關於spring Security的一些簡單用法

原創 风中有朵雨做的云yi 2020-05-21 00:30

簡介
springSecurity是針對spring項目的安全框架,也是springBoot底層安全模塊的技術選型,他可以實現強大的web安全控制,對於安全控制,我們僅需要引入spring-boot-starter-security模塊,進行少量的配置,即可實現強大的安全管理.

首先我們需要記住這幾個類:

  • WebSecurityConfigurationAdapter:自定義security策略
  • AuthenticationManagerBuilder:自定義認證策略
  • @EnableWebSecurity:開啓WebSecurity模式, @Enablexxxx就是開啓某個功能
    Spring Security的兩個主要的目標是"認證"和’‘授權’’(訪問控制)
  • 認證(Authentication)
  • 授權(Authorization)
    這兩個概念是通用的,不僅僅只在springsecurity中存在
package com.qiu.config;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
    }
}

這是一個固定的架子

添加權限代碼:

http.authorizeRequests().antMatchers("/")
                .permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

這樣就實現了有等級的人就可以訪問相應的地址
如以下代碼:

package com.qiu.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //連式編程
    //授權
    @Override
    protected void configure(HttpSecurity http) throws Exception {
       //首頁所有人可以訪問,但是功能也只有對應有權限的人才能訪問
        http.authorizeRequests().antMatchers("/")
                .permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //沒有權限會默認到登錄頁面,需要開啓登錄的頁面
        http.formLogin();
    }
//認證,springboot 2.1.x可以直接使用
    //密碼驗證:PasswordEncoder
//在springSecurity 5.0+ 新增了很多的加密方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //這些數據正常來說應該是從數據庫中讀取

        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("qiuzhikang").password(new BCryptPasswordEncoder().encode("123456"))
                .roles("vip2","vip3")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");
    }
}

如果說需要連接數據庫的話,從官方文檔中可以獲取到這麼一段代碼

在這裏插入圖片描述在這裏插入圖片描述附上完整代碼:

package com.qiu.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //連式編程
    //授權
    @Override
    protected void configure(HttpSecurity http) throws Exception {
       //首頁所有人可以訪問,但是功能也只有對應有權限的人才能訪問
        http.authorizeRequests().antMatchers("/")
                .permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //沒有權限會默認到登錄頁面,需要開啓登錄的頁面
        http.formLogin().loginPage("/toLogin");

        //註銷.開啓了註銷功能,跳回首頁
        //防止網站攻擊:get不安全,明文傳輸,post可以,但是需要表單,所以security自己自帶了一個
        http.csrf().disable();//關閉csrf功能,登出失敗可能的原因就是這個
        http.logout().logoutSuccessUrl("/");
        //開啓記住我功能,cookie的實現,默認保存兩週
        http.rememberMe().rememberMeParameter("remember");//自定義接收前段的參數
    }
//認證,springboot 2.1.x可以直接使用
    //密碼驗證:PasswordEncoder
//在springSecurity 5.0+ 新增了很多的加密方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //這些數據正常來說應該是從數據庫中讀取

        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("qiuzhikang").password(new BCryptPasswordEncoder().encode("123456"))
                .roles("vip2","vip3")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");
    }
}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Spring boot自動裝配實現原理

自動裝配原理分析 條件註冊機制 spring-context模塊中有兩個組件:Condition接口和@Conditional註解,在@Conditional註解中可以指定一組Condition實現, 通常@Conditional是和@Co

原創 2024-05-16 23:48:07

Spring cloud bootstrap context機制

Bootstrap Application Context Spring cloud程序在啓動階段,如果開啓了bootstrap啓動過程,則啓動時首先會創建一個bootstrap context,這個容器是項目主容器的父容器,它們共享一個E

原創 2024-05-15 11:50:16

Spring cloud 服務註冊發現

服務發現 在Spring cloud中,要注意區別服務和服務實例,這是兩個概念,一個微服務單元可以部署多個節點, 每個節點即一個服務實例,Spring cloud默認通過 spring.application.name 配置項來標識一個微服

原創 2024-05-15 11:50:14

Spring Boot3,啓動時間縮短 10 倍!

