Springboot集成Spring Security

咚咚锵敲代码

已于 2023-11-08 15:29:40 修改

阅读量53

点赞数

分类专栏： java 文章标签： spring java 后端

于 2023-11-08 12:47:45 首次发布

本文链接：https://blog.csdn.net/weixin_47600724/article/details/134286453

版权

java 专栏收录该内容

1 篇文章 0 订阅

订阅专栏

一、Spring Security简介

Spring Security是一个功能强大且高度可定制的，主要负责为Java程序提供声明式的身份验证和访问控制的安全框架。其前身是Acegi Security，后来被收纳为Spring的一个子项目，并更名为了Spring Security。

Spring Security的底层主要是基于 Spring AOP 和 Servlet 过滤器来实现安全控制，它提供了全面的安全解决方案，同时授权粒度可以在 Web请求级和方法调用级来处理身份确认和授权。

二.Spring Security功能

接下来我们必须掌握Spring Security的核心功能有哪些，就是它能够做什么。

Spring Security 的核心功能主要包括如下几个:

认证: 解决 "你是谁" 的问题-->解决的是系统中是否有这个“用户”(用户/设备/系统)的问题，也就是我们常说的“登录”。

授权: 权限控制/鉴别，解决的是系统中某个用户能够访问哪些资源，即“你能干什么”的问题。Spring Security 支持基于 URL 的请求授权、方法访问授权、对象访问授权。

防护攻击: 防止身份伪造等各种攻击手段。

加密功能: 对密码进行加密、匹配等。

会话功能: 对Session进行管理。

RememberMe功能: 实现“记住我”功能，并可以实现token令牌持久化。

三.Spring Security的使用

1.添加依赖

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
    </dependencies>

2.编写配置类

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

   //定制请求的授权规则
   @Override
   protected void configure(HttpSecurity http) throws Exception {

       http.authorizeRequests().antMatchers("/").permitAll()
      .antMatchers("/level1/**").hasRole("vip1")
      .antMatchers("/level2/**").hasRole("vip2")
      .antMatchers("/level3/**").hasRole("vip3");


       //开启自动配置的登录功能：如果没有权限，就会跳转到登录页面！
           // /login 请求来到登录页
           // /login?error 重定向到这里表示登录失败
       http.formLogin()
          .usernameParameter("username")
          .passwordParameter("password")
          .loginPage("/toLogin")
          .loginProcessingUrl("/login"); // 登陆表单提交请求

       //开启自动配置的注销的功能
           // /logout 注销请求
           // .logoutSuccessUrl("/"); 注销成功来到首页

       http.csrf().disable();//关闭csrf功能:跨站请求伪造,默认只能通过post方式提交logout请求
       http.logout().logoutSuccessUrl("/");

       //记住我
       http.rememberMe().rememberMeParameter("remember");
  }

   //定义认证规则
   @Override
   protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       //在内存中定义，也可以在jdbc中去拿....
       //Spring security 5.0中新增了多种加密方式，也改变了密码的格式。
       //要想我们的项目还能够正常登陆，需要修改一下configure中的代码。我们要将前端传过来的密码进行某种方式加密
       //spring security 官方推荐的是使用bcrypt加密方式。

       auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
              .withUser("kuangshen").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
              .and()
              .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
              .and()
              .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2");
  }
}

咚咚锵敲代码

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
Springboot集成Spring Security

其前身是Acegi Security，后来被收纳为Spring的一个子项目，并更名为了Spring Security。Spring Security的底层主要是基于 Spring AOP 和 Servlet 过滤器来实现安全控制，它提供了全面的安全解决方案，同时授权粒度可以在 Web请求级和方法调用级来处理身份确认和授权。认证: 解决 "你是谁" 的问题-->解决的是系统中是否有这个“用户”(用户/设备/系统)的问题，也就是我们常说的“登录”。加密功能: 对密码进行加密、匹配等。
复制链接

扫一扫