SpringSecurity的介绍和使用

    一、用法简介

            用户登录系统时 我们协助   SpringSecurity 把用户对应的角色、权限装配好，同时把各个资源所要求的权限信息设定好，剩下的“登录验证”和 “权限验证”都交给SpringSecurity

    二、权限管理的概念

        1.主体     principal

        使用系统的用户或设备或从其他系统远程登录的用户等等。简单的说就是那个使用系统那个就是主体。

        2.认证     authentication

        权限管理系统确认一个主体的身份。简单的来说就是证明主体自己是谁。总体来说就是我们做的登录系统

        3.授权    authorization

        将操作系统“权限”“授予”给主体，这样主体就具备了操作系统中特定功能的能力。简单的说就是授权就是给用户分配权限。

    三、权限管理的主流框架

        1.SpringSecurity

            spring的技术栈组成部分

                                   

            通过提供完整可扩展的认证和授权支持保护应用程序

             Spring Security

             特点：

                        和spring无缝整合

                        完整的权限控制

                        专门为web开发而设计：

                                        1.旧版本不能脱离web环境使用

                                        2.新版本对整个框架进行了分层抽取，分成了核心模块和web模块，单独引入核心模块就可                                                    以脱离web环境

                        重量级框架

        2.Shiro

            

            Apache旗下的轻量级权限控制框架

               特点：

                轻量级。shiro主张的理念是把复杂的事情变得简单。针对性能有更高要求的互联网应用有更好的表现。

                通用性

                        好处：不局限于web环境，可以脱离web环境使用

                        缺陷： 在web环境下一些特定的需求需要手动编写代码定制。

    

    四、创建HelloWorld工程

            步骤：1.创建Maven的web工程

                        2.加入SpringMVC需要的环境

                        3.创建springmvc配置文件

                        4.在web.xml中配置DispatcherServlet

                        5.创建包

                        6.  加入准备好的文件到Hello工程中

    五、在HelloWorld工程中加入SpringSecurity

            1.加入SpringSecurity依赖

                         < dependency >

< groupId >org.springframework.security</ groupId >

<artifactId>spring-security-web</artifactId>

<version>5.3.10.RELEASE</version>

</dependency>

<!-- SpringSecurity 配置 -->

<!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-config -->

<dependency>

<groupId>org.springframework.security</groupId>

<artifactId>spring-security-config</artifactId>

<version>5.3.10.RELEASE</version>

</dependency>

<!-- SpringSecurity 标签库 -->

<dependency>

<groupId>org.springframework.security</groupId>

<artifactId>spring-security-taglibs</artifactId>

< version >5.3.10.RELEASE</ version >

</ dependency >

            2. 加入SpringSecurity控制权限的Filter

               SpringSecurity使用的是过滤器Filter而不是 拦截器Interceptor，意味着SpringSecurity能够管理的不仅仅是SpringMVC中的handler请求，还包含web应用中的所有请求。例：项目中的静态资源也会被拦截，从而进行权限控制

         < filter >

< filter-name >springSecurityFilterChain</ filter-name >

<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>

<filter-mapping>

<filter-name>springSecurityFilterChain</filter-name>

<url-pattern>/*</url-pattern>

</ filter-mapping >

    

注意：标签中必须是springSecurityFilterChain。因为springSecurityFilterChain在IOC容器中对应真正执行权限控制的二十几个Filter。只有这个名字才能加载到这些Filter

        3.加入配置类

package com.pl.security.config;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

//注意：这个类一定要放在自动扫描的包下，不然无法生效

@Configuration   //将这个类标记为配置类

@EnableWebSecurity  //启用web环境下的权限控制功能

public class WebAppSecurityConfig extends WebSecurityConfigurerAdapter {

}

        4.效果

                所有的请求都被SpringSecurity拦截，要求登录才可以访问

                静态资源也都被拦截，要求登录

                登录失败也有错误提示

  六 、SpringSecurity实验操作

        1.放行首页和静态资源

                在配置类中重写父类的configure（HTTPSecurity security）方法

                 @Override

protected void configure(HttpSecurity security) throws Exception {

security.authorizeRequests() //表示给请求授权