Spring Security簡(jiǎn)介:
Spring Security 是針對(duì)Spring項(xiàng)目的安全框架,也是Spring Boot底層安全模塊默認(rèn)的技術(shù)選型,它可以實(shí)現(xiàn)強(qiáng)大的Web安全控制,對(duì)于安全控制,我們只需要引入 spring-boot-starter-security 模塊,進(jìn)行少量的配置,即可實(shí)現(xiàn)強(qiáng)大的安全管理!
記住幾個(gè)類:
- WebSecurityConfigurerAdapter:自定義Security策略
- AuthenticationManagerBuilder:自定義認(rèn)證策略
- @EnableWebSecurity:開啟WebSecurity模式
Spring Security的兩個(gè)主要目標(biāo)是 “認(rèn)證” 和 “授權(quán)”(訪問控制)。
“認(rèn)證”(Authentication)
身份驗(yàn)證是關(guān)于驗(yàn)證您的憑據(jù),如用戶名/用戶ID和密碼,以驗(yàn)證您的身份。
身份驗(yàn)證通常通過用戶名和密碼完成,有時(shí)與身份驗(yàn)證因素結(jié)合使用。
“授權(quán)” (Authorization)
授權(quán)發(fā)生在系統(tǒng)成功驗(yàn)證您的身份后,最終會(huì)授予您訪問資源(如信息,文件,數(shù)據(jù)庫(kù),資金,位置,幾乎任何內(nèi)容)的完全權(quán)限。
這個(gè)概念是通用的,而不是只在Spring Security 中存在。
Spring Security 框架對(duì)于認(rèn)證和授權(quán)很好的支持。在用戶認(rèn)證方面,Spring Security 框架支持主流的認(rèn)證方式,包括 HTTP 基本認(rèn)證、HTTP 表單驗(yàn)證、HTTP 摘要認(rèn)證、OpenID 和 LDAP 等。在用戶授權(quán)方面,Spring Security 提供了基于角色的訪問控制和訪問控制列表(Access Control List,ACL),可以對(duì)應(yīng)用中的領(lǐng)域?qū)ο筮M(jìn)行細(xì)粒度的控制。
下面是spring security官網(wǎng):Spring Security 找到對(duì)應(yīng)的官方文檔:Spring Security Reference
實(shí)驗(yàn)環(huán)境搭建:
1.新建一個(gè)初始的springboot項(xiàng)目web模塊,thymeleaf模塊
2.導(dǎo)入靜態(tài)資源
3、controller跳轉(zhuǎn)!
4、測(cè)試實(shí)驗(yàn)環(huán)境是否成功
認(rèn)證和授權(quán)
我們測(cè)試的環(huán)境,是誰都可以訪問,現(xiàn)在我們使用 Spring Security 增加上認(rèn)證和授權(quán)的功能
1、引入 Spring Security 模塊
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
2、編寫 Spring Security 配置類
參考對(duì)應(yīng)的官方文檔:Spring Security Reference
3、編寫基礎(chǔ)配置類
@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
}
}
4.定義授權(quán)的規(guī)則:
在配置類中看授權(quán)的源碼:
5、測(cè)試,發(fā)現(xiàn)除了首頁都進(jìn)不去了!因?yàn)槲覀兡壳皼]有登錄的角色,因?yàn)檎?qǐng)求需要登錄的角色擁有對(duì)應(yīng)的權(quán)限才可以!
6、在configure()方法中加入以下配置,開啟自動(dòng)配置的登錄功能!
從源碼解釋中看
// 開啟自動(dòng)配置的登錄功能 // /login 請(qǐng)求來到登錄頁 // /login?error 重定向到這里表示登錄失敗 http.formLogin();
7、測(cè)試一下:發(fā)現(xiàn),沒有權(quán)限的時(shí)候,會(huì)跳轉(zhuǎn)到登錄的頁面!
8、查看剛才登錄頁的注釋信息;
我們可以定義認(rèn)證規(guī)則,從源碼中查看
重寫configure(AuthenticationManagerBuilder auth)方法
//定義認(rèn)證規(guī)則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//在內(nèi)存中定義,也可以在jdbc中去拿....
auth.inMemoryAuthentication()
.withUser("kuangshen").password("123456").roles("vip2","vip3")
.and()
.withUser("root").password("123456").roles("vip1","vip2","vip3")
.and()
.withUser("guest").password("123456").roles("vip1","vip2");
}
9、測(cè)試,我們可以使用這些賬號(hào)登錄進(jìn)行測(cè)試!發(fā)現(xiàn)會(huì)報(bào)錯(cuò)!
There is no PasswordEncoder mapped for the id “null”
10、原因,我們要將前端傳過來的密碼進(jìn)行某種方式加密,否則就無法登錄,修改代碼
11、測(cè)試,登錄成功,并且每個(gè)角色只能訪問自己認(rèn)證下的規(guī)則
權(quán)限控制和注銷
1、開啟自動(dòng)配置的注銷的功能
2、在前端,增加一個(gè)注銷的按鈕,index.html 導(dǎo)航欄中
<a class="item" th:href="@{/logout}" rel="external nofollow" >
<i class="sign-out icon"></i> 注銷
</a>
3、可以去測(cè)試一下,登錄成功后點(diǎn)擊注銷,發(fā)現(xiàn)注銷完畢會(huì)跳轉(zhuǎn)到登錄頁面!
4、但是,我們想讓他注銷成功后,依舊可以跳轉(zhuǎn)到首頁,該怎么處理呢?
// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");
5、測(cè)試,注銷完畢后,發(fā)現(xiàn)跳轉(zhuǎn)到首頁OK
6、現(xiàn)在來一個(gè)需求:用戶沒有登錄的時(shí)候,導(dǎo)航欄上只顯示登錄按鈕,用戶登錄之后,導(dǎo)航欄可以顯示登錄的用戶信息及注銷按鈕!還有就是,比如longdi這個(gè)用戶,它只有 vip2,vip3功能,那么登錄則只顯示這兩個(gè)功能,而vip1的功能菜單不顯示!這個(gè)就是真實(shí)的網(wǎng)站情況了!
我們需要結(jié)合thymeleaf中的一些功能
sec:authorize="isAuthenticated()":是否認(rèn)證登錄!來顯示不同的頁面
Maven依賴:
<dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> <version>3.0.4.RELEASE</version> </dependency>
7、修改我們的 前端頁面
導(dǎo)入命名空間 xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"
修改導(dǎo)航欄,增加認(rèn)證判斷
8、重啟測(cè)試,可以登錄試試看,登錄成功后確實(shí),顯示了我們想要的頁面;
9、如果注銷404了,就是因?yàn)樗J(rèn)防止csrf跨站請(qǐng)求偽造,因?yàn)闀?huì)產(chǎn)生安全問題,可以將請(qǐng)求改為post表單提交,或者在spring security中關(guān)閉csrf功能;試試在 配置中增加
10、繼續(xù)將下面的角色功能塊認(rèn)證完成!測(cè)試成功!
到此這篇關(guān)于Java Spring Security認(rèn)證與授權(quán)及注銷和權(quán)限控制篇綜合解析的文章就介紹到這了,更多相關(guān)Java Spring Security內(nèi)容請(qǐng)搜索服務(wù)器之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持服務(wù)器之家!
原文鏈接:https://blog.csdn.net/weixin_48838340/article/details/120661679
