【Spring Boot】011-SpringSecurity(安全)
最新更新:2020年9月22日08:16:43
目录
一、概述
二、环境搭建
1、创建项目
第一步:配置项目相关信息
第二步:勾选web模块,创建即可
2、引入相关坐标
thymeleaf模板引擎:
3、导入静态资源
资源下载地址:
4、设置配置文件application.properties
5、编写RouterController类
6、运行测试
三、用户授权和认证
1、用户授权
第一步:导入security依赖坐标
第二步:创建SecurityConfig类
第三步:运行测试
第四步:设置若没有权限跳转到登陆页面
2、用户认证
第一步:修改Config类:
第二步:测试结果:
第三步:密码加密:
第四步:测试结果:(成功登陆)
第五步:可正常访问相关权限内页面:
四、注销及权限控制
1、注销
第一步:修改Config类
第二步:修改index.html页面
第三步:测试结果
第四步:修改代码,使其跳转到首页
第五步:测试结果
2、权限控制
第一步:导入坐标
第二步:修改index.html页面
第三步:修改spring boot版本为2.0.7,因为2.3.3springboot 2.1.x版本以上不兼容部分标签,如
第四步:运行测试
备注:
五、开启“记住我”功能
修改SecurityConfig类:
六、备注
1、说明
2、注意最佳实践结合:
七、源代码
一、概述
Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。
相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。
自从有了 Spring Boot 之后,Spring Boot 对于 Spring Security 提供了 自动化配置方案,可以零配置使用 Spring Security。
因此,一般来说,常见的安全管理技术栈的组合是这样的:
- SSM + Shiro
- Spring Boot/Spring Cloud + Spring Security
注意,这只是一个推荐的组合而已,如果单纯从技术上来说,无论怎么组合,都是可以运行的。
二、环境搭建
1、创建项目
第一步:配置项目相关信息
第二步:勾选web模块,创建即可
2、引入相关坐标
thymeleaf模板引擎:
<!--thymeleaf--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-java8time</artifactId></dependency>
3、导入静态资源
资源下载地址:
链接:https://pan.baidu.com/s/1XGpVIQwN3U9NICEVegC1Mw
提取码:zibo
4、设置配置文件application.properties
spring.thymeleaf.cache=false
5、编写RouterController类
package com.zibo.controller;import org.springframework.stereotype.Controller;import org.springframework.web.bind.annotation.PathVariable;import org.springframework.web.bind.annotation.RequestMapping;@Controllerpublic class RouterController {@RequestMapping({"/","index","index.html"})public String index(){return "index";}@RequestMapping("/toLogin")public String toLogin(){return "views/login";}@RequestMapping("/level1/{id}")public String level1(@PathVariable("id") int id){return "views/level1/" + id;}@RequestMapping("/level2/{id}")public String level2(@PathVariable("id") int id){return "views/level2/" + id;}@RequestMapping("/level3/{id}")public String level3(@PathVariable("id") int id){return "views/level3/" + id;}}
6、运行测试
http://localhost:8080/
三、用户授权和认证
1、用户授权
第一步:导入security依赖坐标
<!--security--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>
第二步:创建SecurityConfig类
package com.zibo.config;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;//AOP:拦截器@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {//首页所有人可以访问,里面的功能页只能有权限的人才能访问//链式编程http.authorizeRequests().antMatchers("/").permitAll().antMatchers("/level1/**").hasRole("vip1").antMatchers("/level2/**").hasRole("vip2").antMatchers("/level3/**").hasRole("vip3");}}
第三步:运行测试
首页可以正常访问:
其他页面无法访问:
第四步:设置若没有权限跳转到登陆页面
修改Config类:
package com.zibo.config;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;//AOP:拦截器@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {//首页所有人可以访问,里面的功能页只能有权限的人才能访问//链式编程http.authorizeRequests().antMatchers("/").permitAll().antMatchers("/level1/**").hasRole("vip1").antMatchers("/level2/**").hasRole("vip2").antMatchers("/level3/**").hasRole("vip3");//没有权限,默认调到登陆页面http.formLogin();}}
测试结果:
源代码注释:
2、用户认证
第一步:修改Config类:
package com.zibo.config;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;//AOP:拦截器@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {//授权@Overrideprotected void configure(HttpSecurity http) throws Exception {//首页所有人可以访问,里面的功能页只能有权限的人才能访问//链式编程http.authorizeRequests().antMatchers("/").permitAll().antMatchers("/level1/**").hasRole("vip1").antMatchers("/level2/**").hasRole("vip2").antMatchers("/level3/**").hasRole("vip3");//没有权限,默认调到登陆页面http.formLogin();}//认证@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//这些数据正常情况下应该从数据库中读取auth.inMemoryAuthentication().withUser("zibo").password("123").roles("vip2","vip3").and().withUser("zb").password("123").roles("vip1","vip3");}}
第二步:测试结果:
报错,因为密码未加密!
