一、前言

Spring SecurityApache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。

二者区别
  1. Spring Security:量级安全框架
  2. Apache Shiro:量级安全框架

关于shiro的权限认证与授权可参考小编的另外一篇文章 : SpringBoot集成Shiro 实现动态加载权限

https://blog.csdn.net/qq_38225558/article/details/101616759

二、SpringBoot集成Spring Security入门体验

基本环境 : springboot 2.1.8

1、引入Spring Security依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>

2、新建一个controller测试访问

@RestController

public class IndexController {

    @GetMapping("/index")

    public String index() {

        return "Hello World ~";

    }

}

3、运行项目访问 http://127.0.0.1:8080/index

温馨小提示:在不进行任何配置的情况下,Spring Security 给出的默认用户名为user 密码则是项目在启动运行时随机生成的一串字符串,会打印在控制台,如下图:



当我们访问index首页的时候,系统会默认跳转到login页面进行登录认证



认证成功之后才会跳转到我们的index页面

三、Spring Security用户密码配置

除了上面Spring Security在不进行任何配置下默认给出的用户user 密码随项目启动生成随机字符串,我们还可以通过以下方式配置

1、springboot配置文件中配置

spring:

  security:

    user:

      name: admin  # 用户名

      password: 123456  # 密码

2、java代码在内存中配置

新建Security 核心配置类继承WebSecurityConfigurerAdapter 

@Configuration

@EnableWebSecurity // 启用Spring Security的Web安全支持

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**

     * 将用户设置在内存中

     * @param auth

     * @throws Exception

     */

    @Autowired

    public void config(AuthenticationManagerBuilder auth) throws Exception {

        // 在内存中配置用户,配置多个用户调用`and()`方法

        auth.inMemoryAuthentication()

                .passwordEncoder(passwordEncoder()) // 指定加密方式

                .withUser("admin").password(passwordEncoder().encode("123456")).roles("ADMIN")

                .and()

                .withUser("test").password(passwordEncoder().encode("123456")).roles("USER");

    }

    @Bean

    public PasswordEncoder passwordEncoder() {

        // BCryptPasswordEncoder:Spring Security 提供的加密工具,可快速实现加密加盐

        return new BCryptPasswordEncoder();

    }

}

3、从数据库中获取用户账号、密码信息

这种方式也就是我们项目中通常使用的方式,这个留到后面的文章再说

四、Spring Security 登录处理 与 忽略拦截

相关代码都有注释相信很容易理解

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**

     * 登录处理

     * @param http

     * @throws Exception

     */

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // 开启登录配置

        http.authorizeRequests()

                // 标识访问 `/index` 这个接口,需要具备`ADMIN`角色

                .antMatchers("/index").hasRole("ADMIN")

                // 允许匿名的url - 可理解为放行接口 - 多个接口使用,分割

                .antMatchers("/", "/home").permitAll()

                // 其余所有请求都需要认证

                .anyRequest().authenticated()

                .and()

                // 设置登录认证页面

                .formLogin().loginPage("/login")

                // 登录成功后的处理接口 - 方式①

                .loginProcessingUrl("/home")

                // 自定义登陆用户名和密码属性名,默认为 username和password

                .usernameParameter("username")

                .passwordParameter("password")

                // 登录成功后的处理器  - 方式②

//                .successHandler((req, resp, authentication) -> {

//                    resp.setContentType("application/json;charset=utf-8");

//                    PrintWriter out = resp.getWriter();

//                    out.write("登录成功...");

//                    out.flush();

//                })

                // 配置登录失败的回调

                .failureHandler((req, resp, exception) -> {

                    resp.setContentType("application/json;charset=utf-8");

                    PrintWriter out = resp.getWriter();

                    out.write("登录失败...");

                    out.flush();

                })

                .permitAll()//和表单登录相关的接口统统都直接通过

                .and()

                .logout().logoutUrl("/logout")

                // 配置注销成功的回调

                .logoutSuccessHandler((req, resp, authentication) -> {

                    resp.setContentType("application/json;charset=utf-8");

                    PrintWriter out = resp.getWriter();

                    out.write("注销成功...");

                    out.flush();

                })

                .permitAll()

                .and()

                .httpBasic()

                .and()

                // 关闭CSRF跨域

                .csrf().disable();

    }

    /**

     * 忽略拦截

     * @param web

     * @throws Exception

     */

    @Override

    public void configure(WebSecurity web) throws Exception {

        // 设置拦截忽略url - 会直接过滤该url - 将不会经过Spring Security过滤器链

        web.ignoring().antMatchers("/getUserInfo");

        // 设置拦截忽略文件夹,可以对静态资源放行

        web.ignoring().antMatchers("/css/**", "/js/**");

    }

}

五、总结

  1. 项目引入Spring Security依赖
  2. 自定义Security核心配置类继承WebSecurityConfigurerAdapter
  3. 账号密码配置
  4. 登录处理
  5. 忽略拦截
案例demo源码

https://gitee.com/zhengqingya/java-workspace

SpringBoot集成Spring Security入门体验的更多相关文章

  1. SpringBoot集成Spring Security(6)——登录管理

    文章目录 一.自定义认证成功.失败处理 1.1 CustomAuthenticationSuccessHandler 1.2 CustomAuthenticationFailureHandler 1. ...

  2. SpringBoot集成Spring Security(2)——自动登录

    在上一章:SpringBoot集成Spring Security(1)——入门程序中,我们实现了入门程序,本篇为该程序加上自动登录的功能. 文章目录 一.修改login.html二.两种实现方式 2. ...

  3. SpringBoot集成Spring Security(7)——认证流程

    文章目录 一.认证流程 二.多个请求共享认证信息 三.获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Sec ...

  4. SpringBoot集成Spring Security(5)——权限控制

    在第一篇中,我们说过,用户<–>角色<–>权限三层中,暂时不考虑权限,在这一篇,是时候把它完成了. 为了方便演示,这里的权限只是对角色赋予权限,也就是说同一个角色的用户,权限是 ...

  5. SpringBoot集成Spring Security(4)——自定义表单登录

    通过前面三篇文章,你应该大致了解了 Spring Security 的流程.你应该发现了,真正的 login 请求是由 Spring Security 帮我们处理的,那么我们如何实现自定义表单登录呢, ...

  6. SpringBoot 集成Spring security

    Spring security作为一种安全框架,使用简单,能够很轻松的集成到springboot项目中,下面讲一下如何在SpringBoot中集成Spring Security.使用gradle项目管 ...

  7. SpringBoot集成Spring Security

    1.Spring Security介绍 Spring security,是一个强大的和高度可定制的身份验证和访问控制框架.它是确保基于Spring的应用程序的标准 --来自官方参考手册 Spring ...

  8. SpringBoot集成Spring Security(1)——入门程序

    因为项目需要,第一次接触 Spring Security,早就听闻 Spring Security 功能强大但上手困难,学习了几天出入门道,特整理这篇文章希望能让后来者少踩一点坑(本文附带实例程序,请 ...

  9. springboot集成spring security安全框架入门篇

    一. :spring security的简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下 ...

随机推荐

  1. 独家解读 etcd 3.4版本 |云原生生态周报 Vol. 18

    作者 | 酒祝.墨封.宇慕.衷源 关注"阿里巴巴云原生"公众号,回复关键词 "资料" ,即可获得 2019 全年 meetup 活动 PPT 合集及 K8s 最 ...

  2. CF803G - Periodic RMQ Problem 动态开点线段树 或 离线

    CF 题意 有一个长度为n × k (<=1E9)的数组,有区间修改和区间查询最小值的操作. 思路 由于数组过大,直接做显然不行. 有两种做法,可以用动态开点版本的线段树,或者离线搞(还没搞)( ...

  3. HDU-2089不要62-暴力或数位DP入门

    不要62 题意:给定区间,求在这个区间中有多少个数字,不包含4且不包含62: 这道题作为数位DP的入门题: 暴力也是可以过 #include<cstdio> #include <io ...

  4. 利用GPU训练网络时遇到的一些问题

    1. OSError: [Error 12] Cannot allocate memory 解决办法: 出现这个错误时我是绝望的...因为我看了别人的解决办法,要加内存条才能解决...但是我不甘心,想 ...

  5. springmvc使用JSR-303对复杂对象进行校验

    JSR-303 是JAVA EE 6 中的一项子规范,叫做Bean Validation,官方参考实现是Hibernate Validator.此实现与Hibernate ORM 没有任何关系.JSR ...

  6. Redis 的底层数据结构(SDS和链表)

    Redis 是一个开源(BSD许可)的,内存中的数据结构存储系统,它可以用作数据库.缓存和消息中间件.可能几乎所有的线上项目都会使用到 Redis,无论你是做缓存.或是用作消息中间件,用起来很简单方便 ...

  7. 前端利器躬行记(5)——Git

    Git是一款开源的分布式版本控制系统,它的出现和Linux紧密相关.Linux内核项目组为了能更好地管理和维护Linux内核开发,于2002年开始启用商业的分布式版本控制系统BitKeeper.虽然软 ...

  8. 接口自动化测试unittest+request+excel(一)

    注: 学习python自动化测试,需要先学习python基础,主要还是多敲代码,多联系,孰能生巧,你也会是一名合格的程序员 python基础学习: http://c.biancheng.net/pyt ...

  9. LVM(逻辑卷管理)

    一.LVM概念 LVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个逻辑层,来提高磁盘分区管 ...

  10. 前端黑魔法:webworker动态化,无需JS文件创建worker

    前言 前几天,我和一位知乎网友讨论这个问题的时候,觉得这非常有意思,所以写了这篇文章作为记录 本文的思路和项目代码来源于知友 @simon3000,我加以修饰以更符合理解的需求.   本文所用代码已经 ...