5.1_springboot2.x与安全（spring security）

时间 2020-05-08

标签 5.1 springboot2.x springboot 安全 spring security 栏目 Spring 繁體版

原文原文链接

一、简介

常见的两个安全框架shiro|spring security，这里只介绍spring security;html

Spring Security是针对Spring项目的安全框架，也是Spring Boot底层安全模块默认的技术选型。他能够实现强大的web安全控制。对于安全控制，咱们仅需引入spring-boot-starter-security模块，进行少许的配置，便可实现强大的安全管理。java

几个类：
WebSecurityConfigurerAdapter：自定义Security策略
AuthenticationManagerBuilder：自定义认证策略
@EnableWebSecurity：开启WebSecurity模式web

应用程序的两个主要区域是“认证”和“受权”（或者访问控制）。这两个主要区域是Spring Security 的两个目标。spring

“认证”（Authentication），是创建一个他声明的主体的过程（一个“主体”通常是指用户，设备或一些能够在你的应用程序中执行动做的其余系统）浏览器

“受权”（Authorization）指肯定一个主体是否容许在你的应用程序执行一个动做的过程。为了抵达须要受权的店，主体的身份已经有认证过程创建。安全

二、测试安全登陆&认证&受权

一、导入依赖springboot

测试环境说明：cookie

springboot：2.2.0、thyemelaf：3.0.11.RELEASE、session

<!--引入spring security模块-->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
<!--thyemelaf模块-->
<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-thymeleaf</artifactId>
		</dependency>

二、配置spring security配置类框架

该类要用@EnableWebSecurity标注而且继承WebSecurityConfigurerAdapter

public class MySecurityConfig extends WebSecurityConfigurerAdapter{    
}

三、控制请求的访问权限

重写protected void configure(HttpSecurity http)方法

定制请求的受权规则：

//开启自动配置的登陆功能,若是没有登陆，没有权限就会来到登陆页面
        /*formLogin() * 一、/login 来到登陆页面 * 二、重定向到/login?error表示登陆失败 * 三、更多详细规定 * 四、默认post形式的/login表明处理登陆 * 五、一旦定制loginpage:那么loginPage的post请求就是登陆 * */
http.formLogin()

详细代码：

@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {


    //定制请求的受权规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("VIP1")
                .antMatchers("/level2/**").hasRole("VIP2")
                .antMatchers("/level3/**").hasRole("VIP3");
        //开启自动配置的登陆功能,若是没有登陆，没有权限就会来到登陆页面
        /*formLogin() * 一、/login 来到登陆页面 * 二、重定向到/login?error表示登陆失败 * 三、更多详细规定 * 四、默认post形式的/login表明处理登陆 * 五、一旦定制loginpage:那么loginPage的post请求就是登陆 * */
        http.formLogin()
                .usernameParameter("user")
                .passwordParameter("pwd ")
                .loginPage("/userlogin");
    }

四、定制受权规则

重写：protected void configure(AuthenticationManagerBuilder auth)

这里主要从auth.inMemoryAuthentication 从内存中获取，若是从硬盘查看密码的话，注意：Spring security 5.0中新增了多种加密方式，也改变了密码的格式。请看此博客：https://blog.csdn.net/canon_in_d_major/article/details/79675033

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //inMemoryAuthentication 从内存中获取
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("1").password(new BCryptPasswordEncoder().encode("123")).roles("VIP1","VIP2")
                .and()
                .withUser("2").password(new BCryptPasswordEncoder().encode("123")).roles("VIP2","VIP3")
                .and()
                .withUser("3").password(new BCryptPasswordEncoder().encode("123")).roles("VIP2","VIP3");

    }

三、测试权限控制&注销

一、注销功能

开启自动配置的注销功能一、访问/loginout表示用户注销，清空session 二、注销成功以后，会返回login?logout

http.logout().logoutSuccessUrl("/");//注销成功以后来到首页

html这样写：

<form th:action="@{/logout}" method="post">
		<input type="submit" value="注销">
	</form>

当页面点击注销按钮，会跳到登陆页面，logoutSuccessUrl("/"）可到指定位置

二、权限控制

这里能够指定特定用户访问相对应的信息，不一样角色显示不一样内容

引入thymeleaf-extras-springsecurity5依赖

<!--引入>thymeleaf-extras-springsecurity5-->
		<dependency>
			<groupId>org.thymeleaf.extras</groupId>
			<artifactId>thymeleaf-extras-springsecurity5</artifactId>
			<version>3.0.4.RELEASE</version>
		</dependency>

这里：记录springBoot2.2.0版本里添加thymeleaf-extras-springsecurity4后，也没法正常读取到sec标签

html命名空间：

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">

便可解决

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">

<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<h1 align="center">欢迎光临武林秘籍管理系统</h1>
<!--未认证-->
<div sec:authorize="!isAuthenticated()">
	<h2 align="center">游客您好，若是想查看武林秘籍 <a th:href="@{/userlogin}">请登陆</a></h2>
</div>
<!--已认证-->
<div sec:authorize="isAuthenticated()">
	<h2><span sec:authentication="name"></span>,您好，您的角色有:
		<span sec:authentication="principal.authorities"></span>
		</h2>
	<form th:action="@{/logout}" method="post">
		<input type="submit" value="注销">
	</form>
</div>


<hr>
<div sec:authorize="hasRole('VIP1')">

	<h3>普通武功秘籍</h3>
	<ul>
		<li><a th:href="@{/level1/1}">罗汉拳</a></li>
		<li><a th:href="@{/level1/2}">武当长拳</a></li>
		<li><a th:href="@{/level1/3}">全真剑法</a></li>
	</ul>
</div>

<div sec:authorize="hasRole('VIP2')">

	<h3>高级武功秘籍</h3>
	<ul>
		<li><a th:href="@{/level2/1}">太极拳</a></li>
		<li><a th:href="@{/level2/2}">七伤拳</a></li>
		<li><a th:href="@{/level2/3}">梯云纵</a></li>
	</ul>

</div>
<div sec:authorize="hasRole('VIP3')">

	<h3>绝世武功秘籍</h3>
	<ul>
		<li><a th:href="@{/level3/1}">葵花宝典</a></li>
		<li><a th:href="@{/level3/2}">龟派气功</a></li>
		<li><a th:href="@{/level3/3}">独孤九剑</a></li>
	</ul>
</div>
</body>
</html>

四、测试记住我&定制登陆页

一、记住我

登陆成功之后，将cookie发给浏览器保存，之后访问页面会带上这个cookie,只要经过检查就能够实现免登录，点击注销会删除cookie

/* * 登陆成功之后，将cookie发给浏览器保存，之后访问页面会带上这个cookie,只要经过检查就能够实现免登录 * 点击注销会删除cookie * */
        http.rememberMe().rememberMeParameter("remember");

二、定制登陆页

spring security默认访问/login，

http.formLogin()
                .usernameParameter("user")
                .passwordParameter("pwd")
                .loginPage("/userlogin");

这时候点登陆会到本身定制的登陆页，这里要提交登陆的用户名和密码，loginPage()—>默认post形式的/login表明处理登陆,

一旦定制loginpage:那么loginPage的post请求就是登陆

登陆页：

<div align="center">
		<form th:action="@{/userlogin}" method="post">
			用户名:<input name="user"/><br>
			密码:<input name="pwd"><br/>
			remember me:<input type="checkbox" name="remember">
			 <input type="submit" value="登录">
		</form>
	</div>