SpringBoot整合SpringSecurity详解，认证授权从未如此简单

2022-04-24 254

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 对于一个Web项目来说，最重要的不是功能酷不酷炫，而是这个项目安不安全。做过项目的人都知道，一个项目在上线前一定会经过安全漏扫，只有通过安全漏扫后这个项目才能正式上线。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架，类似的安全框架还有Shiro。Spring Security主要做两个事情，认证、授权。

点赞再看，养成习惯，听说微信搜公众号《Java鱼仔》会让自己的技术更上一层楼

（一）概述

对于一个Web项目来说，最重要的不是功能酷不酷炫，而是这个项目安不安全。做过项目的人都知道，一个项目在上线前一定会经过安全漏扫，只有通过安全漏扫后这个项目才能正式上线。 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架，类似的安全框架还有Shiro。 Spring Security主要做两个事情，认证、授权。

（二）前期项目搭建

为了更好的展示SpringSecurity，我们先搭建一个简单的web项目出来。引入thymeleaf依赖

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.thymeleaf</groupId><artifactId>thymeleaf-spring5</artifactId></dependency><dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-java8time</artifactId></dependency>

新建一个登陆页，一个首页，然后几个不同等级的展示页面： login.html

<!DOCTYPE html><htmllang="en"><head><metacharset="UTF-8"><title>登陆页</title></head><body><div><form><h2>登陆页</h2><inputtype="text"id="username"placeholder="username"><inputtype="password"id="password"placeholder="password"><buttontype="button">登陆</button></form></div></body></html>

首页index.html，主要就展示不同等级的按钮，为之后授权做准备

<!DOCTYPE html><htmllang="en"><head><metacharset="UTF-8"><title>首页</title></head><body><div><h2>首页</h2><ahref="/login">登陆</a><divstyle="overflow: hidden"><divstyle="float: left;margin-left: 20px"><h3>level1</h3><ahref="/level1/1">level-1-1</a><hr><ahref="/level1/2">level-1-2</a></div><divstyle="float: left;margin-left: 20px"><h3>level2</h3><ahref="/level2/1">level-2-1</a><hr><ahref="/level2/2">level-2-2</a></div><divstyle="float: left;margin-left: 20px"><h3>level3</h3><ahref="/level3/1">level-3-1</a><hr><ahref="/level3/2">level-3-2</a></div></div></div></body></html>

另外还有几个不同等级的页面

网络异常，图片无法展示

分别在body中写上自己对应的编号。

<!DOCTYPE html><htmllang="en"><head><metacharset="UTF-8"><title>Title</title></head><body>level-1-1
</body></html>

最后编写一个controller来接收请求：

@ControllerpublicclassRouteController {
@RequestMapping({"/","/index"})
publicStringindex(){
return"index";
    }
@RequestMapping("/login")
publicStringtoLogin(){
return"login";
    }
@RequestMapping("/level1/{id}")
publicStringlevel1(@PathVariable("id")Stringid){
return"level1/"+id;
    }
@RequestMapping("/level2/{id}")
publicStringlevel2(@PathVariable("id")Stringid){
return"level2/"+id;
    }
@RequestMapping("/level3/{id}")
publicStringlevel3(@PathVariable("id")Stringid){
return"level3/"+id;
    }
}

最终的效果如下：

网络异常，图片无法展示

首页效果如下：

网络异常，图片无法展示

三）认证与授权

在上面的这个页面中有两个问题，第一未做登陆认证的处理，第二三个level页面现在都能被所有人访问，未做授权。而上面的这两个问题都可以通过SpringSecurity来解决。

实现SpringSecurity只需要引入spring-boot-starter-security依赖，进行少量的配置，就可以实现强大的安全管理功能。

在正式接触前我们需要记住几个类：

1.WebSecurityConfigurerAdapter ：自定义Security策略

2.AuthenticationManagerBuilder：自定义认证策略

3.@EnableWebSecurity ：开启WebSecurity模式

我们新建一个config包，创建一个配置类SecurityConfig，继承WebSecurityConfigurerAdapter接口

@EnableWebSecuritypublicclassSecurityConfigextendsWebSecurityConfigurerAdapter {
//授权@Overrideprotectedvoidconfigure(HttpSecurityhttp) throwsException {
//首页所有人都能访问，level页面只有有权限的人才能访问http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
//没有权限默认跳到登陆页，默认会重定向到/loginhttp.formLogin();
    }
//认证@Overrideprotectedvoidconfigure(AuthenticationManagerBuilderauth) throwsException {
auth.inMemoryAuthentication()
                .passwordEncoder(newBCryptPasswordEncoder())
                .withUser("root").password(newBCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("admin").password(newBCryptPasswordEncoder().encode("123456")).roles("vip1");
    }
}

通过上面的这段代码，实现了授权和认证的功能，其中认证方法在内存中存入的用户信息。正常情况下用户的数据是从数据库中获取，授权功能给不同的页面设置不同的角色。

我们再次打开首页

https://link.juejin.cn/?target=http%3A%2F%2Flocalhost%3A8080%2F%25EF%25BC%258C%25E6%2589%2580%25E6%259C%2589%25E4%25BA%25BA%25E9%2583%25BD%25E6%259C%2589%25E6%259D%2583%25E9%2599%2590%25E7%259C%258B%25E5%2588%25B0%25EF%25BC%258C%25E5%25BD%2593%25E6%2588%2591%25E4%25BB%25AC%25E7%2582%25B9%25E5%2587%25BB%25E9%2587%258C%25E9%259D%25A2%25E7%259A%2584level1

2 3里的链接时，自动跳转到了

https://link.juejin.cn/?target=http%3A%2F%2Flocalhost%3A8080%2Flogin

网络异常，图片无法展示

你会发现这个登陆页面明明不是自己写的，怎么就出现了？其实这就是SpringSecurity所提供的，http.formLogin();这段代码做了对登陆页的处理，没有权限默认跳到登陆页，默认会重定向到/login。

当我们用不同权限的账号登陆时，就能点击不同权限的链接，如果点击权限外的链接时，会报403错误

网络异常，图片无法展示

（四）注销的操作

既然有认证和授权，那么一定免不了注销的功能，SpringSecurity实现注销很简单，你只需要在SecurityConfig类的授权代码里增加一条代码。

//登出http.logout();

然后在前端index.html代码中增加一个注销的标签

<ahref="/logout">注销</a>

点击首页的注销按钮后就会跳转到SpringSecurity的注销提示界面

网络异常，图片无法展示

点击logout按钮后自动退出到登陆页面，如果你希望注销后还是回到首页的话，可以将注销代码修改成下面的方式：

http.logout().logoutSuccessUrl("/");

（五）记住密码功能

一般情况下登陆页面肯定会有一个记住密码的功能，这个功能其实就是在本地生成一个cookie，用原生的java实现虽然不难，但是也需要一定的代码。而使用SpringSecurity只需要一行：

http.rememberMe();

再次进入登陆页面后，就可以看到增加了一行记住密码的选项

网络异常，图片无法展示

SpringBoot整合SpringSecurity详解，认证授权从未如此简单

（一）概述

（二）前期项目搭建

三）认证与授权

（四）注销的操作

（五）记住密码功能

热门文章

最新文章

相关课程

相关电子书