SpringBoot-spring security初学(五)

·  阅读 650

Spring Security(安全)

主流安全框架:shiroSpring Security:相似,除了类不一样,名字不一样

功能:

  • access-control:访问控制
  • customizable authentication:可自定义身份验证

1.创建项目

image-20210509114747944

image-20210509114800756

如果你从springboot官方网站创建快速启动项目,你可能会遇到访问未响应的情况,建议使用阿里云的地址

https://start.aliyun.com/

image-20210509115345619

2.导入资源

网页模板资源

image-20210509130515071

模板缓存先关闭

spring.thymeleaf.cache=false
复制代码

创建controller,控制视图跳转

package com.gip.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class RouterController {
    @GetMapping({"/", "/index"})
    public String index() {
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin() {
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id) {
        return "views/level1/"+id;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id) {
        return "views/level2/" + id;
    }

    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id) {
        return "views/level3/" + id;
    }

}

复制代码

使用Resultful风格传递参数image-20210509130823479

导入Spring Security依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
复制代码

Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。

相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。

自从有了 Spring Boot 之后,Spring Boot 对于 Spring Security 提供了 自动化配置方案,可以零配置使用 Spring Security。

因此,一般来说,常见的安全管理技术栈的组合是这样的:

  • SSM + Shiro
  • Spring Boot/Spring Cloud + Spring Security

注意,这只是一个推荐的组合而已,如果单纯从技术上来说,无论怎么组合,都是可以运行的。

我们来看下具体使用。

安全笼统来说就是三块,定义规则,用户认证,为用户授权

3.设置规则

新建SecurityConfig

package com.gip.config;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

//AOP:拦截器
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //使用链式编程
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
    }
}

复制代码

@EnableWebSecurity:声明是安全配置,让spring托管

这个类要继承 WebSecurityConfigurerAdapter

4.授权,认证

 @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //在内存中设置用户
        //理论上应该从数据库中读取用户
        auth.inMemoryAuthentication()
                .passwordEncoder(new BCryptPasswordEncoder())
                .withUser("yang")
                .password(new BCryptPasswordEncoder().encode("123456"))
                .roles("vip1")
                .and()
                .withUser("gip")
                .password(new BCryptPasswordEncoder().encode("123456"))
                .roles("vip2","vip3");
    }
复制代码

Spring security 5.0中新增了多种加密方式,也改变了默认的密码格式.

inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()),这相当于登陆时用BCrypt加密方式对用户密码进行处理

以前的".password("123456")" 变成了 .password(new BCryptPasswordEncoder().encode("123")),这相当于对内存中的密码进行Bcrypt编码加密.如果比对时一致,说明密码正确,才允许登陆.

重新运行项目进行测试

登录账号后,拥有权限访问

image-20210509140945086

5.注销及权限控制

configure方法中添加如下代码

  //没有权限,默认到登录界面
        http.formLogin();
        //开启注销功能
        //注销成功,跳转首页
        http.logout()
                .logoutSuccessUrl("/");
复制代码

在index页面中添加注销功能的入口

<a th:href="@{/logout}">
    <i class="sign-out icon"></i> 注销
</a>
复制代码

image-20210509165646265

运行项目先登录,后点击注销按钮

image-20210509165708883

确认后返回注销成功页面,被我们设置为/首页

添加依赖thymeleaf-springsecurity5整合包

 <!--thymeleaf-springsecurity5整合包-->
        <!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity5 -->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>
复制代码

在html中导入命名空间:这样就有提示!

xmlns:sec="http://www.thymeleaf.org/extras/spring-security"
复制代码
           <!-- 登录注销-->
            <div class="right menu">
                <!--未登录-->
                <div sec:authorize="!isAuthenticated()">
                    <a class="item" th:href="@{/toLogin}">
                        <i class="address card icon"></i> 登录
                    </a>
                </div>

               <!-- 已登录-->
                <div sec:authorize="isAuthenticated()">
                    <a class="item">
                      用户名<span sec:authentication="principal.username"></span>
                     <!-- 角色:<span sec:authentication="principal.getAuthorities()"></span>-->
                        角色:<span sec:authentication="principal.authorities"></span>
                    </a>
                    <a th:href="@{/logout}">
                        <i class="sign-out icon"></i> 注销
                    </a>
                </div>
                
            </div>
复制代码

image-20210509170212710

整合包中提供的标签属性,可以判断当前用户是否登录,这里加取非了,所以没有登录的用户就会显示其中内容

image-20210509170425562

显示用户信息,包括用户名和角色

注意:这样写会报错!!

principal.getAuthorities()不能使用get取出来,直接principal.authorities这样使用属性值就可以

在level1模块加入一下属性

<div class="content" sec:authorize="hasRole('vip1')">
复制代码

可以实现,根据角色来显示相应内容,起到权限控制的内容

<div class="content" sec:authorize="hasRole('vip2')">
复制代码
<div class="content" sec:authorize="hasRole('vip3')">
复制代码

测试一下

没有登陆状态直接访问首页

image-20210509171114397

登录一个账户

image-20210509171131230

发现显示了部分内容

image-20210509171154363

image-20210509171200051

测试完成!

6.记住我和首页定制

 //没有权限,默认到登录界面
http.formLogin().loginPage("/toLogin").loginProcessingUrl("/login").usernameParameter("user").passwordParameter("pwd");
复制代码

loginProcessingUrl("/login")登录表单提交到这个路径/login

记住我功能:

//开启记住我功能
http.rememberMe().rememberMeParameter("remember");
复制代码

登录界面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <title>登录</title>
    <!--semantic-ui-->
    <link href="https://cdn.bootcss.com/semantic-ui/2.4.1/semantic.min.css" rel="stylesheet">
</head>
<body>

<!--主容器-->
<div class="ui container">

    <div class="ui segment">

        <div style="text-align: center">
            <h1 class="header">登录</h1>
        </div>

        <div class="ui placeholder segment">
            <div class="ui column very relaxed stackable grid">
                <div class="column">
                    <div class="ui form">
                        <form th:action="@{/login}" method="post">
                            <div class="field">
                                <label>Username</label>
                                <div class="ui left icon input">
                                    <input type="text" placeholder="Username" name="user">
                                    <i class="user icon"></i>
                                </div>
                            </div>
                            <div class="field">
                                <label>Password</label>
                                <div class="ui left icon input">
                                    <input type="password" name="pwd">
                                    <i class="lock icon"></i>
                                </div>
                            </div>
                            <div class="field">
                                <input type="checkbox" name="remember">记住我
                            </div>
                            <input type="submit" class="ui blue submit button"/>
                        </form>
                    </div>
                </div>
            </div>
        </div>

        <div style="text-align: center">
            <div class="ui label">
                </i>注册
            </div>
            <br><br>
            <small>blog.kuangstudy.com</small>
        </div>
        <div class="ui segment" style="text-align: center">
            <h3>Spring Security Study by 秦疆</h3>
        </div>
    </div>


</div>

<script th:src="@{/qinjiang/js/jquery-3.1.1.min.js}"></script>
<script th:src="@{/qinjiang/js/semantic.min.js}"></script>

</body>
</html>
复制代码
分类:
后端
标签:
分类:
后端
标签: