概念:

  • 安全
      Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。

几个类:

WebSecurityConfigurerAdapter:自定义Security策略

AuthenticationManagerBuilder:自定义认证策略

@EnableWebSecurity:开启WebSecurity模式

  1. 应用程序的两个主要区域是“认证”和“授权”(或者访问控制)。这两个主要区域是Spring Security 的两个目标。

  2. 认证”(Authentication),是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统)。

  3. “授权”(Authorization)指确定一个主体是否允许在你的应用程序执行一个动作的过程。为了抵达需要授权的店,主体的身份已经有认证过程建立。

  4. 这个概念是通用的而不只在Spring Security中。

  • Web&安全

  1. 登陆/注销 HttpSecurity配置登陆、注销功能

  2. Thymeleaf提供的SpringSecurity标签支持

    1. 需要引入thymeleaf-extras-springsecurity4

    2. sec:authentication=“name”获得当前用户的用户名

    3. sec:authorize=“hasRole(‘ADMIN’)”当前用户必须拥有ADMIN权限时才会显示标签内容

  3. remember me

    1. 表单添加remember-me的checkbox

    2. 配置启用remember-me功能

  4. CSRF(Cross-site request forgery)跨站请求伪造:HttpSecurity启用csrf功能,会为表单添加_csrf的值,提交携带来预防CSRF;

pom文件引入规则:

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <parent>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-parent</artifactId>

       <!-- 这里springbooot必须是2.0.7版本,否则sec:authorize="isAuthenticated()"不起作用-->

        <version>2.0.7.RELEASE</version>

        <relativePath/> <!-- lookup parent from repository -->

    </parent>

    <groupId>com.springbootTest</groupId>

    <artifactId>springboot05-security</artifactId>

    <version>0.0.1-SNAPSHOT</version>

    <name>springboot05-security</name>

    <description>Demo project for Spring Boot</description>

    <properties>

        <java.version>1.8</java.version>

        <thymeleaf.version>3.0.11.RELEASE</thymeleaf.version>

        <thymeleaf-layout-dialect.version>2.3.0</thymeleaf-layout-dialect.version>

        <thymeleaf-extras-springsecurity4.version>3.0.4.RELEASE</thymeleaf-extras-springsecurity4.version>

    </properties>

    <dependencies>

        <!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->

        <!--thmeleaf和springsecurity的依赖-->

        <dependency>

            <groupId>org.thymeleaf.extras</groupId>

            <artifactId>thymeleaf-extras-springsecurity4</artifactId>

            <version>3.0.4.RELEASE</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-thymeleaf</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-test</artifactId>

            <scope>test</scope>

        </dependency>

    </dependencies>

    <build>

        <plugins>

            <plugin>

                <groupId>org.springframework.boot</groupId>

                <artifactId>spring-boot-maven-plugin</artifactId>

            </plugin>

        </plugins>

    </build>

</project>

自定义Security策略类写法:

package com.springboottest.security.config;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity

public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        //super.configure(http);

        //定制请求的授权规则

        http.authorizeRequests().antMatchers("/").permitAll()

                .antMatchers("/level1/**").hasRole("VIP1")

                .antMatchers("/level2/**").hasRole("VIP2")

                .antMatchers("/level3/**").hasRole("VIP3");

        //开启自动配置的登陆功能,效果:如果没有登陆,没有权限就会来到登陆页面

        http.formLogin().usernameParameter("user").passwordParameter("pwd")

                .loginPage("/userlogin");//告诉登录页发送什么请求

        //1.  /login来到登录页

        //2.   /login?error表示登陆失败

        //3.   用户名密码等等更多详细规则

        //4.   默认post形式的/login代表处理登陆

        //5.   一但定制LoginPage;那么LoginPage的post请求就是登陆

        //开启自动配置的注销功能

        http.logout().logoutSuccessUrl("/");//注销成功以后来到首页

        //1.  访问/logout 表示用户注销,清空session

        //2.  注销成功会返回 /login?logout  页面

        //开启记住我功能

        http.rememberMe().rememberMeParameter("remember");

        //登陆成功以后,将cookie发给浏览器,以后登陆带上这个cookie,只要通过检查就可以免登陆



        //点击注销会删除cookie

    }

    //定义认证规则

    @Override

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //super.configure(auth);

