Spring Boot（十三）--------集成SpringSecurity

Spring Boot（十三）--------集成SpringSecurity

22、SpringSecurity

22.1 安全简介

• 在 Web 开发中，安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求，但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题，就可能陷入一个两难的境地：一方面，应用存在严重的安全漏洞，无法满足用户的要求，并可能造成用户的隐私数据被攻击者窃取；另一方面，应用的基本架构已经确定，要修复安全漏洞，可能需要对系统的架构做出比较重大的调整，因而需要更多的开发时间，影响应用的发布进程。因此，从应用开发的第一天就应该把安全相关的因素考虑进来，并在整个应用的开发过程中
• 市面上存在比较有名的：Shiro，Spring Security
• 这里需要阐述一下的是，每一个框架的出现都是为了解决某一问题而产生了，那么Spring Security框架的出现是为了解决什么问题呢
• Spring Security官网地址：Spring Security
• 帮助文档：Spring Security Reference
• Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准
• Spring Security是一个框架，侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样，Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求
• 从官网的介绍中可以知道这是一个权限框架。想我们之前做项目是没有使用框架是怎么控制权限的？对于权限 一般会细分为功能权限，访问权限，和菜单权限。代码会写的非常的繁琐，冗余
• 怎么解决之前写权限代码繁琐，冗余的问题，一些主流框架就应运而生而Spring Scecurity就是其中的一种
• Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架，提供了一套 Web 应用安全性的完整解决方案。一般来说，Web 应用的安全性包括用户认证（Authentication）和用户授权（Authorization）两个部分
  • 用户认证指的是验证某个用户是否为系统中的合法主体，也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程
  • 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中，不同用户所具有的权限是不同的。比如对一个文件来说，有的用户只能进行读取，而有的用户可以进行修改。一般来说，系统会为不同的用户分配不同的角色，而每个角色则对应一系列的权限
• 对于上面提到的两种应用情景，Spring Security 框架都有很好的支持
  • 在用户认证方面，Spring Security 框架支持主流的认证方式，包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等
  • 在用户授权方面，Spring Security 提供了基于角色的访问控制和访问控制列表（Access Control List，ACL），可以对应用中的领域对象进行细粒度的控制

22.2. 实验环境搭建

• 新建一个初始的Spring Boot项目

• 导入静态资源

• 导入thymeleaf依赖

<!--thymeleaf-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>

• 新建RouterController，测试导入的新页面跳转

@Controller
public class RouterController {
   

    @RequestMapping({
   "/","/index"})
    public String index(){
   
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
   
        return "view/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
   
        return "views/level1/"+id;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
   
        return "views/level2/"+id;
    }

    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
   
        return "views/level3/"+id;
    }
}

• 首页

• 登录

• 详情页

22.3 认识SpringSecurity

• Spring Security是针对Spring项目的安全框架，也是Spring Boot底层安全模块默认的技术选型，他可以实现强大的Web安全控制，对于安全控制，我们仅需要引入spring-boot-starter-security模块，进行少量的配置，即可实现强大的安全管理

• 记住几个类：

  • WebSecurityConfigurerAdapter：自定义Security策略
  • AuthenticationManagerBuilder：自定义认证策略
  • @EnableWebSecurity：开启WebSecurity模式

• Spring Security的两个主要目标是 “认证” 和 “授权”（访问控制）

“认证”（Authentication）

• 身份验证是关于验证您的凭据，如用户名/用户ID和密码，以验证您的身份
• 身份验证通常通过用户名和密码完成，有时与身份验证因素结合使用

“授权” （Authorization）

• 授权发生在系统成功验证您的身份后，最终会授予您访问资源（如信息，文件，数据库，资金，位置，几乎任何内容）的完全权限
• 这个概念是通用的，而不是只在Spring Security 中存在

22.4 认证和授权

• 目前的测试环境，可以访问任意页面，使用Spring Security增加上认证和授权的功能
• 引入Spring Security依赖

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

• 编写Spring Security配置类，参考官网或帮助文档，重写configure(HttpSecurity http)方法

//授权
//开启web的security模式
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAda