SpringSecurity-入门-第一章

最新推荐文章于 2024-10-30 18:07:32 发布

Time''

最新推荐文章于 2024-10-30 18:07:32 发布

阅读量122

点赞数

分类专栏： SpringSecurity 文章标签： java

本文链接：https://blog.csdn.net/weixin_53867644/article/details/112988763

版权

SpringSecurity 专栏收录该内容

9 篇文章 1 订阅

订阅专栏

1.SpringSecurity介绍

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean，充分利用了Spring IoC，DI（控制反转Inversion of Control ,DI:Dependency Injection 依赖注入）和AOP（面向切面编程）功能，为应用系统提供声明式的安全访问控制功能，减少了为企业系统安全控制编写大量重复代码的工作。

2.入门案例-认证
①搭建工程

基于SpringBoot搭建web工程，项目名为“spring-security-demo”
②导入依赖
这里继承了SpringBoot的父工程，引入SpringSecurity基础依赖
“spring-boot-starter-security”，以及集成web的依赖“spring-boot-starter-web”

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.0.5.RELEASE</version>
  </parent>


  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <maven.compiler.source>1.8</maven.compiler.source>
    <maven.compiler.target>1.8</maven.compiler.target>
  </properties>

  <dependencies>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-test</artifactId>
      <scope>test</scope>
    </dependency>

    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>4.12</version>
      <scope>test</scope>
    </dependency>
  </dependencies>

③主配置类

@SpringBootApplication
public class ApplicationConfig {
    public static void main(String[] args) {
        SpringApplication.run(ApplicationConfig.class);
    }
}

④Web控制器
当用户认证成功之后会重定向到该方法，返回“登录成功”给用户

@RestController
public class AuthController {
//登录成功后重定向地址
    @RequestMapping("/loginSuccess")
    public String loginSuccess(){
        return "登录成功";
	} 
}

⑤配置SpringSecurity

SpringSecurity提供了一个配置类WebSecurityConfigurerAdapter用来提供给程序员对SpringSecurity做自定义配置，我们需要配置如下几个信息：

创建UserDetailService的Bean，该组件是用来加载用户认证信息
配置编码器，通过该编码器对密码进行加密匹配。
授权规则配置，哪些资源需要什么权限…

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

     //提供用户信息，这里没有从数据库查询用户信息，在内存中模拟
    @Bean
    public UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager inMemoryUserDetailsManager = 
        new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(User.withUsername("zs").password("123").authorities("admin").build());
        return inMemoryUserDetailsManager;
    }
  

    //密码编码器：不加密
    @Bean
    public PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }
    
    //授权规则配置
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()                                //授权配置
                .antMatchers("/login").permitAll()  //登录路径放行
                .anyRequest().authenticated()     //其他路径都要认证之后才能访问
                .and().formLogin()                              //允许表单登录
                .successForwardUrl("/loginSuccess")             // 设置登陆成功页
                .and().logout().permitAll()                    //登出路径放行 /logout
                .and().csrf().disable();                        //关闭跨域伪造检查
    }
}

⑥认证流程小结
SpringBoot+SpringSecurity集成入门案例到这里就结束了，这里并没有多SpringSecurity原理做过多解释(留在后面章节)，那么这个案例大概的实现思路是：
在这里插入图片描述 SpringSecurity根据我们在WebSecurityConfig中的配置会对除了“/login”之外的资源进行拦截做认证检查，
如果没有认证会跳转到默认的认证页面“/login” ,
输入用户名和密码后点击登录，SpringSecurity会带着用户名调用 UserDetailsService.loadUserByUsername获取用户的认证信息(用户名，密码，权限等),
然后执行认证工作：表单密码和loadUserByUsername加载的数据库的密码进行匹配(PasswordEncoder)
认证成功跳转成功地址