        //   //.passwordEncoder(new MyPasswordEncoder())。

        //这样,页面提交时候,密码以明文的方式进行匹配。看下面解释。

        auth.inMemoryAuthentication().passwordEncoder(new MyPasswordEncoder()).withUser("zhangsan").password("123456").roles("VIP1","VIP2")

                .and()

                .withUser("lisi").password("123456").roles("VIP2","VIP3")

                .and()

                .withUser("wangwu").password("123456").roles("VIP1","VIP3");

    }

}

密码不文明方式报错:

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

解决方法:

这是因为Spring boot 2.0.3引用的security 依赖是 spring security 5.X版本,此版本需要提供一个PasswordEncorder的实例,否则后台汇报错误:
java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
并且页面毫无响应。
因此,需要创建PasswordEncorder的实现类。
MyPasswordEncoder.class:

@Component

public class MyPasswordEncoder implements PasswordEncoder {

    @Override

    public String encode(CharSequence charSequence) {

        return charSequence.toString();

    }

    @Override

    public boolean matches(CharSequence charSequence, String s) {

        return s.equals(charSequence.toString());

    }

}

welcome.html:

<!DOCTYPE html>

<html xmlns:th="http://www.thymeleaf.org"

      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<title>Insert title here</title>

</head>

<body>

<h1 align="center">欢迎光临武林秘籍管理系统</h1>

<div sec:authorize="!isAuthenticated()">

    <h2 align="center">游客您好,如果想查看武林秘籍 <a th:href="@{/userlogin}">请登录</a></h2>

</div>

<div sec:authorize="isAuthenticated()">

    <h2><span sec:authentication="name"></span>,您好,您的角色有:

        <span sec:authentication="principal.authorities"></span></h2>

    <form th:action="@{/logout}" method="post">

        <input type="submit" value="注销"/>

    </form>

</div>

<hr>

<div sec:authorize="hasRole('VIP1')">

<h3>普通武功秘籍</h3>

<ul>

    <li><a th:href="@{/level1/1}">罗汉拳</a></li>

    <li><a th:href="@{/level1/2}">武当长拳</a></li>

    <li><a th:href="@{/level1/3}">全真剑法</a></li>

</ul>

</div>

<div sec:authorize="hasRole('VIP2')">

<h3>高级武功秘籍</h3>

<ul>

    <li><a th:href="@{/level2/1}">太极拳</a></li>

    <li><a th:href="@{/level2/2}">七伤拳</a></li>

    <li><a th:href="@{/level2/3}">梯云纵</a></li>

</ul>

</div>

<div sec:authorize="hasRole('VIP3')">

<h3>绝世武功秘籍</h3>

<ul>

    <li><a th:href="@{/level3/1}">葵花宝典</a></li>

    <li><a th:href="@{/level3/2}">龟派气功</a></li>

    <li><a th:href="@{/level3/3}">独孤九剑</a></li>

</ul>

</div>

</body>

</html>

login.html:

<!DOCTYPE html>

<html xmlns:th="http://www.thymeleaf.org">

<head>

<meta charset="UTF-8">

<title>Insert title here</title>

</head>

<body>

    <h1 align="center">欢迎登陆武林秘籍管理系统</h1>

    <hr>

    <div align="center">

        <form th:action="@{/userlogin}" method="post">

            用户名:<input name="user"/><br>

            密码:<input name="pwd"><br/>

            <input type="checkbox" name="remember"> 记住我

            <br/>

            <input type="submit" value="登陆">

        </form>

    </div>

</body>

</html>

完整代码见资源(Spring Security框架)

springboot与安全的更多相关文章

  1. 解决 Springboot Unable to build Hibernate SessionFactory @Column命名不起作用

    问题: Springboot启动报错: Caused by: org.springframework.beans.factory.BeanCreationException: Error creati ...

  2. 【微框架】Maven +SpringBoot 集成 阿里大鱼 短信接口详解与Demo

    Maven+springboot+阿里大于短信验证服务 纠结点:Maven库没有sdk,需要解决 Maven打包找不到相关类,需要解决 ps:最近好久没有写点东西了,项目太紧,今天来一篇 一.本文简介 ...

  3. Springboot搭建web项目

    最近因为项目需要接触了springboot,然后被其快速零配置的特点惊呆了.关于springboot相关的介绍我就不赘述了,大家自行百度google. 一.pom配置 首先,建立一个maven项目,修 ...

