简介

作为 Spring 全家桶组件之一,Spring Security 是一个提供安全机制的组件,它主要解决两个问题:

  • 认证:验证用户名和密码;
  • 授权:对于不同的 URL 权限不一样,只有当认证的用户拥有某个 URL 的需要的权限时才能访问。

Spring Security 底层使用的是过滤器,针对 URL 进行的拦截,对应到 Java 中也就是类; 因此被称为粗粒度授权验证,就是验证 URL ,当前用户是否有这个 URL 的权限。

入门

创建项目

使用 Idea 创建 Spring Boot 项目,勾选需要的组件:

  • Spring Web
  • Spring Security

或者创建项目后添加依赖:

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-web</artifactId>

</dependency>

这里使用的是 JSP 作为模板,有关如何在 Spring Boot 中使用 JSP 作为模板请访问:https://www.cnblogs.com/cloudfloating/p/11787222.html

WebSecurityConfig

package top.cloudli.demo.security;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled=true)

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        PasswordEncoder encoder = new BCryptPasswordEncoder();

        auth.inMemoryAuthentication()

                .passwordEncoder(encoder)

                .withUser("root")

                .password(encoder.encode("root@123456"))

                .roles("ROOT", "USER")

                .and()

                .withUser("user")

                .password(encoder.encode("user@123456"))

                .roles("USER");

    }

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()

                .antMatchers("/css/**")

                .permitAll()        // css 不用验证

                .anyRequest()

                .authenticated()    // 其它页面全部需要验证

                .and()

                .formLogin()        // 使用默认登录页面

                .and()

                .exceptionHandling()

                .accessDeniedPage("/401")   // 无权限时跳转的页面

                .and()

                .logout();

    }

}
  • @EnableWebSecurity 注解启用验证;
  • @EnableGlobalMethodSecurity(prePostEnabled=true) 注解允许我们在控制器的方法中使用 @PreAuthorize 实现权限分割。

此处创建了两个用户并保存在内存中,分别是拥有 ROOT 和 USER 权限的 root 用户和仅拥有 USER 权限的 user 用户。

fromLogin() 方法可以接着调用 loginPage() 指定一个自定义登录页面,这里使用的是默认登录页面。

编写页面

1.index.jsp,所有通过验证的用户都可以访问:

<%--

  任何通过验证的用户都能访问的页面

--%>

<%@ page contentType="text/html;charset=UTF-8" language="java" %>

<html>

<head>

    <title>Spring Security Demo Application</title>

    <link rel="stylesheet" type="text/css" href="css/style.css">

</head>

<body>

<div class="content">

    <h1>Spring Security In Memory Authentication</h1>

    <h2>这是被保护的页面(ROLE_USER)。</h2>

</div>

</body>

</html>

2.root.jsp,只有拥有 ROOT 权限的用户能访问:

<%--

  需要 ROLE_ROOT 才能访问的页面

--%>

<%@ page contentType="text/html;charset=UTF-8" language="java" %>

<html>

<head>

    <title>Root Page</title>

    <link rel="stylesheet" type="text/css" href="css/style.css">

</head>

<body>

<div class="content">

    <h1>Root Page</h1>

    <h2>你正在访问受保护的页面(ROLE_ROOT)。</h2>

</div>

</body>

</html>

3.401.jsp,没有权限时跳转的页面:

<%--

  权限不够时跳转的页面

--%>

<%@ page contentType="text/html;charset=UTF-8" language="java" %>

<html>

<head>

    <title>401 Unauthorized</title>

    <link rel="stylesheet" type="text/css" href="css/style.css">

</head>

<body class="error">

<div class="content">

    <h1>401 Unauthorized!</h1>

    <h2>你没有权限访问此页面。</h2>

</div>

</body>

</html>

控制器

package top.cloudli.demo.controller;

import org.springframework.security.access.prepost.PreAuthorize;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.GetMapping;

@Controller

public class DemoController {

    @PreAuthorize("hasAnyAuthority('ROLE_USER')")

    @GetMapping("/")

    public String index() {

        return "index";

    }

    @PreAuthorize("hasAnyAuthority('ROLE_ROOT')")

    @GetMapping("/root")

    public String root() {

        return "root";

    }

    @GetMapping("/401")

    public String accessDenied() {

        return "401";

    }

}

@PreAuthorize 注解指定了访问页面所需要的权限,这里的权限要加上 ROLE_ 前缀。

Run

访问 http://localhost:8080/ 将进入登录页面(这里使用的是 Spring Security 的默认登录页面):

使用刚才创建的内存用户 user 登录后将返回 index 页面:

访问 http://localhost:8080/root,由于 user 用户没有 ROLE_ROOT 权限,跳转到 401 页面:

访问 http://localhost:8080/logout 将进入默认登出页面:

这里的登录和登出页面均可以使用自定义页面,只需要在自定义的页面中把数据通过 PSOT 请求提交到 /login/logout 即可完成登录和登出。

Spring Security 入门—内存用户验证的更多相关文章

  1. Spring security 浅谈用户验证机制

    step1:首先ApplicationUserDetailsService需要实现UserDetailsService接口(在 org.springframework.security.core.us ...

  2. 030 SSM综合练习06--数据后台管理系统--SSM权限操作及Spring Security入门

    1.权限操作涉及的三张表 (1)用户表信息描述users sql语句: CREATE TABLE users ( id ) DEFAULT SYS_GUID () PRIMARY KEY, email ...

  3. SpringBoot集成Spring Security入门体验

    一.前言 Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权. 二者区别 Spring Security:重量级安全框架 Apache S ...

  4. Spring Security 入门(基本使用)

    Spring Security 入门(基本使用) 这几天看了下b站关于 spring security 的学习视频,不得不说 spring security 有点复杂,脑袋有点懵懵的,在此整理下学习内 ...

  5. Spring security 获取当前用户

    spring security中当前用户信息 1:如果在jsp页面中获取可以使用spring security的标签库 在页面中引入标签   1 <%@ taglib prefix=" ...

  6. Spring Security 入门(1-7)Spring Security - Session管理

    参考链接:https://xueliang.org/article/detail/20170302232815082 session 管理 Spring Security 通过 http 元素下的子元 ...

  7. Spring Security 入门(1-3-1)Spring Security - http元素 - 默认登录和登录定制

    登录表单配置 - http 元素下的 form-login 元素是用来定义表单登录信息的.当我们什么属性都不指定的时候 Spring Security 会为我们生成一个默认的登录页面. 如果不想使用默 ...

  8. Spring Security入门(2-3)Spring Security 的运行原理 4 - 自定义登录方法和页面

    参考链接,多谢作者: http://blog.csdn.net/lee353086/article/details/52586916 http元素下的form-login元素是用来定义表单登录信息的. ...

  9. Spring Security默认的用户登录表单 页面源代码

    Spring Security默认的用户登录表单 页面源代码 <html><head><title>Login Page</title></hea ...

随机推荐

  1. 深度解析.NetFrameWork/CLR/C# 以及C#6/C#7新语法

    一:什么是.NetFrameWork/ CLR / C# 1:.NetFramework即架构,它是一个语言开发软件,提供了软件开发的框架,使开发更具工程性.简便性和稳定性,这个框架主要是针对于c#语 ...

  2. Springboot前后端分离开发

    .1.springboot前后端分离开发之前要配置好很多东西,这周会详细补充博客内容和遇到的问题的解析 2,按照下面流程走一遍 此时会加载稍等一下 pom.xml显示中加上阿里云镜像可以加速下载配置文 ...

  3. 基于图的异常检测(三):GraphRAD

    基于图的异常检测(三):GraphRAD 风浪 一个快乐的数据玩家/风控/图挖掘 24 人赞同了该文章 论文:<GraphRAD: A Graph-based Risky Account Det ...

  4. Rust中的泛型

    go没有的,rust有呢~~ fn largest<T: PartialOrd + Copy>(list: &[T]) -> T { let mut largest = li ...

  5. Ant下载与安装

    1.登录http://ant.apache.org/bindownload.cgi 站点下载Ant最新版建议Windows平台下载*.zip压缩包 2.将下载到的压缩文件压缩到(G:software\ ...

  6. Mybatis-Plus Bugs

    Mybatis-Plus Bugs 实体类中属性和数据库字段对应异常 Caused by: java.sql.SQLSyntaxErrorException: Unknown column 'user ...

  7. kafka消费失败

    kafka消费失败 搞半天是路径错误,但是不会报错 改为 job 就对了

  8. Ubuntu使用snap安装常用软件

    1,snap简介 什么是snap,snap是一种全新的软件包管理方式,它类似一个容器拥有一个应用程序所有的文件和库,各个应用程序之间完全独立.所以使用snap包的好处就是它解决了应用程序之间的依赖问题 ...

  9. navicat密码错误的问题

    上集说到我的navicat打不开对吧..‘ 这下就来聊聊打开了的问题 下午非常开心,就打开了mysql的图形化界面, 但是,在我连接数据库的时候就报错了 错误就是密码错误那行 什么什么‘localho ...

  10. Linux学习笔记-第7天 - 编程还是要多写多练

    编程思路很重要,多写是要熟悉命令用法,多练不只是要熟悉语句常用在什么环境,更要在其基础上,尝试更多的写法.