文章目录
前期准备
我们提供一下几个页面进行认证和授权
打开后首页如下所示
提供控制器进行页面的跳转
@Controller
public class RouterController {
@RequestMapping({"/","/index"})
public String index(){
return "index";
}
@RequestMapping("/toLogin")
public String toLogin(){
return "views/login";
}
@RequestMapping("/level1/{id}")
public String level1(@PathVariable("id") int id){
return "views/level1/"+id;
}
@RequestMapping("/level2/{id}")
public String level2(@PathVariable("id") int id){
return "views/level2/"+id;
}
@RequestMapping("/level3/{id}")
public String level3(@PathVariable("id") int id){
return "views/level3/"+id;
}
}
SpringSecurity的使用
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!
记住以下类和注解(适配器模式和建造者模式)
- WebSecurityConfigurerAdapter:自定义Security策略
- AuthenticationManagerBuilder:自定义认证策略
- @EnableWebSecurity:开启WebSecurity模式
Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。
导入Spring Security的依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
基本模板
创建配置类SecurityConfig
继承WebSecurityConfigurerAdapter
并使用@EnableWebSecurity
注解标注,然后重写方法从而实现功能,注意方法的参数。
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
}
}
用户的认证、授权、注销
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//http安全策略
@Override
protected void configure(HttpSecurity http) throws Exception {
//首页所有人都可以访问,但是功能页只有有权限的人才能访问
http.authorizeRequests()
.antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
//如果没有权限会跳到登陆页面,即"/login"页面
http.formLogin();
//注销,访问"/logout",注销成功重定向到"/login?success"页面
//在注销时也可以情况cookie和session:
//http.logout().deleteCookies("remove").invalidateHttpSession(true)
//注销后跳转为首页
http.logout().logoutSuccessUrl("/");
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//auth.jdbcAuthentication()实现数据库认证,没有数据库此处使用内存验证,设置用户以及对应权限
//采用连式编程,可以一直在后面调用方法,增加用户
//在一些版本中需要对密码进行加密,Spring Security也提供了很多加密方式
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("root").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip2","vip3")
.and()
.withUser("user").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2")
.and()
.withUser("guest").password(new BCryptPasswordEncoder().encode("111")).roles("vip1");
}
}
Spring Security与Thymeleaf整合
注意:如果需要使用Spring Security与Thymeleaf整合,会存在Spring Boot版本太高的问题,所以我们需要降低Spring Boot的版本才会使其生效,2.0.9.RELEASE及以下都可以
但是降低版本会使默认的登录页面没有样式
首先导入依赖
<!--Spring Security和Thymeleaf整合包-->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity4</artifactId>
<version>3.0.4.RELEASE</version>
</dependency>
如要导入命名空间
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"
如果用户登录,那么显示用户名和注销;如果未登录,显示登陆按钮。
<div class="ui segment" id="index-header-nav" th:fragment="nav-menu">
<div class="ui secondary menu">
<a class="item" th:href="@{/index}">首页</a>
<!--登录注销-->
<div class="right menu">
<!--未登录,显示登陆-->
<div sec:authorize="!isAuthenticated()">
<a class="item" th:href="@{/toLogin}">
<i class="address card icon"></i> 登录
</a>
</div>
<div sec:authorize="isAuthenticated()">
<a class="item">
用户名:<span sec:authentication="name"></span>
</a>
<a class="item" th:href="@{/logout}">
<i class="sign-out icon"></i> 注销
</a>
</div>
</div>
</div>
</div>
此时如果点击注销,会出现404,是因为存在防crsf功能,如果想要程序正常,那么需要关闭该功能
具体原因:<a>标签是get提交方式,不安全,所以会出现防crsf现象,如果是post请求就不会
在configure(HttpSecurity http)
方法中增加如下代码
//关闭防止crsf功能,crsf:跨站请求伪造
http.csrf().disable();
实现动态主页,不同用户的主页显示各自的权限菜单
<div class="column" sec:authorize="hasRole('vip1')">
......
</div>
<div class="column" sec:authorize="hasRole('vip2')">
......
</div>
<div class="column" sec:authorize="hasRole('vip3')">
......
</div>
记住我功能、使用自己的登陆页面
在configure(HttpSecurity http)
方法中增加如下代码
//开启记住我功能
http.rememberMe();
使用自己的登陆页面
在设置登陆权限时,设置登录页面
http.formLogin().loginPage("/toLogin");
需要注意的是,登陆页面的表单请求需要与这个映射一致
如果使用自定义的登陆页面,那么就需要在前端提供记住我的部分
<form th:action="@{/toLogin}" method="post">
<div class="field">
<label>Username</label>
<div class="ui left icon input">
<input type="text" placeholder="Username" name="username">
<i class="user icon"></i>
</div>
</div>
<div class="field">
<label>Password</label>
<div class="ui left icon input">
<input type="password" name="password">
<i class="lock icon"></i>
</div>
</div>
<div class="field">
<input type="checkbox" name="remember">记住我
</div>
<input type="submit" class="ui blue submit button"/>
</form>
然后修改代码为,参数与name属性一致
http.rememberMe().rememberMeParameter("remember");