SpringSecurity(安全框架)用户认证和授权-阿里云开发者社区

SpringSecurity(安全框架)用户认证和授权

2022-05-06 142

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

密钥管理服务KMS，1000个密钥，100个凭据，1个月

简介： SpringSecurity(安全框架)用户认证和授权

以下为源码部分，通过源码学习

   @EnableWebSecurity 
     public class FormLoginSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
     protected void configure(HttpSecurity http) throws Exception {
           http.authorizeRequests().antMatchers(&quot;/**&quot;).hasRole(&quot;USER&quot;).and().formLogin()
   *        .usernameParameter(&quot;username&quot;) // default is username
   *        .passwordParameter(&quot;password&quot;) // default is password
   *        .loginPage(&quot;/authentication/login&quot;) // default is /login with an HTTP get
   *        .failureUrl(&quot;/authentication/login?failed&quot;) // default is /login?error
   *        .loginProcessingUrl(&quot;/authentication/login/process&quot;); // default is /login
   *                                    // with an HTTP
   *                                    // post
      }
   @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
          auth.inMemoryAuthentication().withUser(&quot;user&quot;).password(&quot;password&quot;).roles(&quot;USER&quot;);
  }
}

1.权限（为某些文件设置权限）

    //链式编程
    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 首页所有人都可以访问，功能也只有对应有权限的人才能访问到
        // 请求授权的规则
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
        // 没有被权限默允许的用户会跳到登录页面
        // /login页面
        http.formLogin()
                .usernameParameter("username")
                .passwordParameter("password")
                .loginPage("/toLogin")
                .loginProcessingUrl("/login");
        //注销,开启了注销功能,跳到首页
        http.logout().logoutSuccessUrl("/");
        // 防止网站工具：get，post
        http.csrf().disable();//关闭csrf功能，登录失败肯定存在的原因
        //开启记住我功能: cookie,默认保存两周,自定义接收前端的参数
        http.rememberMe().rememberMeParameter("remember");
    }

所设置页面均不可访问，需要通过用户认证并且登录后即可访问

2.认证（认证的用户才有资格登录系统）

    // 认证，springboot 2.1.x 可以直接使用,用户认证,认证后的用户可以登录系统
    // 密码编码： PasswordEncoder    加密     new BCryptPasswordEncoder()即为设置加密
    // 在spring Secutiry 5.0+ 新增了很多加密方法
    //    and()作为连接使用
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //这些数据正常应该中数据库中读
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("whx").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");
    }

通过用户认证确定什么用户可以访问什么页面

首先让配置文件继承 WebSecurityConfigurerAdapter，然后通过@@EnableWebSecurity 开启WebSecurity模式。然后通过自动构造方法找到所需方法。

完整配置文件如下：

package nuc.ss.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
// AOP:拦截器
@EnableWebSecurity  // 开启WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //链式编程
    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 首页所有人都可以访问，功能也只有对应有权限的人才能访问到
        // 请求授权的规则
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
        // 没有被权限默允许的用户会跳到登录页面
        // /login页面
        http.formLogin()
                .usernameParameter("username")
                .passwordParameter("password")
                .loginPage("/toLogin")
                .loginProcessingUrl("/login");
        //注销,开启了注销功能,跳到首页
        http.logout().logoutSuccessUrl("/");
        // 防止网站工具：get，post
        http.csrf().disable();//关闭csrf功能，登录失败肯定存在的原因
        //开启记住我功能: cookie,默认保存两周,自定义接收前端的参数
        http.rememberMe().rememberMeParameter("remember");
    }
    // 认证，springboot 2.1.x 可以直接使用,用户认证,认证后的用户可以登录系统
    // 密码编码： PasswordEncoder    加密     new BCryptPasswordEncoder()即为设置加密
    // 在spring Secutiry 5.0+ 新增了很多加密方法
    //    and()作为连接使用
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //这些数据正常应该中数据库中读
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("whx").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");
    }
}

用户认证如果需要从数据库中取数据的话则将用户认证的代码通过数据库的方式写入；

SpringSecurity(安全框架)用户认证和授权

1.权限（为某些文件设置权限）

2.认证（认证的用户才有资格登录系统）

热门文章

最新文章

相关电子书

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

SpringSecurity(安全框架)用户认证和授权

1.权限（为某些文件设置权限）

2.认证（认证的用户才有资格登录系统）

热门文章

最新文章

相关电子书