  4. Java——搭建自己的RESTful API服务器(SpringBoot、Groovy)

    这又是一篇JavaWeb相关的博客,内容涉及: SpringBoot:微框架,提供快速构建服务的功能 SpringMVC:Struts的替代者 MyBatis:数据库操作库 Groovy:能与Java ...

  5. 解决 SpringBoot 没有主清单属性

    问题:SpringBoot打包成jar后运行提示没有主清单属性 解决:补全maven中的bulid信息 <plugin> <groupId>org.springframewor ...

  6. SpringBoot中yaml配置对象

    转载请在页首注明作者与出处 一:前言 YAML可以代替传统的xx.properties文件,但是它支持声明map,数组,list,字符串,boolean值,数值,NULL,日期,基本满足开发过程中的所 ...

  7. springboot 学习资源推荐

    springboot 是什么?对于构建生产就绪的Spring应用程序有一个看法. Spring Boot优先于配置的惯例,旨在让您尽快启动和运行.(这是springboot的官方介绍) 我们为什么要学 ...

  8. Springboot框架

    本片文章主要分享一下,Springboot框架为什么那么受欢迎以及如何搭建一个Springboot框架. 我们先了解一下Springboot是个什么东西,它是干什么用的.我是刚开始接触,查了很多资料, ...

  9. 如何在SpringBoot中使用JSP ?但强烈不推荐,果断改Themeleaf吧

    做WEB项目,一定都用过JSP这个大牌.Spring MVC里面也可以很方便的将JSP与一个View关联起来,使用还是非常方便的.当你从一个传统的Spring MVC项目转入一个Spring Boot ...

  10. 5分钟创建一个SpringBoot + Themeleaf的HelloWord应用

    第一步:用IDE创建一个普通maven工程,我用的eclipse. 第二步:修改pom.xml,加入支持SpringBoot和Themeleaf的依赖,文件内容如下: <?xml version ...

随机推荐

  1. bagging和boosting以及rand-forest

    bagging: 让该学习算法训练多轮,每轮的训练集由从初始的训练集中随机取出的n个训练样本组成,某个初始训练样本在某轮训练集中可以出现多次或根本不出现,训练之后可得到一个预测函数序列h_1,⋯ ⋯h ...

  2. EasyMock添加行为

    EasyMock使用expect()方法或expectLassCall()方法添加一个功能,一个模拟对象.请看下面的代码片段. 1 //add the behavior of calc service ...

  3. 关于python merge后数据行数增加的问题

    其中一个可能的原因是 join 的 data 里面的列不唯一,也就是要匹配的表里面有些一行数据对应了被匹配表多条数据,这样出来可能会增加行数,可以再查一下被匹配表里的数据是否去重

  4. 【转】40个Java多线程问题总结

    文章转自 五月的仓颉 http://www.cnblogs.com/xrq730/p/5060921.html 前言 Java多线程分类中写了21篇多线程的文章,21篇文章的内容很多,个人认为,学习, ...

  5. leetcode-8-字符串转换整数(atoi)

    题目描述: 方法一:正则 class Solution: def myAtoi(self, str: str) -> int: return max(min(int(*re.findall('^ ...

  6. Java 多线程 - 创建线程的方法 + Executors.newXXXThreadPool()缺点

    java中创建线程的三种方法以及区别: https://www.cnblogs.com/3s540/p/7172146.html 通过Executor 的工具类,创建三种类型的普通线程池: https ...

  7. js基础(条件语句 循环语句)

    条件语句 if语句块的语法形式如下: //只有两种情况下if(条件){要执行的语句块;}else{要执行的语句块;} //多种情况下if(条件){要执行的语句块;}else if(条件){要执行的语句 ...

  8. 10月23日——作业1——while循环练习

    while循环'''此类编程题,注意带进去试一试1.九九乘法表row=1while row<=9: col=1 while col<=row: print(col,"*" ...

  9. 线段树离散化+区间更新——cf1179C好题

    绝对是很好的题 把问题转化成当第i个询问的答案是数值x时是否可行 要判断值x是否可行,只要再将问题转化成a数组里>=x的值数量是否严格大于b数组里的>=x的值 那么线段树叶子结点维护对于值 ...

  10. 尚学linux课程---7、linux系统管理命令

    尚学linux课程---7.linux系统管理命令 一.总结 一句话总结: 查网络:netstat -ntpl 查进程:ps 1.需要下载163yum源(从外部源同步仓库)里面的所有rpm文件? re ...