通过内存进行认证授权
Authorize Requests 授权/认证
可以通过向方法添加多个子项来为 URL 指定自定义要求http.authorizeRequests()。
例如:
package com.example.project.config;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/resources/**", "/signup", "/about").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")
.anyRequest().authenticated()
.and()
// ...
.formLogin();
}
http.authorizeRequests()方法有多个子项,每个匹配器都按照声明的顺序进行考虑。
指定了任何用户都可以访问的多个 URL 模式。
具体来说,如果 URL 以“/resources/”开头、等于“/signup”或等于“/about”,则任何用户都可以访问请求。
任何以“/admin/”开头的 URL 都将被限制为具有角色“ROLE_ADMIN”的用户。
您会注意到,由于我们正在调用该hasRole方法,因此我们不需要指定“ROLE_”前缀。
任何以“/db/”开头的 URL 都要求用户同时拥有“ROLE_ADMIN”和“ROLE_DBA”。
您会注意到,由于我们使用的是hasRole表达式,因此不需要指定“ROLE_”前缀。
任何尚未匹配的 URL 只需要对用户进行身份验证
xxx.and().formLogin();
.and()相当于一个通用前缀的效果,因为.formLogin()
实际上是http.formLogin()
,当我们使用链式编程可以直接将他们连接起来。
formLogin()可以在没有权限自动跳转到默认登录界面。
密码加密认证
package com.example.project.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//链式编程通过静态内部类方式实现零件无序装配,这种方式使用更加灵活,更符合定义。
// 内部有复杂对象的默认实现,使用时可以根据用户需求自由定义更改内容,并且无需改变具体的构造方式。就可以生产出不同复杂产品
@Override
protected void configure(HttpSecurity http) throws Exception {//授权
//通过路径设置授权限制访问
http.authorizeHttpRequests()
.antMatchers("/").permitAll()//对于默认/来说允许所有人访问
.antMatchers("/index").hasRole("users")//只允许用户可以登录index页面
.and()
.formLogin();//没有权限会自动跳转到默认登录界面
}
//认证
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//密码编码PasswordEncoder mapped for the id "null"要求对密码加密
//正常来讲会从数据库中读取
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())//设置密码加密方式
.withUser("Dave").password(new BCryptPasswordEncoder().encode("123456")).roles("users")//设置密码编码方式,roles中可以设置多个权限比如.roles("users","admin")
.and()
.withUser("David").password(new BCryptPasswordEncoder().encode("123456")).roles("users")
.and()
.withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("users");
}
}
通过数据库认证授权
JDBC Authentication
找到支持基于 JDBC 的身份验证的更新。下面的示例假定您已经DataSource在应用程序中定义了 a。以下示例提供了使用基于 JDBC 的身份验证的完整示例。
@Autowired
private DataSource dataSource;
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.jdbcAuthentication()
.dataSource(dataSource)
.withDefaultSchema()
.withUser("user").password("password").roles("USER").and()
.withUser("admin").password("password").roles("USER", "ADMIN");
}
前端判断登录和权限
<!--判断是否有权限-->
<div class="app-utility-item">
<div sec:authorize="!hasRole('users')">
失败:<span sec:authentication="name"></span><!--名字-->
<!-- 角色:<span sec:authentication="principal.getAuthorities()"></span><!–权限–>-->
</div>
</div>
<!--登录成功-->
<div class="app-utility-item">
<div sec:authorize="isAuthenticated()">
用户名:<span sec:authentication="name"></span><!--名字-->
<!-- 角色:<span sec:authentication="principal.getAuthorities()"></span><!–权限–>-->
</div>
</div>
<div class="app-utility-item">
<div sec:authorize="isAuthenticated()">
<a th:href="@{/logout}" th:title="注销">
<i class="sign-out icon"></i>注销
</a>
</div>
</div>
整个文件
package com.example.project.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//链式编程通过静态内部类方式实现零件无序装配,这种方式使用更加灵活,更符合定义。
// 内部有复杂对象的默认实现,使用时可以根据用户需求自由定义更改内容,并且无需改变具体的构造方式。就可以生产出不同复杂产品
@Override
protected void configure(HttpSecurity http) throws Exception {//授权
//通过路径设置授权限制访问
http.authorizeHttpRequests()
//设置访问权限
.antMatchers("/").permitAll()//对于默认/来说允许所有人访问
.antMatchers("/index").hasRole("users")//只允许用户可以登录index页面
.and()
//没有权限会自动跳转到默认登录界面
.formLogin()
// .loginPage("/login")//用户未登录时,访问任何资源都转跳到该路径,即登录页面
// .loginProcessingUrl("/login")//登录表单form中action的地址,也就是处理认证请求的路径
// .usernameParameter("name")///登录表单form中用户名输入框input的name名,不修改的话默认是username
// .passwordParameter("password")//form中密码输入框input的name名,不修改的话默认是password
.defaultSuccessUrl("/index")//登录认证成功后默认转跳的路径,这一行如果不加,会继续跳转到自己的login页面
.and()
//开启注销功能,注销成功返回注册页面
.logout().logoutSuccessUrl("/")
.and()
;
//防止网站攻击 get不太安全 post较安全
http.csrf().disable();//关闭csrfCSRF(Cross-site request forgery)
// 也被称为:one click attack/session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。
//开启记住我功能,本质就是个cookie
http.rememberMe();
//http.rememberMe().rememberMeParameter("");//这边可以通过获取html上设置的remember(如CheckBox)判定
}
//认证
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//密码编码PasswordEncoder mapped for the id "null"要求对密码加密
//正常来讲会从数据库中读取
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())//设置密码加密方式
.withUser("Dave").password(new BCryptPasswordEncoder().encode("123456")).roles("users")//设置密码编码方式
//,roles中可以设置多个权限比如.roles("users","admin")
.and()
.withUser("David").password(new BCryptPasswordEncoder().encode("123456")).roles("users")
.and()
.withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("users");
}
}