第三步:密码加密:
package com.zibo.config;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;//AOP:拦截器@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {//授权@Overrideprotected void configure(HttpSecurity http) throws Exception {//首页所有人可以访问,里面的功能页只能有权限的人才能访问//链式编程http.authorizeRequests().antMatchers("/").permitAll().antMatchers("/level1/**").hasRole("vip1").antMatchers("/level2/**").hasRole("vip2").antMatchers("/level3/**").hasRole("vip3");//没有权限,默认调到登陆页面http.formLogin();}//认证//PasswordEncoder 密码编码(加密)//在Spring Security5.0+中,新增了很多加密方法@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//这些数据正常情况下应该从数据库中读取auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("zibo").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3").and().withUser("zb").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip3");}}
第四步:测试结果:(成功登陆)
第五步:可正常访问相关权限内页面:
四、注销及权限控制
1、注销
第一步:修改Config类
package com.zibo.config;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;//AOP:拦截器@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {//授权@Overrideprotected void configure(HttpSecurity http) throws Exception {//首页所有人可以访问,里面的功能页只能有权限的人才能访问//链式编程http.authorizeRequests().antMatchers("/").permitAll().antMatchers("/level1/**").hasRole("vip1").antMatchers("/level2/**").hasRole("vip2").antMatchers("/level3/**").hasRole("vip3");//没有权限,默认调到登陆页面http.formLogin();//★★★注销http.logout();}//认证//PasswordEncoder 密码编码(加密)//在Spring Security5.0+中,新增了很多加密方法@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//这些数据正常情况下应该从数据库中读取auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("zibo").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3").and().withUser("zb").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip3");}}
第二步:修改index.html页面
<!DOCTYPE html><html lang="en" xmlns:th="http://www.thymeleaf.org"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"><title>首页</title><!--semantic-ui--><link href="https://cdn.bootcss.com/semantic-ui/2.4.1/semantic.min.css" rel="stylesheet"><link th:href="@{/qinjiang/css/qinstyle.css}" rel="stylesheet"></head><body><!--主容器--><div class="ui container"><div class="ui segment" id="index-header-nav" th:fragment="nav-menu"><div class="ui secondary menu"><a class="item" th:href="@{/index}">首页</a><!--登录注销--><div class="right menu"><!--未登录--><a class="item" th:href="@{/toLogin}"><i class="address card icon"></i> 登录</a><a class="item" th:href="@{/logout}"><i class="address card icon"></i> 注销</a><!--已登录<a th:href="@{/usr/toUserCenter}"><i class="address card icon"></i> admin</a>--></div></div></div><div class="ui segment" style="text-align: center"><h3>Spring Security Study by 秦疆</h3></div><div><br><div class="ui three column stackable grid"><div class="column"><div class="ui raised segment"><div class="ui"><div class="content"><h5 class="content">Level 1</h5><hr><div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div><div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div><div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div></div></div></div></div><div class="column"><div class="ui raised segment"><div class="ui"><div class="content"><h5 class="content">Level 2</h5><hr><div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div><div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div><div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div></div></div></div></div><div class="column"><div class="ui raised segment"><div class="ui"><div class="content"><h5 class="content">Level 3</h5><hr><div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div><div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div><div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div></div></div></div></div></div></div></div><script th:src="@{/qinjiang/js/jquery-3.1.1.min.js}"></script><script th:src="@{/qinjiang/js/semantic.min.js}"></script></body></html>
第三步:测试结果
第四步:修改代码,使其跳转到首页
package com.zibo.config;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;//AOP:拦截器@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {//授权@Overrideprotected void configure(HttpSecurity http) throws Exception {//首页所有人可以访问,里面的功能页只能有权限的人才能访问//链式编程http.authorizeRequests().antMatchers("/").permitAll().antMatchers("/level1/**").hasRole("vip1").antMatchers("/level2/**").hasRole("vip2").antMatchers("/level3/**").hasRole("vip3");//没有权限,默认调到登陆页面http.formLogin();//★★★注销http.logout().logoutSuccessUrl("/");}//认证//PasswordEncoder 密码编码(加密)//在Spring Security5.0+中,新增了很多加密方法@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//这些数据正常情况下应该从数据库中读取auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("zibo").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3").and().withUser("zb").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip3");}}
