基于狂神学习 SpringBoot整合SpringSecurity相关详解【～】

最新推荐文章于 2022-10-28 19:38:58 发布

S Z Z

最新推荐文章于 2022-10-28 19:38:58 发布

阅读量339

点赞数

分类专栏： SpringBoot 文章标签： spring boot 前端后端 java tomcat

本文链接：https://blog.csdn.net/weixin_52891794/article/details/121616115

版权

本文详细介绍了如何在SpringBoot项目中整合SpringSecurity，从新建模块、导入资源到配置安全框架，涵盖认证、授权、注销、记住我等功能的实现，并提供完整代码示例。

摘要由CSDN通过智能技术生成

SpringSecurity （安全）

官方文档：
官方文档

权限：

功能权限
访问权限
菜单权限

我们之前要实现这些权限用的是拦截器，过滤器，用了大量的原生代码。

现在可以用安全框架

安全框架的核心就是把权限赋给角色，而不是赋给相应的用户，而用户只需要获得相应的角色就可以获得相应的权限

1. 新建一个模块

只需要勾选springweb依赖即可

在poem中导入themleaf依赖

themleaf官方文档：

官方文档

 <!-- thymeleaf 模板 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>

2. 导入静态资源

3. 编写Controller层

package com.zhen.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class RouterController {
   

    @RequestMapping("/")
    public String index(){
   
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
   
        return "views/login";
    }

    //通过这种方法可以实现代码的复用 ， 写一个相当于写了三个
    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
   

        return "views/level1/"+id;              // 注意"/"
    }

 @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
   

        return "views/level2/"+id;
    }
 @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
   

        return "views/level3/"+id;
    }

}

ps. 在编写映射的时候我们可以用简便的方法写一个可以映射三个

@RequestMapping("/level1/{id}")

return "views/level1/"+id;

4. 认识SpringSecurity

Spring Security 是针对Spring项目的安全框架，也是Spring Boot底层安全模块默认的技术选型，他可以实现强大的Web安全控制，对于安全控制，我们仅需要引入 spring-boot-starter-security 模块，进行少量的配置，即可实现强大的安全管理！

比较重要的几个类：

WebSecurityConfigurerAdapter：自定义Security策略
AuthenticationManagerBuilder：自定义认证策略
@EnableWebSecurity：开启WebSecurity模式

Spring Security的两个主要目标是 “认证” 和 “授权”（访问控制）。

“认证”（Authentication）

身份验证是关于验证您的凭据，如用户名/用户ID和密码，以验证您的身份。

身份验证通常通过用户名和密码完成，有时与身份验证因素结合使用。

“授权” （Authorization）

授权发生在系统成功验证您的身份后，最终会授予您访问资源（如信息，文件，数据库，资金，位置，几乎任何内容）的完全权限。

这个概念是通用的，而不是只在Spring Security 中存在。

参考官网： https://spring.io/projects/spring-security

5. 我们刚才写的那个测试环境是谁都可以访问的，我们现在使用 Spring Security 增加上认证和授权的功能

1.引入 Spring Security 模块

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId> </dependency>

2. 编写 Spring Security 配置类

参考官网：
官网

找你对应的版本的相关文档

在按照正常的写完之后出现下面的错误，

There is no Passwordencoder mapped for the id " null

说明在新版的sprngboot中我们需要密码加密用这个方法

.passwordEncoder(new BCryptPasswordEncoder())

于是乎我们完整的配置类为

package com.zhen.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   

    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
   

        //首页所有人可以访问
        //功能页 只有对应有权限的人才能访问

        // 请求授权的规则
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");


        //没有权限 我们让他默认到登陆界面,需要开启登陆的页面
        //自动进入了  " /login "
        http.formLogin();
    }


    //认证

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   

        //正常应该从数据库中读
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())          //加入密码加密功能
                .withUser("zhen").password(new BCryptPasswordEncoder().encode("12345")).roles("vip1", "vip2")
                //注意roles 要和上面的hasRole相对应！！
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("12345")).roles("vip2", "vip3", "vip3");
    }
}

6.输入我们的网页验证相关权限发现没问题，然后需要实现我们的注销功能

1.首先我们要在网页前端写入注销按钮

<a class="item" th:href="@{/logout}">
   <i class="address card icon"></i> 注销
</a>

2.在SecurityConfiger中开启注销功能

//开启注销功能
        http.logout();

我们去测试的时候发现当注销后会跳转到登陆界面。

3.然后我们想让他注销之后返回到我们最开始的页面

       //开启注销功能  并且跳转到首页
        http.logout().logoutSuccessUrl("/");

测试 ok！

但是我们发现不管我们登陆的账户有什么权限，他都可以看到页面。我们需要进一步改正，对应的用户只能看到相应权限的内容

4. 用户权限显示内容的改进

我们需要结合thymeleaf中的一些功能

sec：authorize=“isAuthenticated()”:是否认证登录

在poem中导入相关依赖

<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity5 -->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecuri