SpringBoot 整合 SpringSecurity 之起源篇（零）-阿里云开发者社区

SpringBoot 整合 SpringSecurity 之起源篇（零）

2022-05-18 176

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 本篇为SpringSecurity的第一篇，主要来介绍下什么是SpringSecurity，以及在springboot中如何使用它

本篇为SpringSecurity的第一篇，主要来介绍下什么是SpringSecurity，以及在springboot中如何使用它

I. 基本知识点

官方文档: docs.spring.io/spring-secu…

下面是官方介绍

Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications.

Spring Security is a framework that focuses on providing both authentication and authorization to Java applications. Like all Spring projects, the real power of Spring Security is found in how easily it can be extended to meet custom requirements

用国语，简单抽象的说一下它的定义

很🐂的认证和访问权限校验框架

那么具体能干嘛？

用户登录认证：用户名+密码登录，确定用户身份
用户访问鉴权（常见的ACL访问控制列表，RBAC角色访问控制）：判定是否有权限访问某个资源
安全保护（CSRF跨站点攻击,Session Fixation会话固定攻击...）

II. 初体验

接下来我们看一下再springboot中如何使用springsecurity

1. 配置

首先得是spring boot项目，然后添加上security的依赖即可，相对完整的pom配置如下（注意我们使用的springboot版本为2.2.1.RELEASE）

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.2.1.RELEASE</version>
    <relativePath/> <!-- lookup parent from repository -->
</parent>
<properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
    <java.version>1.8</java.version>
</properties>
<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
</dependencies>
<build>
    <pluginManagement>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </pluginManagement>
</build>
<repositories>
    <repository>
        <id>spring-snapshots</id>
        <name>Spring Snapshots</name>
        <url>https://repo.spring.io/libs-snapshot-local</url>
        <snapshots>
            <enabled>true</enabled>
        </snapshots>
    </repository>
    <repository>
        <id>spring-milestones</id>
        <name>Spring Milestones</name>
        <url>https://repo.spring.io/libs-milestone-local</url>
        <snapshots>
            <enabled>false</enabled>
        </snapshots>
    </repository>
    <repository>
        <id>spring-releases</id>
        <name>Spring Releases</name>
        <url>https://repo.spring.io/libs-release-local</url>
        <snapshots>
            <enabled>false</enabled>
        </snapshots>
    </repository>
</repositories>
复制代码

2. 实例demo

上面配置完之后，啥都不需要干，项目已经接入了spring security；项目中的服务都需要登录之后才能访问

// 程序启动类
@SpringBootApplication
public class Application {
    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}
// rest 服务
@RestController
public class IndexRest {
    @GetMapping(path = {"/", "/index"})
    public String index() {
        return "hello this is index!";
    }
    @GetMapping(path = "hello")
    public String hello(String name) {
        return "welcome " + name;
    }
}
复制代码

当我们需要访问首页时，会发现直接302重定向到登录页面了，如下图

spring security默认给我们生成了一个用户名为user，密码为控制台中输出的一行日志如Using generated security password: aa410186-5c04-4282-b217-507ffb1f61eb

登录之后会重定向回我们之前访问的url，通过抓包可以看到，登录成功之后，会设置请求方的cookie，后续的请求携带cookie来表明用户身份

3. 基本配置

上面虽然演示了一个hello world的初体验项目，但是这个默认的用户名/密码有点鬼畜，默认的配置主要来自于

org.springframework.boot.autoconfigure.security.SecurityProperties.User，下面是截图（所以前面的用户名为user）

接下来我们需要配置为对人类友好的方式，在项目的配置文件application.yml中，指定登录的用户名/密码

spring:
  security:
    user:
      name: yihuihui
      password: 123456
复制代码

重启测试项目，使用新的用户名/密码（yihuihui/123456)就可以登录成功了;

4. 用户身份获取

上面虽然是一个简单的case，但还有一点不得不提一下，在我的接口中，虽然知道你登录了，但怎么知道你是谁呢？

我们可以直接通过HttpServletRequest#getRemoteUser()的方法来获取登录用户；或者通过

SecurityContextHolder.getContext().getAuthentication().getPrincipal()来获取授权信息

我们来写一个通用方法

public String getUser() {
    return ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest().getRemoteUser();
}
// or
public Object getUser() {
    SecurityContextHolder.getContext().getAuthentication().getPrincipal();
}
复制代码

然后稍微改一下我们的服务接口

@GetMapping(path = {"/", "/index"})
public String index() {
    return "hello this is index! welcome " + getUser();
}
复制代码

再次访问之后，结果如下

5. 小结

本文主要是spring security系列的起源篇，第一节介绍了下什么是SpringSecurity，有什么特点

spring security是一个很🐂🍺的认证（可以简单理解为登录验证）和鉴权（可简单理解为访问控制）框架
三大特点：登录 + 鉴权 + 安全防护

第二节介绍了一个简单入门的HelloWorld实例

springboot项目，添加依赖 spring-boot-starter-security；所有的http接口访问都需要登录，默认提供一个用户名为user，密码为控制台输出的UUID字符串
通过spring.security.user.name和spring.security.user.password来指定用户名密码
通过HttpServletRequest#getRemoteUser()获取登录用户

那么问题来了，什么系统可能只有一个用户呢？要多用户怎么办？不同的用户不同的权限怎么办？某些接口所有人都可以访问又怎么办？

SpringBoot 整合 SpringSecurity 之起源篇（零）

I. 基本知识点

II. 初体验

1. 配置

2. 实例demo

3. 基本配置

4. 用户身份获取

5. 小结

热门文章

最新文章

相关课程

相关电子书

相关实验场景

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

SpringBoot 整合 SpringSecurity 之起源篇（零）

I. 基本知识点

II. 初体验

1. 配置

2. 实例demo

3. 基本配置

4. 用户身份获取

5. 小结

热门文章

最新文章

相关课程

相关电子书

相关实验场景