springsecurity是springboot一个集成的安全框架,有着拦截器的作用,以及登录用户授权和认证的作用。
1.在springboot项目中导入security依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
2.创建controller类,编写页面请求
@Controller
public class MyController {
@RequestMapping({"/","/index"})
public String index(){
return "index";
}
@RequestMapping("/toLogin")
public String login(){
return "/views/login";
}
@RequestMapping("/level1/{id}")
public String level1(@PathVariable("id") int id){
return "/views/level1/"+id;
}
@RequestMapping("/level2/{id}")
public String level2(@PathVariable("id") int id){
return "/views/level2/"+id;
}
@RequestMapping("/level3/{id}")
public String level3(@PathVariable("id") int id){
return "/views/level3/"+id;
}
}
3.创建security的设置类
继承一个WebSecurityConfigurerAdapter类,重写其中的configure(HttpSecurity http)方法来设置请求权限规则,重写configure(AuthenticationManagerBuilder auth)方法来认证及授权用户
- 设置权限规则(类似拦截器):
- 认证用户,获取对应权限:
4.实现记住我,注销功能
- 注销功能:
在security的设置类中添加logout()方法,需要关闭防御csrf功能,否则注销采用get请求方式会报错404。
首页index页面添加注销操作:
- 登录时的记住我功能:
在security设置类里添加remember()方法开启记住我功能,若获取到前端参数remember,则保存用户cookies,实现记住我功能:
登录login页面添加记住我操作:
注意:这里的login页面是自己编写的login页面,并不是security的默认login页面。
5.定制登录页面
1)编写一个自己的login登录页面,然后在security设置类里利用方法http.formLogin().loginPage("/toLogin"),更改登录页面为自己编写的登录页面。
6.优化首页页面
实现未登录时,首页显示登录按钮,登录后显示用户名,以及角色名,按钮功能更改为注销。
- 导入Thymeleaf-security的整合依赖包,然后在页面引入security命名空间:
<!--引入thymeleaf与Spring Security整合的依赖-->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
- 通过isAuthenticated()方法判断是否登录,属性为sec:authorize:
- 根据权限显示页面
同样是security的命名属性(sec:authorize)判断,方法为hasRole(" "):
总结:
springsecurity的核心是继承了WebSecurityConfigurerAdapter的config类,权限认证功能都只需通过这个类进行配置。相比较于shiro,没有太多需要自己配置的功能模块,springsecurity都自己封装好了方法,只需要调用即可。