SpringSecurity介绍:
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringSecurity的基本使用:
第一:先引入对应的springSecurity依赖。
<!--该依赖是基于springboot引入的依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
第二:我们可以通过创建MySecurityUserConfig类来自定义用户及其用户的角色,其中username()是设置用户password是设置密码,而passwordEncoder().encode("password")是对密码进行加密。roles("student")是设置用户的角色为stuent,设置这个为下面设置用户的权限有帮助
@Bean
public UserDetailsService userDetailsService(){
//使用org.springframework.security.core.userdetails.User类来定义用户
UserDetails student = User.builder().username("user").password(passwordEncoder().encode("password")).roles("student").build();
UserDetails teacher = User.builder().username("admin").password(passwordEncoder().encode("password")).roles("teacher").build();
//创建用户
InMemoryUserDetailsManager userDetailsManager=new InMemoryUserDetailsManager();
userDetailsManager.createUser(student);
userDetailsManager.createUser(teacher);
return userDetailsManager;
}
@Bean
public PasswordEncoder passwordEncoder(){
//不对密码进行加密,使用明文
return new BCryptPasswordEncoder();
}
第三:让MySecurityUserConfig类继承WebSecurityConfigurerAdapter类,然后重写cofingure方法,mvcMatchers("/student/*").hasAnyRole("student", "teacher")这段代码的意思是角色student或者teacher都可以访问/student/** 这样的url,而角色就是我们上面所设置的。
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
//角色student或者teacher都可以访问/student/** 这样的url
.mvcMatchers("/student/*").hasAnyRole("student", "teacher")
.mvcMatchers("teacher/*").hasAnyRole("teacher")
.anyRequest().authenticated();
http.formLogin();
}