2. 程式人生 > 實用技巧 >Spring Security(1)入門體驗

Spring Security(1)入門體驗

阿新 發佈:2020-07-05

Spring Security(1)入門體驗


Spring Security 和 Apache Shiro 都是安全框架,為Java應用程式提供身份認證和授權。本片文章將講述Security入門到專案實戰使用。其中包括簡單的登入和專案常用的許可權管理,許可權校驗有兩種方式、角色資源校驗、URL校驗,如果有一定基礎的可以想找解決辦法的可以直接跳過前面基礎直接尋找自己需要的解答內容。

二者區別

  1. Spring Security:重量級安全框架
  2. Apache Shiro:輕量級安全框架
    關於shiro的許可權認證與授權,(這個以後有需要再出一篇關於 Shiro 的內容)

SpringBoot整合Spring Security入門體驗

基於Spring Boot 2.1.8

1、引入Spring Security依賴

<!--新增Spring securit依賴-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、新建一個controller 測試訪問

@RestController
public class IndexController {
    @GetMapping("/index")
    public String index() {
        return "Hello World ~";
    }
}

3、執行專案訪問:http://127.0.0.1:8080/index

溫馨小提示:在不進行任何配置的情況下,Spring Security 給出的預設使用者名稱為user 密碼則是專案在啟動執行時隨機生成的一串字串,會列印在控制檯,如下圖:




當我們訪問index首頁的時候,系統會預設跳轉到login頁面進行登入認證




認證成功之後才會跳轉到我們的index頁面





使用者密碼配置

除了上面Spring Security在不進行任何配置下預設給出的使用者user 密碼隨專案啟動生成隨機字串,我們還可以通過以下方式配置

1、springboot配置檔案中配置

spring:
 security:
   user:
     name: admin  # 使用者名稱
     password: 123456  # 密碼

2、java程式碼在記憶體中配置

新建 Security 核心配置類繼承 WebSecurityConfigurerAdapter

@Configuration
@EnableWebSecurity // 啟用Spring Security的Web安全支援
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   /**
    * 將使用者設定在記憶體中
    * @param auth
    * @throws Exception
    */
   @Autowired
   public void config(AuthenticationManagerBuilder auth) throws Exception {
       // 在記憶體中配置使用者,配置多個使用者呼叫`and()`方法
       auth.inMemoryAuthentication()
           // 指定加密方式
           .passwordEncoder(passwordEncoder())
           // 設定訪問使用者名稱
           .withUser("admin")
           // 設定密碼
           .password(passwordEncoder().encode("123456"))
           // 使用者所擁有的角色許可權(注:這裡後續會用於許可權校驗)
           .roles("ADMIN")
           .and()
           // 如果想設定多個可以重複新增
           .withUser("test").password(passwordEncoder().encode("123456")).roles("USER");
   }
   @Bean
   public PasswordEncoder passwordEncoder() {
       // BCryptPasswordEncoder:Spring Security 提供的加密工具,可快速實現加密加鹽
       return new BCryptPasswordEncoder();
   }
}

3、從資料庫中獲取使用者賬號、密碼資訊

往往實際使用中會比上述情況複雜很多。
(動態新增使用者,繫結角色,角色繫結許可權資源等),這個留到文章後面鑑權內容再說。

登入處理 與 忽略攔截

最常用的簡單配置,相關程式碼都有註釋相信很容易理解

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   /**
    * 登入處理
    * @param http
    * @throws Exception
    */
   @Override
   protected void configure(HttpSecurity http) throws Exception {
       
       //==========================================路徑相關配置start
       
       // antMatcher():配置需要處理的URL  authorizeRequests():為URL配置授權事項,例如是否需要進行身份驗證或僅某些角色可以訪問它等
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http.antMatcher("/**").authorizeRequests();
       
       // 標記只能在 伺服器本地ip[127.0.0.1或者localhost] 訪問`/home`介面,其他ip地址無法訪問
        registry.antMatchers("/home").hasIpAddress("127.0.0.1");