第五步:测试结果
2、权限控制
第一步:导入坐标
<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 --><dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-springsecurity4</artifactId><version>3.0.4.RELEASE</version></dependency>
第二步:修改index.html页面
<!DOCTYPE html><html lang="en" xmlns:th="http://www.thymeleaf.org"xmlns:sec="http://www.thymeleaf.org/extras/spring-security"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"><title>首页</title><!--semantic-ui--><link href="https://cdn.bootcss.com/semantic-ui/2.4.1/semantic.min.css" rel="stylesheet"><link th:href="@{/qinjiang/css/qinstyle.css}" rel="stylesheet"></head><body><!--主容器--><div class="ui container"><div class="ui segment" id="index-header-nav" th:fragment="nav-menu"><div class="ui secondary menu"><a class="item" th:href="@{/index}">首页</a><!--登录注销--><div class="right menu"><!--未登录:显示登录按钮--><div sec:authorize="!isAuthenticated()"><a class="item" th:href="@{/toLogin}"><i class="address card icon"></i> 登录</a></div><!--已登录:显示用户名和注销按钮★★★--><div sec:authorize="isAuthenticated()"><a class="item">用户名:<span sec:authentication="name"></span>角色:<span sec:authentication="principal.getAuthorities()"></span></a><a class="item" th:href="@{/logout}"><i class="address card icon"></i> 注销</a></div><!--已登录:显示用户名和注销按钮--><!-- <a th:href="@{/usr/toUserCenter}">--><!-- <i class="address card icon"></i> admin--><!-- </a>--></div></div></div><div class="ui segment" style="text-align: center"><h3>Spring Security Study by 秦疆</h3></div><div><br><div class="ui three column stackable grid"><div class="column"><div class="ui raised segment"><div class="ui"><div class="content"><h5 class="content">Level 1</h5><hr><div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div><div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div><div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div></div></div></div></div><div class="column"><div class="ui raised segment"><div class="ui"><div class="content"><h5 class="content">Level 2</h5><hr><div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div><div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div><div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div></div></div></div></div><div class="column"><div class="ui raised segment"><div class="ui"><div class="content"><h5 class="content">Level 3</h5><hr><div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div><div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div><div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div></div></div></div></div></div></div></div><script th:src="@{/qinjiang/js/jquery-3.1.1.min.js}"></script><script th:src="@{/qinjiang/js/semantic.min.js}"></script></body></html>
第三步:修改spring boot版本为2.0.7,因为2.3.3springboot 2.1.x版本以上不兼容部分标签,如
sec:authorize="isAuthenticated()" 和 sec:authorize="isAnonymous()"
第四步:运行测试
备注:
版本兼容问题是一大坨问题,修改版本之后以前的写法可能呈现的结果又不同,具体使用的时候需要细细研究;
五、开启“记住我”功能
修改SecurityConfig类:
package com.zibo.config;import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;//AOP:拦截器@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {//授权@Overrideprotected void configure(HttpSecurity http) throws Exception {//首页所有人可以访问,里面的功能页只能有权限的人才能访问//链式编程http.authorizeRequests().antMatchers("/").permitAll().antMatchers("/level1/**").hasRole("vip1").antMatchers("/level2/**").hasRole("vip2").antMatchers("/level3/**").hasRole("vip3");//没有权限,默认调到登陆页面http.formLogin();//注销http.logout().logoutSuccessUrl("/");//★★★记住我http.rememberMe();}//认证//PasswordEncoder 密码编码(加密)//在Spring Security5.0+中,新增了很多加密方法@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//这些数据正常情况下应该从数据库中读取auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("zibo").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3").and().withUser("zb").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip3");}}
六、备注
1、说明
Spring Security目前所学习内容,尚不够用,用时应根据需要细细研究;
2、注意最佳实践结合:
- SSM + Shiro
- Spring Boot/Spring Cloud + Spring Security
七、源代码
链接:https://pan.baidu.com/s/1PHm0l-Oop9KuNql6YEeQRg
提取码:zibo
痛定思痛。
刺骨的言语ヽ痛彻心扉
还没有评论,来说两句吧...