前面松哥寫了一篇文章和大家聊了 Spring6 中引入的新玩意 AOT(見Spring Boot3 新玩法,AOT 優化!)。 文章發出來之後,有小夥伴問松哥有沒有做性能比較,老實說,這個給落下了,所以今天再來一篇文章,和小夥伴們梳理比較小

原創 2024-05-13 02:20:47

系統國際化之多語言解決方案| 京東物流技術團隊

1. 背景 隨着京東各業務板塊國際化進程的不斷推進,諸多業務已經融入了多元文化中,一個一體化的多語言系統解決方案成爲各個技術團隊討論的焦點。國際物流系統憑藉在國際化領域多年的經驗,特別是在系統多語言處理上長期的經驗積累,總結了一套標準

原創 2024-05-17 23:56:46

「Java開發指南」如何用MyEclipse搭建GWT 2.1和Spring?(二)

本教程將指導您如何生成一個可運行的Google Web Toolkit (GWT) 2.1和Spring應用程序,該應用程序爲域模型實現了CRUD應用程序模式。在本教程中,您將學習如何: 安裝Google Eclipse插件 爲GWT配置

原創 2024-05-17 12:21:26

Spring @EnableXxx註解的使用理解

@EnableXxx註解 Spring有很多@EnableXxx這種形式的註解,類似於可以一鍵打開某項功能,相當於暴露給用戶的一種便捷的配置API,例如 @EnableAsync 激活異步執行能力,@EnableTransactionMan

原創 2024-05-16 23:48:06

Spring cloud gateway入門

微服務Gateway 微服務網關部署在前端Nginx網關和後端微服務之間,Nginx一般充當流量網關,而微服務網關屬於一種業務型 網關,微服務網關層爲後端的微服務羣組提供統一的接入地址,其核心功能是統一做服務路由,在路由基礎上還 可以實現一

原創 2024-05-15 11:50:15

Spring 按條件裝配使用方法

條件註冊 Spring 4.0 引入條件註冊機制,暴露給用戶的API是@Conditional和Condition接口,把@Conditional聲明在一個 @Component類上,並接受一組條件(Condition實現),容器初始化期間

原創 2024-05-15 11:50:12

Spring知識點詳解(源碼筆記+思維導圖),AOP和IOC

寫在前面 由於Spring家族的東西很多,一次性寫完也不太現實。所以這一次先更新Spring【最核心】的知識點:AOP和IOC   無論是入門還是面試,理解AOP和IOC都是非常重要的。在面試的時候,我沒怎麼被問過MyBatis/Hib

osc_r0irdqn7 2024-05-14 01:47:38

從XML配置角度理解Spring AOP

本文分享自華爲雲社區《Spring高手之路18——從XML配置角度理解Spring AOP》,作者: 磚業洋__。 1. Spring AOP與動態代理 1.1 Spring AOP和動態代理的關係 Spring AOP使用動態代理作爲

原創 2024-05-13 11:31:09

Spring AOP 中被代理的對象一定是單例嗎?

今天我們來思考這樣一個問題:在 Spring AOP 中,被代理的對象是單例的嗎?當我們每次獲取到代理對象的時候,都會重新獲取一個新的被代理對象嗎?還是被代理的對象始終是同一個? 爲什麼要思考這個問題,因爲在松哥接下來要講的 @Scope

原創 2024-05-13 02:20:48

教你如何搞定springboot集成kafka

本文分享自華爲雲社區《手拉手入門springboot+kafka》,作者:QGS。 安裝kafka 啓動Kafka本地環境需Java 8+以上 Kafka是一種高吞吐量的分佈式發佈訂閱消息系統,它可以處理消費者在網站中的所有動作流數據。

原創 2024-05-16 22:58:25

Koupleless 內核系列|模塊化隔離與共享帶來的收益與挑戰

文|趙真靈(花名:有濟) Koupleless 項目負責人螞蟻集團技術專家 本文 3724 字    閱讀 10 分鐘 聯繫作者/加入共建/使用產品 本篇文章屬於「Koupleless 進階系列文章」之一,默認讀者對 Koupleless

原創 2024-05-15 23:18:46

記一次特別的未授權訪問

某個夜裏,隨手點進去的一個小程序,引發的連鎖反應。 開局一個小程序: 登錄方式令人發愁,嘗試收集,無果。 數據交互的地方說不定有sql,再次嘗試,還是無果。 複製連接去web端,看看有沒有什麼收穫: 好熟悉的界面,這不是SpringB

原創 2024-05-13 23:18:59