我要评论1 spring security介绍
spring security是一个能够为基于spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是spring生态系统中的一员,因此它伴随着整个spring生态系统不断修正、升级,在spring boot项目中加入springsecurity更是十分简单,使用spring security 减少了为企业系统安全控制编写大量重复代码的工作。
2 创建工程
2.1 创建maven工程
创建maven工程 security-spring-security,工程结构如下:
2)引入以下依赖:
在security-springmvc的基础上增加spring-security的依赖:
<dependencies>
<dependency>
<groupid>org.springframework.security</groupid>
<artifactid>spring-security-web</artifactid>
<version>5.1.4.release</version>
</dependency>
<dependency>
<groupid>org.springframework.security</groupid>
<artifactid>spring-security-config</artifactid>
<version>5.1.4.release</version>
</dependency>
<dependency>
<groupid>org.springframework</groupid>
<artifactid>spring-webmvc</artifactid>
<version>5.1.5.release</version>
</dependency>
<dependency>
<groupid>javax.servlet</groupid>
<artifactid>javax.servlet-api</artifactid>
<version>3.0.1</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupid>org.projectlombok</groupid>
<artifactid>lombok</artifactid>
<version>1.18.8</version>
</dependency>
</dependencies>2.2 spring容器配置
同security-springmvc.
/**
* @author administrator
* @version 1.0
**/
@configuration //相当于applicationcontext.xml
@componentscan(basepackages = "com.oldlu.security.springmvc"
,excludefilters = {@componentscan.filter(type = filtertype.annotation,value = controller.class)})
public class applicationconfig {
//在此配置除了controller的其它bean,比如:数据库链接池、事务管理器、业务bean等。
}
2.3 servlet context配置
同security-springmvc.
/**
* @author administrator
* @version 1.0
**/
@configuration//就相当于springmvc.xml文件
@enablewebmvc
@componentscan(basepackages = "com.oldlu.security.springmvc"
,includefilters = {@componentscan.filter(type = filtertype.annotation,value = controller.class)})
public class webconfig implements webmvcconfigurer {
//视频解析器
@bean
public internalresourceviewresolver viewresolver(){
internalresourceviewresolver viewresolver = new internalresourceviewresolver();
viewresolver.setprefix("/web-inf/view/");
viewresolver.setsuffix(".jsp");
return viewresolver;
}
@override
public void addviewcontrollers(viewcontrollerregistry registry) {
registry.addviewcontroller("/").setviewname("redirect:/login");
}
}2.4 加载 spring容器
在init包下定义spring容器初始化类springapplicationinitializer,此类实现webapplicationinitializer接口,spring容器启动时加载webapplicationinitializer接口的所有实现类。
/**
* @author administrator
* @version 1.0
**/
public class springapplicationinitializer extends abstractannotationconfigdispatcherservletinitializer {
//spring容器,相当于加载 applicationcontext.xml
@override
protected class<?>[] getrootconfigclasses() {
return new class[]{applicationconfig.class, websecurityconfig.class};
}
//servletcontext,相当于加载springmvc.xml
@override
protected class<?>[] getservletconfigclasses() {
return new class[]{webconfig.class};
}
//url-mapping
@override
protected string[] getservletmappings() {
return new string[]{"/"};
}
}3 认证
3.1 认证页面
springsecurity默认提供认证页面,不需要额外开发,但实际中没人用
3.2.安全配置
spring security提供了用户名密码登录、退出、会话管理等认证功能,只需要配置即可使用。
- 在confifig包下定义websecurityconfifig,安全配置的内容包括:用户信息、密码编码器、安全拦截机制。
/**
* @author administrator
* @version 1.0
**/
@enablewebsecurity
public class websecurityconfig extends websecurityconfigureradapter {
//定义用户信息服务(查询用户信息)
@bean
public userdetailsservice userdetailsservice(){
inmemoryuserdetailsmanager manager = new inmemoryuserdetailsmanager();
manager.createuser(user.withusername("zhangsan").password("123").authorities("p1").build());
manager.createuser(user.withusername("lisi").password("456").authorities("p2").build());
return manager;
}
//密码编码器
@bean
