring Security 模块

<!--        security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2.编写 Spring Security 配置类

@EnableWebSecurity //开启WebSecurity服务
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //请求授权规则
        //首页所有人可以访问，功能页只有有对应权限的人才能访问
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限 默认到登录页面
        http.formLogin();
    }

    //认证
    //在Spring Security 5.0+ 新增了很多加密方法 PasswordEncoder
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //这些数据开发时应该从数据库中读取，但现在测试方便直接在内存中读取
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("damin").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123")).roles("vip1");
    }
}