1.概要
SpringSecurity 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)和攻击防范 三个部分,这两点也是 Spring Security 重要核心功能。
(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录
(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。
(3)攻击防范(防止伪造身份)
其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。
记住几个类:
-
WebSecurityConfigurerAdapter: 自定义Security策略
-
AuthenticationManagerBuider: 自定义认证策略
-
@EnableWebSecurity: 开启WebSecurity模式
2.入门项目
准备工作
首先引入pom依赖
<!--security-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-java8time</artifactId>
</dependency>
导入静态资源,可以从 https://www.kuangstudy.com/app/code 下载,springSecurity素材,github有免费的,我找不到了
写RouteController进行页面跳转
package com.kuang.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
public class RouterController {
@RequestMapping({"/", "/index"})
public String index() {
return "index";
}
@RequestMapping({"/toLogin"})
public String toLogin() {
return "views/login";
}
@RequestMapping({"/level1/{id}"})
public String level1(@PathVariable("id") Integer id) {
return "views/level1/" + id;
}
@RequestMapping({"/level2/{id}"})
public String level2(@PathVariable("id") Integer id) {
return "views/level2/" + id;
}
@RequestMapping({"/level3/{id}"})
public String level3(@PathVariable("id") Integer id) {
return "views/level3/" + id;
}
}
页面很简单
编写SpringSecurityConfig配制文件
package com.kuang.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@EnableWebSecurity //开启WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//授权
//链式编程
//重写configure配置,编写权限校验规则
@Override
protected void configure(HttpSecurity http) throws Exception {
//首页所有人可以访问,功能也只有对应有权限的人才能访问
//请求授权的规则
http.authorizeRequests().antMatchers("/").permitAll() //设置哪些路径可以直接访问,不需要认证
.antMatchers("/level1/**").hasRole("vip1") //不同的功能也只有对应有权限的人才能访问
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
//没有权限默认回到登录页面,需要开启登录的页面
http.formLogin();
}
//认证
//密码编码:PasswordEncoder
//在spring Security 5.0+ 新增了很多的加密方法
//重写configure配置,将我们自己的校验密码器注入到该bean中
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//这些数据正常应该从数据库中读
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("yangyang").password(new BCryptPasswordEncoder().encode("123")).roles("vip2", "vip3")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("123")).roles("vip1", "vip2", "vip3")
.and()
.withUser("guest").password(new BCryptPasswordEncoder().encode("123")).roles("vip1");
}
}
WebSecurityConfig类使用了@EnableWebSecurity注解 ,以启用Spring Security的Web安全支持,并提供Spring MVC集成。它还扩展了WebSecurityConfigurerAdapter,并覆盖了一些方法来设置Web安全配置的一些细节。
密码加密使用的类是:PasswordEncoder,需要将它进行实例化,使用BCryptPasswordEncoder实例化,并放入spring容器中
权限规则的修改类是:继承WebSecurityConfigurerAdapter,并重写里面的configure(HttpSecurity http)方法
configure(HttpSecurity)方法定义了哪些URL路径应该被保护,哪些不应该。也就是说,设置那些路径可以直接访问,不需要认证
如果设置密码,没有 new BCryptPasswordEncoder().encode("123"),会出现以下错误