SpringBoot集成Spring Security

最新推荐文章于 2024-02-26 22:32:57 发布
最新推荐文章于 2024-02-26 22:32:57 发布
阅读量1.2k 收藏 6
点赞数
分类专栏: Linux万花筒 文章标签: 数据库 spring java spring boot mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yychuyu/article/details/107139770
版权
1、Spring Security介绍

Spring security,是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准 ——来自官方参考手册

Spring securityshiro 一样,具有认证、授权、加密等用于权限管理的功能。和 shiro 不同的是,Spring security拥有比shiro更丰富的功能,并且,对于Springboot而言,Spring SecurityShiro更合适一些,因为都是Spring家族成员。今天,我们来为SpringBoot项目集成Spring Security

本文所使用的版本:

SpringBoot : 2.2.6.RELEASE
Spring Security : 5.2.2.RELEASE

2、配置Spring Security

SpringBoot中集成Spring Security很简单,只需要在pom.xml中添加下面代码就行:

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

这里可以不指定Spring Security的版本号,它会根据SpringBoot的版本来匹配对应的版本,SpringBoot版本是 2.2.6.RELEASE,对应Spring Security的版本是5.2.2.RELEASE

然后,我们就可以将springboot启动了。

当我们尝试访问项目时,它会跳转到这个界面来:

image-20200415201525535

​ 对!在此之前,你什么也不用做。这就是Spring Security的优雅之处。你只需要引入Spring Security的包,它就能在你的项目中工作。因为它已经帮你实现了一个简单的登陆界面。根据官方介绍,登录使用的账号是user,密码是随机密码,这个随机密码可以在控制台中找到,类似这样的一句话:

	Using generated security password: 1cb77bc5-8d74-4846-9b6c-4813389ce096

​ Using generated security password后面的的就是系统给的随机密码,我们可以使用这个密码进行登录。随机密码在每一次启动服务后生成(如果你配置了热部署devtools,你得随时留意控制台了,因为每当你修改了代码,系统会自动重启,那时随机密码就会重新生成)。

​ 当然,这样的功能一定不是你想要的,也一定不会就这样拿给你的用户使用。那么,接下来,让我们把它配置成我们想要的样子。

​ 要实现自定义配置,首先要创建一个继承于WebSecurityConfigurerAdapter的配置类:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

}

​ 这里使用了**@EnableWebSecurity注解,这个注解是Spring Security**用于启用web安全的注解。具体实现,这里就不深入了。

​ 要实现自定义拦截配置,首先得告诉Spring Security,用户信息从哪里获取,以及用户对应的角色等信息。这里就需要重写WebSecurityConfigurerAdapterconfigure(AuthenticationManagerBuilder auth)方法了。这个方法将指使Spring Security去找到用户列表,然后再与想要通过拦截器的用户进行比对,再进行下面的步骤。

Spring Security的用户存储配置有多个方案可以选择,包括:

  • 内存用户存储
  • 数据库用户存储
  • LDAP用户存储
  • 自定义用户存储

​ 我们分别来看看这几种用户存储的配置方法:

1.内存用户存储

​ 此配置方式是直接将用户信息存储在内存中,这种方式在速度上无疑是最快的。但只适用于有限个用户数量,且这些用户几乎不会发生改变。我们来看看配置方法:

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.inMemoryAuthentication().passwordEncoder(passwordEncoder())
			.withUser("zhangsan").password(passwordEncoder().encode("123456")).authorities("ADMIN")
			.and()
			.withUser("lisi").password(passwordEncoder().encode("123456")).authorities("ORDINARY");
	}
	
	private PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

​ 可以看到,AuthenticationManagerBuilder使用构造者方式来构建的。在上面方法中,先调用了inMemoryAuthentication()方法,它来指定用户存储在内存中。接下来又调用了passwordEncoder()方法,这个方法的作用是告诉Spring Security认证密码的加密方式。因为在Spring security5过后,必须指定某种加密方式,不然程序会报错。接下来调用的**withUser()、password()、authorities()**方法,分别是在指定用户的账号、密码以及权限名。在添加完一个用户后,要使用and()方法来连接下一个用户的添加。

​ 如果使用这种配置方法,你会发现,在修改用户时,就必须修改代码。对于绝大多数项目来说,这种方式是满足不了需求的,至少我们需要一个注册功能。

2.数据库用户存储

​ 将用户信息存储在数据库中,让我们可以很方便地对用户信息进行增删改查。并且还可以为用户添加除认证信息外的附加信息,这样的设计也是我们很多小心应用所采取的方式。让我们来实现以下:

	@Autowired
	private DataSource dataSource;
	
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.jdbcAuthentication().dataSource(dataSource).passwordEncoder(passwordEncoder())
			.usersByUsernameQuery(
					"select username, password, status from Users where username = ?")
			.authoritiesByUsernameQuery(
					"select username, authority from Authority where username = ?");
		
	}
	
	private PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

​ 调用**jdbcAuthentication()**来告诉Spring Security使用jdbc的方式来查询用户和权限,**dataSource()**方法指定数据库连接信息,**passwordEncoder()**指定密码加密规则,用户的密码数据应该以同样的方式进行加密存储,不然,两个加密方式不同的密码,匹配补上。usersByUsernameQuery()authoritiesByUsernameQuery()方法分别定义了查询用户和权限信息的sql语句。其实,Spring security为我们默认了查询用户、权限甚至还有群组用户授权的sql,这三条默认的sql存放在org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl中,有兴趣的小伙伴可以点进去看看。如果你要使用默认的,那你的表中关键性的字段必须和语句中的一致。

​ 使用数据库来存储用户和权限等信息已经可以满足大部分的需求。但是Spring security还为我们提供了另外一种配置方式,让我们来看一下。

3.LDAP用户存储

LDAP:轻型目录访问协议,是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。简单来说,就是将用户信息存放在另外一台服务器中(当然,也可以在同一台服务器,但我们一般不这么做),通过网络来进行访问的技术。

​ 我们来简单配置一下:

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		LdapAuthenticationProviderConfigurer<AuthenticationManagerBuilder> configurer = 					auth.ldapAuthentication()
			.userSearchBase("ou=people")
			.userSearchFilter("(uid={0})")
			.groupSearchBase("ou=groups")
			.groupSearchFilter("member={0}");
			
		configurer.passwordCompare()
			.passwordEncoder(passwordEncoder())
			.passwordAttribute("passcode");
		configurer.contextSource().url("ldap://xxxxx.com:33389/dc=xxxxxx,dc=com");
	}
	
	private PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

userSearchFilter()groupSearchFilter()设置的是用户和群组的过滤条件,而userSearchBase()groupSearchBase()设置了搜索起始位置,contextSource().url()设置LDAP服务器的地址。如果没有远程的服务器可以使用contextSource().root()来使用嵌入式LDAP服务器,此方式将使用项目中的用户数据文件来提供认证服务。

​ 如果以上几种方式还不能满足我们的需求,我们可以用自定义的方式来配置。

4.自定义用户存储

​ 自定义用户存储,就是自行使用认证名称来查找对应的用户数据,然后交给Spring Security使用。我们需要定义一个实现UserDetailsServiceservice类:

@Service
public class MyUserDetailsService implements UserDetailsService{

	@Autowired
	private UserMapper userMapper;
	
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		User user = userMapper.getUserByUsername(username);
		return user == null ? new User() : user;
	}
}

public class User implements UserDetails {
    ...
}

​ 该类只需要实现一个方法:loadUserByUsername()。该方法需要做的是使用传过来的username来匹配一个带有密码等信息的用户实体。需要注意的是这里的User类需要实现UserDetails,也就是说,查到的信息里,必须得有Spring Security所需要的信息。

​ 下面,让我们来继续配置:


@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	private MyUserDetailsService userDetailsService;
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService)
			.passwordEncoder(passwordEncoder());
	}
	
	@Bean
	private PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

​ 这样的配置方法就很简单了,只需要告诉Spring Security你的UserDetailsService实现类是哪个就可以了,它会去调用**loadUserByUsername()**来查找用户。

​ 以上就是Spring Security所提供的4种用户存储方式,接下来,需要考虑的是,怎么拦截请求。

3、请求拦截
1.安全规则

Spring Security的请求拦截配置方法是用户存储配置方法的重载方法,我们先来简单配置一下:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
			.antMatchers("/user", "/menu")
			.hasRole("ADMIN")
			.antMatchers("/", "/**").permitAll();
	}
}

​ 调用**authorizeRequests()**方法后,就可以添加自定义拦截路径了。**antMatchers()**方法配置了请求路径,**hasRole()permitAll()**指定了访问规则,分别表示拥有“ADMIN”权限的用户才能访问、所有用户可以访问。

​ 需要注意的是:这里的配置需要成对出现,并且配置的顺序也很重要。声明在前面的规则拥有更高的优先级。也就是说,如果我们将**.antMatchers("/", “/**”).permitAll()**放到了最前面,像这样:

