Java SpringSecurity使用详解

SpringSecurity

shrio,SpringSecurity:认证,授权(VIP1,vip2…)

  • 功能权限
  • 访问权限
  • 菜单权限
  • 拦截器,过滤器:大量的原生代码,冗余

1、pom.xml

<!--Thymeleaf-->
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>
简介

Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入Spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理!

记住几个类:

  • WebSecurityConfigurerAdapter: 自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity: 开启WebSecurity模式 @Enablexxxx 开启某个功能

Spring Security的两个主要目标是“认证”和“授权”(访问控制) .

“认证”(Authentication)

“授权”(Authorization)

这个概念是通用的,而不是只在Spring Security中存在。

1、pom.xml

<!--security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2、Security的controller

package com.kuang.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/*权限验证的配置类,要先继承WebSecurityConfigurerAdapter*/
@Configuration
public class SecurityConfig  extends WebSecurityConfigurerAdapter {

    //定义访问规则:首页每个人都可以访问,但是功能也只有特定权限的人才能访问   链式编程
    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
        //没有权限默认跳转到登陆页面  /login
        http.formLogin();
    }

    //认证
    /* 密码编码: BCryptPasswordEncoder()
    不编码会报下面的错误
    * java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
    * */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("qin").password(new BCryptPasswordEncoder().encode("111")).roles("vip1","vip2","vip3")
                .and()
                .withUser("aaa").password(new BCryptPasswordEncoder().encode("111")).roles("vip1");
    }
}

3、路径转发的controller

package com.kuang.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;

@Controller
public class PathController {

    @GetMapping({"/","index"})    //"/""index"都会去到index.html
    public String Toindex(){
        return "index";
    }

    @GetMapping("/toLogin")
    public String Tologin(){
        return "views/login";
    }

    @GetMapping("/level1/{id}")    //@PathVariable获得url的占位符里面的值
    public String ToView(@PathVariable("id")int id){
        return "views/level1/"+id;
    }

    @GetMapping("/level2/{id}")
    public String ToView2(@PathVariable("id")int id){
        return "views/level2/"+id;
    }

    @GetMapping("/level3/{id}")
    public String ToView3(@PathVariable("id")int id){
        return "views/level3/"+id;
    }

}

当然也可以在数据库中拿信息

D3AD8A0A-1E16-E65F-7199-A950A2A5DB71.png

源码分析

没有权限的话会自动转发到/login

//没有权限默认跳转到登陆页面 /login

http.formLogin();

3E72F2AF-CCAF-6CB7-0865-696BF260906C.png

//开启注销
http.logout();

FC573AB4-684C-07E5-3A01-07CD04A2F28B.png

注销及权限控制
<!--thymeleof整合security-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
        </dependency>
xmlns:sec=http://www.thymeleaf.org/extras/spring-security

用spring-security实现用户登录后显示用户角色的信息

1、导入依赖thymeleof整合security

<!--thymeleof整合security-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
        </dependency>

2、html命名空间

<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

3、根据用户的登录状态进行判断显示该有的信息

96831438-77A4-7D93-5BE0-064A199112DF.png

4、根据源码写表单name属性59937711-1A95-C9BB-5019-C584C5A182D0.png

19C93760-65A7-D2A7-84F2-97F59C9370E6.png

5、实现有什么权限显示什么样的信息FE84A591-49D8-8BE2-9B2B-34D58813485E.png

6、注销logout-404

E5ED4B23-169F-C804-8B67-14743E973128.png

学习网址

收藏 (0)
评论列表
正在载入评论列表...
我是有底线的
为您推荐
    暂时没有数据