        // 標識訪問 `/index` 這個介面,需要具備`ADMIN`角色
        registry.antMatchers("/index").hasRole("ADMIN");

        // 允許匿名的url - 可理解為方形介面 - 多個介面使用,分割
        registry.antMatchers("/login", "/index").permitAll();

        // OPTIONS(選項):查詢適用於一個特定網址資源的通訊選擇。 在不需執行具體的涉及資料傳輸的動作情況下, 允許客戶端來確定與資源相關的選項以及 / 或者要求, 或是一個伺服器的效能
        registry.antMatchers(HttpMethod.OPTIONS, "/**").denyAll();

        // 其餘所有請求都需要認證
        registry.anyRequest().authenticated();
       
       //==========================================路徑相關配置end
       
       // 禁用CSRF 開啟跨域
        http.csrf().disable().cors();

        //配置HTTP基本身份認證
        http.httpBasic();
       
       // 設定登入認證頁面
       http.formLogin().loginPage("/login")
           // 登入後的處理介面 - 方式①
           .loginProcessingUrl("/user/login")
           // 自定義登陸使用者名稱和密碼屬性名,預設為 username和password
           .usernameParameter("username")
           .passwordParameter("password")
           // 登入成功後的處理器  - 方式② 可以通過處理器處理返回資訊(注:這裡可以單獨提出來寫一個類)
           //                .successHandler((req, resp, authentication) -> {
           //                    resp.setContentType("application/json;charset=utf-8");
           //                    PrintWriter out = resp.getWriter();
           //                    out.write("登入成功...");
           //                    out.flush();
           //                })
           // 配置登入失敗的回撥 同上可以提取
           .failureHandler((req, resp, exception) -> {
               resp.setContentType("application/json;charset=utf-8");
               PrintWriter out = resp.getWriter();
               out.write("登入失敗...");
               out.flush();
           })
           .logout().logoutUrl("/logout")
           // 配置登出成功的回撥
           .logoutSuccessHandler((req, resp, authentication) -> {
               resp.setContentType("application/json;charset=utf-8");
               PrintWriter out = resp.getWriter();
               out.write("登出成功...");
               out.flush();
           })
           // 和表單登入相關的介面都通過
           .permitAll()
   }
   /**
    * 忽略攔截
    * @param web
    * @throws Exception
    */
   @Override
   public void configure(WebSecurity web) throws Exception {
       // 設定攔截忽略url - 會直接過濾該url - 將不會經過Spring Security過濾器
       web.ignoring().antMatchers("/getUserInfo");
       // 設定攔截忽略資料夾,可以對靜態資源放行
       web.ignoring().antMatchers("/css/**", "/js/**");
   }
}





參考文獻以及版權宣告:

1、Spring Security(1) 入門體驗 作者:鄭清 採用協議:CC 4.0 BY-SA
原文連結:https://blog.csdn.net/qq_38225558/article/details/101754743

相關推薦

Spring Security1入門體驗

Spring Security(1)入門體驗 Spring Security 和 Apache Shiro 都是安全框架,為Java應用程式提供身份認證和授權。本片文章將講述Security入門到專案實戰使用。其中包括簡單的登入和專案常用的許可權管理,許可權

Spring Security1--- 許可權控制基本功能實現

前言 Spring Security由acegi進化而來,是一個安全許可權管理框架,功能十分的強大。

spring學習1-IOC容器

IOC:控制反轉。程式碼中不需要顯示的new一個例項出來,只要指定好依賴的類名,剩餘交給spring容器去管理初始化等

SpringCloud1 - 入門概述

一、SpringCloud是什麼 SpringCloud,基於 SpringBoot 提供了一套微服務解決方案,包括服務註冊與發現,配置中心,全鏈路監控,服務閘道器,負載均衡,熔斷器等元件,除了基於 Netflix 的開源元件做高度抽象封裝之外

Spring Security3----使用者密碼加密實現

前言 Spring Security系列二 使用者登入認證資料庫實現中,我們已經把對使用者的認證改成了資料庫實現,功能上雖然完成了,但是使用者的密碼卻都是以明文儲存的,這在實際專案中安全係數上會有所欠缺。在本章中我們

Spring Security2----使用者登入認證資料庫實現

Spring Security認證架構 在這之前,先來了解一下Spring Security的認證架構,有篇不錯的分析文章,具體可以看這裡:https://my.oschina.net/u/865921/blog/159849。

圖資料庫HugeGraph原始碼解讀 1 —— 入門介紹

HugeGraph介紹 以下引自官方文件: HugeGraph是一款易用、高效、通用的開源圖資料庫系統Graph Database,GitHub專案地址, 實現了Apache TinkerPop3框架及完全相容Gremlin查詢語言, 具備完善的工具鏈元件,助力

spring學習1

先看容器部分,建立容器ContextLoader tomcat的ServletContext繼承於javax.servlet.ServletContext,javax.servlet.ServletContextListener監聽到tomcat啟動

Spring MVC1

技術標籤:javaspringmavenservlet Spring MVC1 傳遞與跳轉: pom.xml <?xml version="1.0" encoding="UTF-8"?>

Go-simple1入門Hello World

技術標籤:Gogo 指令碼式程式設計: 新建檔案hello_world.go package main func main(){ println("hello","world!")

線段樹--從入門到入土1入門篇:沒有pushdown的簡單建樹&查詢&修改單點+區間

一、線段樹的入門(一些基本的性質和建樹) struct tree { int l, r, sum; }tree[maxn]; tree[i].l是節點i代表的線段的左端點,tree[i].r是節點i代表的線段的右端點,

Spring筆記1

摘要:    bean1.xml: <?xml version=\"1.0\" encoding=\"UTF-8\"?> <beans xmlns=\"http://www.springframework.org/schema/beans\"

Spring Security7

您好,我是湘王,這是我的部落格園,歡迎您來,歡迎您再來~ 有時某些業務或者功能,需要在使用者請求到來之前就進行一些判斷或執行某些動作,就像在Servlet中的FilterChain過濾器所做的那樣,Spring Security也有類

Spring Security 在前後端分離專案中的實踐1

1 概述 如今,前後端分離開發已經非常常見了。由於任務需要,要在基於 Spring Boot 的 Web 專案中整合 Spring Security 完成使用者模組的登入和認證等功能,但是在網上查閱的中文資料中,對前後端完全分離如

iOS死開發硬轉JAVA後臺 入門到XX1

在和組裡的後臺大佬請教了入門 java 後臺的初步學習路線後,我剩餘不多的自由時間變成了 面朝JAVA,頭髮掉光的美zinue生活~

向您圖文並茂生動講解Spring AOP 原始碼1

前言 在Spring AOP - 註解方式使用介紹長文詳解中,作者介紹了Spring AOP 註解方式的使用方式。算是給咱們的Spring AOP 原始碼分析開了個頭,做了一點知識點的鋪墊。

Spring Cloud Gateway 入門

1.閘道器是怎麼演化來的 單體應用拆分成多個服務後,對外需要一個統一入口,解耦客戶端與內部服務

Oracle入門1-Oracle 11g體系結構

一、邏輯儲存結構     1、資料塊是邏輯儲存結構中的最小邏輯單位,一般預設是8K相當於MySQL的頁,檢視資料塊大小:

MySQL入門1:安裝與除錯環境變數

下載地址:ttps://dev.mysql.com/downloads/mysql/ 點選歷史版本 下載對應的版本 點選下載

Docker入門1:概述

1.摘要 在這篇文章中,我將介紹一下為什麼需要虛擬化的環境。 然後我將介紹耳熟能詳的虛擬化技術:虛擬機器器,並大致的介紹一下虛擬機器器的原理,希望能夠讓你知道虛擬機器器的優劣。