@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
			.antMatchers("/", "/**").permitAll()
             .antMatchers("/user", "/menu")
			.hasRole("ADMIN");
	}

​ 那么,下面的"/user"和 "/menu"的配置是徒劳,因为前面的规则已经指明所有路径能被所有人访问。当然权限的规则方法还有很多,我这里只列举了两个。以下为常见的内置表达式:

表达描述
hasRole(String role)返回true当前委托人是否具有指定角色。例如, hasRole('admin')默认情况下,如果提供的角色不是以“ ROLE_”开头,则会添加该角色。可以通过修改defaultRolePrefixon来自定义DefaultWebSecurityExpressionHandler
hasAnyRole(String… roles)返回true当前委托人是否具有提供的任何角色(以逗号分隔的字符串列表形式)。例如, hasAnyRole('admin', 'user')默认情况下,如果提供的角色不是以“ ROLE_”开头,则会添加该角色。可以通过修改defaultRolePrefixon来自定义DefaultWebSecurityExpressionHandler
hasAuthority(String authority)返回true当前委托人是否具有指定权限。例如, hasAuthority('read')
hasAnyAuthority(String… authorities)返回true如果当前主体具有任何所提供的当局的(给定为逗号分隔的字符串列表)例如, hasAnyAuthority('read', 'write')
principal允许直接访问代表当前用户的主体对象
authentication允许直接访问AuthenticationSecurityContext
permitAll始终评估为 true
denyAll始终评估为 false
isAnonymous()返回true当前委托人是否为匿名用户
isRememberMe()返回true当前主体是否是“记住我”的用户
isAuthenticated()true如果用户不是匿名的,则返回
isFullyAuthenticated()返回true如果用户不是匿名或记得,我的用户
hasPermission(Object target, Object permission)返回true用户是否可以访问给定权限的给定目标。例如,hasPermission(domainObject, 'read')
hasPermission(Object targetId, String targetType, Object permission)返回true用户是否可以访问给定权限的给定目标。例如,hasPermission(1, 'com.example.domain.Message', 'read')

除此之外,还有一个支持SpEL表达式计算的方法,它的使用方法如下:

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
			.antMatchers("/user", "/menu")
			.access("hasRole('ADMIN')")
			.antMatchers("/", "/**").permitAll();
	}

​ 它所实现的规则和上面的方法一样。Spring Security还提供了其他丰富的SpEL表达式,如:

表达描述
hasRole(String role)返回true当前委托人是否具有指定角色。例如, hasRole('admin')默认情况下,如果提供的角色不是以“ ROLE_”开头,则会添加该角色。可以通过修改defaultRolePrefixon来自定义DefaultWebSecurityExpressionHandler
hasAnyRole(String… roles)返回true当前委托人是否具有提供的任何角色(以逗号分隔的字符串列表形式)。例如, hasAnyRole('admin', 'user')默认情况下,如果提供的角色不是以“ ROLE_”开头,则会添加该角色。可以通过修改defaultRolePrefixon来自定义DefaultWebSecurityExpressionHandler
hasAuthority(String authority)返回true当前委托人是否具有指定权限。例如, hasAuthority('read')
hasAnyAuthority(String… authorities)返回true如果当前主体具有任何所提供的当局的(给定为逗号分隔的字符串列表)例如, hasAnyAuthority('read', 'write')
principal允许直接访问代表当前用户的主体对象
authentication允许直接访问AuthenticationSecurityContext
permitAll始终评估为 true
denyAll始终评估为 false
isAnonymous()返回true当前委托人是否为匿名用户
isRememberMe()返回true当前主体是否是“记住我”的用户
isAuthenticated()true如果用户不是匿名的,则返回
isFullyAuthenticated()返回true如果用户不是匿名或记得,我的用户
hasPermission(Object target, Object permission)返回true用户是否可以访问给定权限的给定目标。例如,hasPermission(domainObject, 'read')
hasPermission(Object targetId, String targetType, Object permission)返回true用户是否可以访问给定权限的给定目标。例如,hasPermission(1, 'com.example.domain.Message', 'read')
2.登录

​ 如果此时,我们有自己的登录界面,需要替换掉Spring Security所提供的默认的界面,这时可以用**fromLogin()loginPage()**方法来实现:

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
			.antMatchers("/user", "/menu")
			.access("hasRole('ADMIN')")
			.antMatchers("/", "/**").permitAll()
			.and()
			.formLogin()
			.loginPage("/login");
	}

​ 这便将登录地址指向了“/login”。如果需要指定登录成功时,跳转的地址,可以使用**defaultSuccessUrl()**方法:

		   .and()
            .formLogin()
            .loginPage("/login")
            .defaultSuccessUrl("/home")

​ 此时用户登录过后,将跳转到主页来。

​ 下面,我们来看看登出。

3.登出

​ 和登录类似的,可以使用**logout()logoutSuccessUrl()**方法来实现:

			.and()
			.logout()
			.logoutSuccessUrl("/login")

​ 上面例子中,用户登出后将跳转到登录界面。

4、小结

至此,我们已基本了解了Spring Security配置,可以将它配置成我们想要的样子(基本)。其实Spring Security能做的事还有很多,光看我这篇文章是不够的。学习它最有效的方法就是阅读官方文档。里面有关于Spring Security最全最新的知识!(官网地址:https://spring.io/projects/spring-security)

良许Linux
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot集成Spring Security的方法
08-18
Spring security,是一个强大的和高度可定制的身份验证和访问控制框架。这篇文章主要介绍了SpringBoot集成Spring Security的操作方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库
02-16
Spring Security 默认是账号和密码登录,现在是对 Spring Security 进行扩展,来实现短信验证码方式登录。 SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库
SpringBoot集成认证授权(SpringBoot + Spring Security
最新发布
IT_WEH_coder的博客
02-26 1037
Spring Security是一个非常强大的安全框架,提供了丰富的功能和灵活的配置选项,可以很方便地集成Spring Boot项目中。
SpringBoot集成Spring Security实现权限控制【完整源码+数据库
02-16
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】 适合刚接触Spring Security的初学者,或者想要加深对Spring Security理解的开发人员
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
SpringBoot集成Spring Security实现角色继承【完整源码+数据库
02-16
SpringBoot集成Spring Security实现角色继承 适合小白,刚刚接触security权限框架的小白,或者开发人员,可以加深对security的理解
SpringSecurity(一)
hangkhang的博客
08-13 7263
在我们的业务处理中,对于安全的管理是必不可少的,也就是认证以及权限,在Spring横行的今天,学习如何使用SpringSecurity是必不可少的,所以最近想深入学习一下SpringSecurity并分享一下自己的学习历程,此次的学习主要以实践+部分源码为主,完成认证+权限+Oauth2+JWT+oos等,最后会做一个demo,来完成此次的SpringSecurity之旅。 简介 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供
第一篇 全网SpringSecurity最详细教程
Wang________的博客
07-06 1772
引入SpringSecurity依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 启动SpringBoot项目后 控制台 会打印 Using generated security pas..
spring security默认用户名和密码以及在配置文件配置一个账号和密码
weixin_42471170的博客
06-08 1万+
1. spring security默认用户名和密码 spring security默认用户名:user spring security默认密码: 在控制台打印出来,如下: Using generated security password: 1dfdgki3-q234-76hj-6h7l-1re87f546r646 2.spring security在yml文件配置用户名和密码 spring: security: user: name: nba password:
Spring Boot 整合 Spring Security(详细学习笔记)
yxc852814721的博客
01-30 2395
Spring Boot 整合 Spring Security(详细学习笔记) 目录Spring Boot 整合 Spring Security(详细学习笔记)一级目录二级目录三级目录一、什么是 Spring Security ?二、简单的入门案例1、引入 Spring Security 依赖2、创建 HelloController 类3、运行三、3个重要的过滤器1、FilterSecurityInterceptor 过滤器2、ExceptionTranslationFilter 过滤器3、UsernameP
Spring Security框架
Melody_1943的博客
06-27 856
Spring Security是用于解决认证与授权的框架。添加依赖 启动项目,在启动的日志中,可以看到类似以下内容: Spring Security有默认登录的账号和密码(以上提示的值),密码是随机的,每次启动项目都会不同。Spring Security默认要求所有的请求都是必须先登录才允许的访问,可以使用默认的用户名和自动生成的随机密码来登录。在测试登录时,在浏览器访问当前主机的任意网址都可以(包括不存在的资源),会自动跳转到登录页(是由Spring Security提供的,默认的URL是:http://
狂神说SpringBoot18:集成SpringSecurity
热门推荐
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
2021/09/13笔记
qq_59903099的博客
09-13 401
我们于2021/09/13 的学习目标是:SpringSecurity,核心任务为: 1、学习技术: 1)、SpringSecurity简介 2)、SpringSecurity快速入门 3)、UserDetailsService 4)、BCryptPasswordEncoder 5)、自定义登录 6)、认证过程其他常用配置 2、文档总结 1)、SpringSecurity简介 SpringSecurity是是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的
一篇文章带你入门 SpringSecurity实现密码加密和解码
南淮北安的博客
09-26 9998
文章目录一、加密和解密1. 为什么要加密2. 加密方案3. PasswordEncoder二、前期准备二、用户配置1. 配置文件2. 配置类 一、加密和解密 1. 为什么要加密 2011 年 12 月 21 日,有人在网络上公开了一个包含 600 万个 CSDN 用户资料的数据库,数据全部为明文储存,包含用户名、密码以及注册邮箱。事件发生后 CSDN 在微博、官方网站等渠道发出了声明,解释说此数据库系 2009 年备份所用,因不明原因泄露,已经向警方报案,后又在官网发出了公开道歉信。在接下来的十多天里,金山
Spring Security框架从入门到实战
MarkZQP的博客
08-11 400
在看完Shiro框架文章时,我们大致应该知道了,了解了安全框架应该去做哪些事情,并且随着微服务架构的发展,Spring Security框架在安全框架的地位也发展的越来越好,所以,了解Spring Security框架的使用还是很有必要的。这篇博客是用来巩固自己的学习内容,博客来源与:江南一点雨,所发的视频及他发的文章。 Spring Security框架能做什么呢 它和上一篇文章讲的Shiro一样,它用来做授权和认证相关功能 快速了解一下Spring Security的强大之处 首先创建一个Spring
Spring Security (一) --------- Spring Security 入门
在森林里麋了鹿
07-21 1604
SpringSecurity 入门
JAVA学习篇——Spring Boot Security
zhang19971014的博客
04-20 8165
1. 关于Spring Boot Security Spring Boot Security是在Spring Boot中使用的,基于Spring Security的依赖项,其本质就是Spring Security框架加上了应用于Spring Boot工程的自动配置。 Spring Security是一款主要解决了认证和授权相关处理的安全框架。 认证:验证用户的身份,例如在登录过程中验证用户名与密码是否匹配。 授权:使得用户允许访问服务器端的某些资源,或禁止访问某些资源,例如管理员可以执行一些数据删除
Spring Security加密解密
程序三两行
08-03 6145
我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。这是一种可以从任何数据中创建数字“指纹”的方法,常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)等。散列函数通过把消息或数据压缩成摘要信息,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,再重新创建成一个散列值,从而达到加密的目的。散列值通常用一个短的随机字母和数字组成的字
Spring Security基本认证(2)
weixin_43831002的博客
08-02 1362
对于安全管理框架而言,认证功能可以说是一切的起点,所以我们要研究SpringSecurity,就要从最基本的认证开始。在SpringSecurity中,对认证功能做了大量的封装,以至于开发者只需要稍微配置一下就能使用认证功能,然而要深刻理解其源码却并非易事。本文从最基本的用法开始讲解,最终再扩展到对源码的理解。...
springboot集成springSecurity
05-10
Spring Security 是一个基于 Spring 的安全框架,提供了一组完整的安全性功能,包括身份验证、授权、防止 CSRF 攻击等等。Spring Boot 基于 Spring,自然也集成Spring Security。下面是 Spring Boot 集成 Spring Security 的步骤: 1. 在 pom.xml 中添加 Spring Security 的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 编写一个继承自 WebSecurityConfigurerAdapter 的配置类,并使用 @EnableWebSecurity 注解开启 Spring Security: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user").password("password").roles("USER"); } } ``` 上面的代码中,我们配置了 Spring Security 的基本功能:对所有请求进行身份验证,允许访问首页和登录页面,使用 inMemoryAuthentication 来指定用户和密码。 3. 在 application.properties 或 application.yml 中配置登录页面的 URL: ```properties spring.security.login.form=/login ``` 4. 编写一个登录页面,例如一个 Thymeleaf 模板: ```html <!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <title>Login</title> </head> <body> <form th:action="@{/login}" method="post"> <div><label>Username: <input type="text" name="username"/></label></div> <div><label>Password: <input type="password" name="password"/></label></div> <div><input type="submit" value="Log in"/></div> </form> </body> </html> ``` 这样就完成了 Spring Boot 集成 Spring Security 的配置。当用户访问受保护的页面时,会被重定向到登录页面进行身份验证。如果用户输入的用户名和密码正确,就会跳转到原来请求的页面。如果不正确,就会显示错误信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

良许Linux

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值