SpringSecurity (安全)
官方文档 :
官方文档
权限 :
- 功能权限
- 访问权限
- 菜单权限
我们之前要实现这些权限用的是拦截器,过滤器,用了大量的原生代码。
现在可以用安全框架
安全框架的核心就是把权限赋给角色,而不是赋给相应的用户,而用户只需要获得相应的角色就可以获得相应的权限
1. 新建一个模块
只需要勾选springweb依赖即可
在poem中导入themleaf依赖
themleaf官方文档 :
<!-- thymeleaf 模板 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf</groupId>
<artifactId>thymeleaf-spring5</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-java8time</artifactId>
</dependency>
2. 导入静态资源
3. 编写Controller层
package com.zhen.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
public class RouterController {
@RequestMapping("/")
public String index(){
return "index";
}
@RequestMapping("/toLogin")
public String toLogin(){
return "views/login";
}
//通过这种方法可以实现代码的复用 , 写一个相当于写了三个
@RequestMapping("/level1/{id}")
public String level1(@PathVariable("id") int id){
return "views/level1/"+id; // 注意"/"
}
@RequestMapping("/level2/{id}")
public String level2(@PathVariable("id") int id){
return "views/level2/"+id;
}
@RequestMapping("/level3/{id}")
public String level3(@PathVariable("id") int id){
return "views/level3/"+id;
}
}
ps. 在编写映射的时候 我们可以用简便的方法写一个可以映射三个
@RequestMapping("/level1/{id}")
return "views/level1/"+id;
4. 认识SpringSecurity
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!
比较重要的几个类:
-
WebSecurityConfigurerAdapter:自定义Security策略
-
AuthenticationManagerBuilder:自定义认证策略
-
@EnableWebSecurity:开启WebSecurity模式
Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。
“认证”(Authentication)
身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。
身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。
“授权” (Authorization)
授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。
这个概念是通用的,而不是只在Spring Security 中存在。
参考官网 : https://spring.io/projects/spring-security
5. 我们刚才写的那个测试环境是谁都可以访问的,我们现在使用 Spring Security 增加上认证和授权的功能
1.引入 Spring Security 模块
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId> </dependency>
2. 编写 Spring Security 配置类
参考官网:
官网
找你对应的版本的相关文档
- 在按照正常的写完之后出现下面的错误,
There is no Passwordencoder mapped for the id " null
- 说明在新版的sprngboot中我们需要密码加密用这个方法
.passwordEncoder(new BCryptPasswordEncoder())
- 于是乎我们完整的配置类为
package com.zhen.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//授权
@Override
protected void configure(HttpSecurity http) throws Exception {
//首页所有人可以访问
//功能页 只有对应有权限的人才能访问
// 请求授权的规则
http.authorizeRequests()
.antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
//没有权限 我们让他默认到登陆界面,需要开启登陆的页面
//自动进入了 " /login "
http.formLogin();
}
//认证
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//正常应该从数据库中读
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()) //加入密码加密功能
.withUser("zhen").password(new BCryptPasswordEncoder().encode("12345")).roles("vip1", "vip2")
//注意roles 要和上面的hasRole相对应!!
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("12345")).roles("vip2", "vip3", "vip3");
}
}
6.输入我们的网页验证相关权限 发现 没问题,然后需要实现我们的注销功能
1.首先我们要在网页前端写入注销按钮
<a class="item" th:href="@{/logout}">
<i class="address card icon"></i> 注销
</a>
2.在SecurityConfiger中开启注销功能
//开启注销功能
http.logout();
我们去测试的时候发现当注销后会跳转到登陆界面。
3.然后我们想让他注销之后返回到我们最开始的页面
//开启注销功能 并且跳转到首页
http.logout().logoutSuccessUrl("/");
测试 ok!
但是我们发现不管我们登陆的账户有什么权限,他都可以看到页面。我们需要进一步改正,对应的用户只能看到相应权限的内容
4. 用户权限显示内容的改进
我们需要结合thymeleaf中的一些功能
sec:authorize=“isAuthenticated()”:是否认证登录
-
在poem中导入相关依赖
<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity5 --> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecuri