23. springBoot高级篇——整合Security安全框架

最新推荐文章于 2024-05-17 07:16:57 发布
最新推荐文章于 2024-05-17 07:16:57 发布
阅读量848 收藏
点赞数 2
分类专栏: # springBoot1.5 系统学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43318134/article/details/107029264
版权

        Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。

        应用程序的两个主要区域是“认证”和“授权”(或者访问控制)。这两个主要区域是Spring Security 的两个目标,认证和授权的概念是通用的而不只在Spring Security中。

        “认证”(Authentication),是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统)。

        “授权”(Authorization)指确定一个主体是否允许在你的应用程序执行一个动作的过程。为了抵达需要授权的店,主体的身份已经有认证过程建立。

1. 添加认证授权步骤

1.1 引入Security依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

1.2 编写Security配置类

        查看spring官网,https://docs.spring.io/spring-security/site/docs/current/reference/html5/#samples

点击进入GitHub示例工程中,在工程中可以看到一个配置类SecurityConfig,我们将该类复制过来。

package com.bjc.security.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests(authorize -> authorize
						.antMatchers("/css/**", "/index").permitAll()
						.antMatchers("/user/**").hasRole("USER")
				)
				.formLogin(formLogin -> formLogin
						.loginPage("/login")
						.failureUrl("/login-error")
				);
	}
	@Bean
	public UserDetailsService userDetailsService() {
		UserDetails userDetails = User.withDefaultPasswordEncoder()
				.username("user")
				.password("password")
				.roles("USER")
				.build();
		return new InMemoryUserDetailsManager(userDetails);
	}
}

1.2.1 配置类

        通过官网demo代码,可以知道该配置类需要继承WebSecurityConfigurerAdapter,并用注解@EnableWebSecurity标注,该注解被@Configuration标注了,所以我们不需要再该配置类上添加@Configuration注解。

1.2.2 安全登录控制请求访问权限

        根据官网demo,可以知道我们可以重写configure方法,通过该方法的参数http来定制安全规则

package com.bjc.security.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		// 定制请求授权规则
		http.authorizeRequests(authorize -> authorize
						.antMatchers("/","/css/**", "/index").permitAll()  // 访问首页、静态资源所有用户可以访问
						.antMatchers("/level1/**").hasRole("VIP1") 		// 配置访问level1下的所有资源需要角色VIP1的用户
						.antMatchers("/level2/**").hasRole("VIP2")
						.antMatchers("/level3/**").hasRole("VIP3")
				)
				.formLogin();   // 开启自动配置的登录功能  如果访问没有权限,就会跳转/login来到登录页面(security自带的)
	}

	/**
	 * 配置认证用户
	 * */
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		// 内存用户(写死的用户)
		auth.inMemoryAuthentication()
				.passwordEncoder(new PasswordEncoder() {
					@Override
					public String encode(CharSequence charSequence) {
						return charSequence.toString();
					}

					@Override
					public boolean matches(CharSequence charSequence, String s) {
						return s.equals(charSequence);
					}
				})
				.withUser("zhangsan")		// 用户名
				.password("123456")					// 密码
				.roles("VIP1","VIP2")				// 用户所属角色
				.and()								// 再添加一个
				.withUser("lisi")
				.password("123456")
				.roles("VIP2,VIP3")
				.and()
				.withUser("wangwu")
				.password("123456")
				.roles("VIP2","VIP3");
		// 通过数据库查询
		// auth.jdbcAuthentication()
	}
}

配置类写好之后,再次访问首页,点击资源如果没有登录会跳转到security内置的登录页面去进行登录。登录成功之后就可以访问对应的资源了,如果访问的资源没有权限,就会报错

注意:内存用户验证时,Spring boot 2.0.1引用的security 依赖是 spring security 5.X版本,此版本需要提供一个PasswordEncorder的实例,否则后台汇报错误:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"并且页面毫无响应。

1.2.3 添加注销功能

        注销功能很简单,只需要开启注销功能,在配置类中添加http.logout();

然后在界面添加退出登录的form表单

<form th:action="@{/logout}" method="post">
	<input type="submit" value="注销">
</form>

这时候,当我们点击注销的时候,就自动退出了,security默认退出到/login资源,也就是退出到login页面,如果我们想退出之后回到首页该怎么做了?我们可以定制注销跳转资源

// 定制退出成功后,去到哪个地址
http.logout(cust -> {
	cust.logoutSuccessUrl("/");  // 退出成功,去到首页
});

2. security与thymeleaf整合

        我们可以利用thymeleaf的一些表达式和security整合的标签来控制权限资源的显示与隐藏

2.1 添加依赖

2.1.1 定义整合包版本

<properties>
	<java.version>1.8</java.version>
	<thymeleaf-extras-springsecurity.version>3.0.4.RELEASE</thymeleaf-extras-springsecurity.version>
</properties>