public passwordencoder passwordencoder(){
return nooppasswordencoder.getinstance();
}
//安全拦截机制(最重要)
@override
protected void configure(httpsecurity http) throws exception {
http.authorizerequests()
.antmatchers("/r/r1").hasauthority("p1")
.antmatchers("/r/r2").hasauthority("p2")
.antmatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过
.anyrequest().permitall()//除了/r/**,其它的请求可以访问
.and()
.formlogin()//允许表单登录
.successforwardurl("/login-success");//自定义登录成功的页面地址
}
}在userdetailsservice()方法中,我们返回了一个userdetailsservice给spring容器,spring security会使用它来获取用户信息。我们暂时使用inmemoryuserdetailsmanager实现类,并在其中分别创建了zhangsan、lisi两个用户,并设置密码和权限。
而在confifigure()中,我们通过httpsecurity设置了安全拦截规则,其中包含了以下内容:
(1)url匹配/r/**的资源,经过认证后才能访问。
(2)其他url完全开放。
(3)支持form表单认证,认证成功后转向/login-success。
关于httpsecurity的配置清单请参考附录 httpsecurity。
- 加载 websecurityconfifig
修改springapplicationinitializer的getrootconfifigclasses()方法,添加websecurityconfifig.class:
//spring容器,相当于加载 applicationcontext.xml
@override
protected class<?>[] getrootconfigclasses() {
return new class[]{applicationconfig.class, websecurityconfig.class};
}
3.2.spring security初始化
spring security初始化,这里有两种情况若当前环境没有使用spring或spring mvc,则需要将 websecurityconfifig(spring security配置类) 传入超类,以确保获取配置,并创建spring context。相反,若当前环境已经使用spring,我们应该在现有的springcontext中注册spring security(上一步已经做将websecurityconfifig加载至rootcontext),此方法可以什么都不做。在init包下定义springsecurityapplicationinitializer:
/**
* @author administrator
* @version 1.0
**/
public class springsecurityapplicationinitializer
extends abstractsecuritywebapplicationinitializer {
public springsecurityapplicationinitializer() {
//super(websecurityconfig.class);
}
}2.3.默认根路径请求
在webconfifig.java中添加默认请求根路径跳转到/login,此url为spring security提供:
@override
public void addviewcontrollers(viewcontrollerregistry registry) {
registry.addviewcontroller("/").setviewname("redirect:/login");
}
spring security默认提供的登录页面。
2.4.认证成功页面
在安全配置中,认证成功将跳转到/login-success,代码如下:
@requestmapping(value = "/login-success",produces = {"text/plain;charset=utf-8"})
public string loginsuccess(){
return " 登录成功";
}
2.5 测试
(1)启动项目,访问http://localhost:8080/security-spring-security/路径地址
页面会根据webconfifig中addviewcontrollers配置规则,跳转至/login,/login是pring security提供的登录页面。
(2)登录
1、输入错误的用户名、密码
2、输入正确的用户名、密码,登录成功
(3)退出
1、请求/logout退出
2、退出 后再访问资源自动跳转到登录页面
4 授权
实现授权需要对用户的访问进行拦截校验,校验用户的权限是否可以操作指定的资源,spring security默认提供授
权实现方法。
在logincontroller添加/r/r1或/r/r2
/**
* 测试资源1
* @return
*/
@getmapping(value = "/r/r1",produces = {"text/plain;charset=utf-8"})
public string r1(){
return " 访问资源1";
}
/**
* 测试资源2
* @return
*/
@getmapping(value = "/r/r2",produces = {"text/plain;charset=utf-8"})
public string r2(){
return " 访问资源2";
}在安全配置类websecurityconfifig.java中配置授权规则:
.antmatchers("/r/r1").hasauthority("p1") .antmatchers("/r/r2").hasauthority("p2")
.antmatchers(“/r/r1”).hasauthority(“p1”)表示:访问/r/r1资源的 url需要拥有p1权限。
.antmatchers(“/r/r2”).hasauthority(“p2”)表示:访问/r/r2资源的 url需要拥有p2权限。
完整的websecurityconfifig方法如下:
//安全拦截机制(最重要)
@override
protected void configure(httpsecurity http) throws exception {
http.authorizerequests()
.antmatchers("/r/r1").hasauthority("p1")
.antmatchers("/r/r2").hasauthority("p2")
.antmatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过
.anyrequest().permitall()//除了/r/**,其它的请求可以访问
.and()
.formlogin()//允许表单登录
.successforwardurl("/login-success");//自定义登录成功的页面地址
}
测试:
1、登录成功
2、访问/r/r1和/r/r2,有权限时则正常访问,否则返回403(拒绝访问)
5 小结
通过快速上手,咱们使用spring security实现了认证和授权,spring security提供了基于账号和密码的认证方式,通过安全配置即可实现请求拦截,授权功能,spring security能完成的不仅仅是这些。
到此这篇关于spring security框架快速入门教程的文章就介绍到这了,更多相关spring boot集成springsecurity内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论