Spring Security
簡介
spring security的核心功能爲認證(Authentication),授權(Authorization),即認證用戶是否能訪問該系統,和授權用戶可以在系統中進行哪些操作。
引入spring security組件
在 pom.xml 中加入
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
驗證組件是否起到作用,現在不更改框架內的任何內容,啓動項目,瀏覽器中依舊輸入 http://localhost:8080 ,可看到如下界面,之前可以直接進入spring boot的初始界面,現在已經看不見了,spring security 導入後默認已經開啓了驗證,必須先登錄驗證通過後才能訪問。
如果代碼中不做任何設置,默認的賬戶是 user,默認的密碼隨着項目的啓動,會打印在控制檯中。
輸入賬號密碼,即可進入默認的初始界面。
代碼實戰
爲了最快最簡單最直接的認識這個組件,直接把用戶密碼寫入內存中,項目啓動即存在,避免還有建表,實體類,數據庫操作等與之無關的內容。命名使用最爲簡單粗暴的方式,排除一切干擾,用最少的精力掌握該組件的使用。
新增代碼目錄
index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
SPRING BOOT !!!
</body>
</html>
error.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
錯誤
</body>
</html>
UserController
package com.example.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
@Controller
@RequestMapping("user")
public class UserController {
@RequestMapping("/addUser")
@ResponseBody
String addUser() {
return "這是添加用戶!!!";
}
@RequestMapping("/deleteUser")
@ResponseBody
String deleteUser() {
return "這是刪除用戶!!!";
}
@RequestMapping("/updateUser")
@ResponseBody
String updateUser() {
return "這是修改用戶!!!";
}
@RequestMapping("/findAllUsers")
@ResponseBody
String findAllUsers() {
return "這是查詢用戶!!!";
}
}
UserSecurityConfig
package com.example.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
//註解開啓 Spring Security 安全認證與授權
@EnableWebSecurity
public class UserSecurityConfig extends WebSecurityConfigurerAdapter {
//用戶認證
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//內存裏面放着
auth.inMemoryAuthentication().passwordEncoder(new MyPasswordEncoder())
//添加用戶,密碼,角色
.withUser("zs").password("123456").roles("AAA")
//鏈式編程
.and()
.withUser("ls").password("123456").roles("BBB")
.and()
.withUser("ww").password("123456").roles("CCC", "primary")
.and()
.withUser("zl").password("123456").roles("primary");
}
//用戶授權
@Override
protected void configure(HttpSecurity http) throws Exception {
/**
* permitAll():允許一切用戶訪問
* hasRole():url請求允許訪問的角色
* hasAnyRole() : url請求允許訪問的多個角色
* access():允許訪問的角色,permitAll、hasRole、hasAnyRole 底層都是調用 access 方法
* access("permitAll") 等價於 permitAll()
*/
http.authorizeRequests().antMatchers("/").permitAll(); // "/":應用首頁所以用戶都可以訪問
http.authorizeRequests()
.antMatchers("/user/addUser").hasRole("AAA") // 首斜槓"/"表示應用上下文,/user/addUser 請求允許 AAA 角色訪問
.antMatchers("/user/deleteUser/**").hasAnyRole("AAA", "BBB") //"/user/deleteUser/**"允許 "AAA", "BBB" 角色訪問,/**匹配任意
.antMatchers("/user/updateUser").hasAnyRole("AAA", "BBB", "CCC")//除了這種鏈式編程,也可以分開寫
.antMatchers("/user/findAllUsers").access("permitAll");
http.authorizeRequests().anyRequest().authenticated();
/**
* formLogin:指定支持基於表單的身份驗證
* 當用戶沒有登錄、沒有權限時就會自動跳轉到登錄頁面(默認 /login)
* 當登錄失敗時,默認跳轉到 /error
* 登錄成功時會放行
*/
http.formLogin();
}
}
MyPasswordEncoder
package com.example.config;
import org.springframework.security.crypto.password.PasswordEncoder;
//密碼編碼,Spring Security 高版本必須進行密碼編碼,否則報錯
public class MyPasswordEncoder implements PasswordEncoder {
@Override
public String encode(CharSequence charSequence) {
return charSequence.toString();
}
@Override
public boolean matches(CharSequence charSequence, String s) {
return s.equals(charSequence.toString());
}
}
親測效果是
以用戶名 zs 登錄(其角色權限爲AAA),可以進入系統,瀏覽器輸入地址可以訪問, localhost:8080,localhost:8080/user/addUser,localhost:8080/user/deleteUser,localhost:8080/user/updateUser,localhost:8080/user/findAllUsers
以用戶名 ls 登錄(其角色權限爲BBB),可以進入系統,瀏覽器輸入地址可以訪問, localhost:8080,localhost:8080/user/deleteUser,localhost:8080/user/updateUser,localhost:8080/user/findAllUsers
以用戶名 ww 登錄(其角色權限爲CCC),可以進入系統,瀏覽器輸入地址可以訪問, localhost:8080,localhost:8080/user/deleteUser,localhost:8080/user/updateUser,localhost:8080/user/findAllUsers
以用戶名 zl 登錄(其角色權限爲CCC),可以進入系統,瀏覽器輸入地址可以訪問, localhost:8080,localhost:8080/user/updateUser,localhost:8080/user/findAllUsers
以用戶名 admin 登錄,不可以進入系統,因爲系統中還沒有該用戶。