2.1.2 添加整合包

<!-- 引入 thymeleaf与security整合包-->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    <version>${thymeleaf-extras-springsecurity.version}</version>
</dependency>

注意:这里有兼容性问题,在boot2.1之前用的是 thymeleaf-extras-springsecurity4,因为这里版本是2.3,所以需要使用thymeleaf-extras-springsecurity5

2.2 引入security整合名称空间

<html  xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">

注意:这里名称空间还是用thymeleaf-extras-springsecurity4即可 

2.3 重要属性

2.3.1 sec:authorize——认证

        该属性可以使用函数isAuthenticated()是否认证作为属性值,例如:

<div sec:authorize="!isAuthenticated()"> <!-- 如果没认证 -->
	<h2 align="center">游客您好,如果想查看武林秘籍 <a th:href="@{/login}">请登录</a></h2>
</div>

也可以使用函数 hasRole()判断当前用户是否有某种权限,例如:

<div sec:authorize="hasRole('VIP1')">
	<h3 sec:authentication="">普通武功秘籍</h3>
	<ul>
		<li><a th:href="@{/level1/1}">罗汉拳</a></li>
		<li><a th:href="@{/level1/2}">武当长拳</a></li>
		<li><a th:href="@{/level1/3}">全真剑法</a></li>
	</ul>
</div>

2.3.2 sec:authentication——认证信息

        该属性可以获取一些认证信息,例如用户名,当前用户所拥有的角色等,例如:

<div sec:authorize="isAuthenticated()">   <!-- 如果认证了 -->
	<h2> <span sec:authentication="name"><!-- 当前登录用户 -->
		</span>,您好,您的角色有:<span sec:authentication="principal.authorities"></span><!-- 当前登录用户所属角色 -->
	</h2>
	<form th:action="@{/logout}" method="post">
		<input type="submit" value="注销">
	</form>
</div>

2.4 记住我功能

在配置类中开启记住我功能,下次登录可以免登录

http.rememberMe();

2.5 定制登录页

security默认给出的的登录页比较丑,我们可以定制我们自己的登录页

操作步骤:

1)准备自己的login.html

<div align="center">
	<form th:action="@{/userlogin}" method="post">
		用户名:<input name="user"/><br>
		密码:<input name="pwd"><br/>
		<input type="checkbox" name="rememberMe"/> 记住我<br/>
		<input type="submit" value="登陆">
	</form>
</div>

2)在配置类中配置定制的登录页

http.authorizeRequests(authorize -> authorize
				.antMatchers("/","/css/**", "/index").permitAll()  // 访问首页、静态资源所有用户可以访问
				.antMatchers("/level1/**").hasRole("VIP1") 		// 配置访问level1下的所有资源需要角色VIP1的用户
				.antMatchers("/level2/**").hasRole("VIP2")
				.antMatchers("/level3/**").hasRole("VIP3")
		)
		//.formLogin()   // 开启自动配置的登录功能  如果访问没有权限,就会跳转/login来到登录页面(security自带的)
       .formLogin()
		.usernameParameter("user")
		.passwordParameter("pwd")
		.loginPage("/userlogin");

注意:默认post形式的 /login代表处理登陆,一但定制loginPage;那么 loginPage的post请求就是登陆

3)配置记住我(可选配置)

http.rememberMe().rememberMeParameter("rememberMe");

注意:这里的rememberMeParameter的参数值与登录界面的保持一致。

武汉小喽啰
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 8786
SpringSecurity整合基础
[总结] 解决spring-boot版本包冲突兼容的方法
andwey的博客
04-17 1628
思路 在微服务盛行的当下,spring boot 流行程度已经家喻户晓。但同时,随着spring boot 快速迭代,出现了很多版本,比如当前已经推出了2.2.x-SNAPSHOT/ ,不同版本spring boot 对配套使用的spring 组件、第三方组件的版本是有要求。 在我们平时的开发中,需要集成某些spring boot功能时,偶尔会...
SpringBoot——Spring Security 框架_spring boot自带的安全框架(1)
最新发布
m0_54903333的博客
05-17 1040
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
查看springBoot版本是否匹配
XQL526631461的博客
09-21 403
2.springboot所需其他依赖的版本(其中的3.0.2可以替换成自己的springBoot版本号)。一定要检查一下自己的依赖中是否有和这里的版本号不一致的,或者相差很多的。最近在更新springBoot 3.0.2版本,说实话这个版本很多东西都改了,然后需要查看依赖匹配。那怎么去看和springBoot匹配的依赖呢?1.查看springCloud版本我推荐下面这个网站。
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2807
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
SpringBoot安全Spring security
haust_允谦的博客
06-29 453
SpringBoot安全Spring security) 这里先注意一下,避免大家踩坑,springboot版本最好使用2.0.7 不要使用2.1.x及以上版本,否则会有部分功能出不来 1、简介 常见的两个安全框架shiro|spring security,这里先介绍spring security,后续会把shiro做出介绍 Spring Security是针对Spring项目的安全框架,也是SpringBoot底层安全模块默认的技术选型。他可以实现强大的web安全控制,对于安全控制,我们仅需引入s
shiro安全框架整合Mybatis
04-24
Apache Shiro是一个功能强大且易于使用的Java安全框架,可执行身份验证、授权、加密和会话管理。目前,使用 Apache Shiro 的人越来越多,因为它相当简单,对比 Spring Security,可能没有 Spring Security 做的功能...
springboot - 2.7.3版本 - (三)整合Swagger3
09-22
SpringBoot是Java开发中的一个流行框架,它简化了Spring应用的初始设置和配置,使得开发者可以更快地专注于业务逻辑。Swagger3则是用于构建RESTful API的API文档工具,它允许开发者通过注解来描述API,生成交互式的...
基于springboot图书管理系统.zip
03-22
SSM是Java企业级开发中常用的三大框架——SpringSpringMVC和MyBatis的组合。Spring负责依赖注入和事务管理,SpringMVC处理HTTP请求,MyBatis则作为持久层框架,实现数据库操作与Java对象的映射。 3. SpringBoot...
基于springboot人事管理系统.zip
03-23
本项目——“基于SpringBoot的人事管理系统”是一个典型的企业级应用实例,它整合了Java、微信小程序、SSM(SpringSpringMVC、MyBatis)等技术栈,旨在实现高效、易用的人事管理功能。接下来,我们将深入探讨该...
基于JAVA图书管理系统毕业设计SpringBoot框架Vue框架.zip
09-27
《基于JAVA图书管理系统毕业设计——SpringBoot框架与Vue框架整合应用》 图书管理系统是一个常见的应用场景,对于学习和实践软件开发的学生来说,这是一个很好的项目选择。本项目采用Java语言,结合SpringBoot框架...
SpringBoot---spring-security配置问题
習習君的博客
03-26 911
问题:导入thymeleaf-extras-springsecurity5后,前台获取不到角色。 <!--security-thymeleaf整合包--> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> <version>3
Spring Security(Springboot-v2.5.5)
菜鸟的博客
09-29 698
概述 SpringSecurity是基于Spring安全框架,作用和shiro一样,用于认证和授权 SpringSecurity和shiro对比 SpringSecuritySpring无缝结合 全面的权限控制 专门为Web开发而设计(旧版本不能脱离Web环境,新版本对整个框架进行了分层抽取,分成了核心模块和Web模块,单独引入核心模块就可以脱离Web环境) 重量级 shiro 轻量级,shiro主张的理念是把复杂的事情变简单。针对性能又更高要求的互联网应用又更好表现 通用性(不局限于W
Spring Security框架(一)
m0_60413225的博客
11-08 725
快速了解Spring Security
spring boot 2.1.4整合spring Security实现自定义的登录
joeyin
05-08 394
总体项目结构 数据库的设计 1. 首先在pom.xml中添加对应的依赖 <!-->spring-boot 整合security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-se...
Springboot整合安全框架
dongrixueyang的博客
02-07 4782
Springboot 整合安全框架 Spring Security 一、Spring Security是什么 按照官网解释,Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。参见 Spring Security 中文手册 。 二、Spring Security 核心模块 认证(Authentication) 验证某个用户是否为系统中的合法主体,也就是说用
springboot整合shiro安全框架
heromps的博客
01-06 2392
shiro 快速开始 1.导入依赖 <dependencies> <!-- https://mvnrepository.com/artifact/org.apache.shiro/shiro-core --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-core<
SpringBoot 中使用Security安全框架
技术无止境
04-25 2万+
网上有很多关于SpringBoot中使用SpringSecurity安全框架的教程,但是都是讲的不够清晰易懂,首先来讲,为什么我们要使用SpringSecurity,以前没有这个框架的时候,我们要想实现权限页面拦截,都采用的拦截器(interceptor)或者过滤器(filter),特别的麻烦,在使用SpringSecurity后,一切都变的很简单,只需要几个简单的配置就能实现权限身份认证已经对数...
【详细】Spring Boot框架整合Spring Security实现安全访问控制
热门推荐
Canon_in_D_Major的博客
03-26 3万+
一、 前言:项目舍弃了原本的SSH框架,改用Spring Boot框架,并且要引入Spring Security为系统提供安全访问控制解决方案,接下来记录一下这两天在Spring Boot中引入Spring Security 的过程。主要参考了以下项目、博客和手册:(目前最新的Spring Security版本为5.0.4,我使用的是5.0.3,前三个链接中用的应该都是Spring Securit...
springboot3.x整合security
03-13
Spring Security是一个功能强大的安全框架,用于保护Spring应用程序的安全性。下面是Spring Boot 2.x整合Spring Security的步骤: 1. 添加依赖:在项目的pom.xml文件中添加Spring Security的依赖。 ```xml ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值