Spring Security簡介：

Spring Security 是針對Spring項目的安全框架，也是Spring Boot底層安全模塊默認的技術選型，它可以實現(xiàn)強大的Web安全控制，對于安全控制，我們只需要引入 spring-boot-starter-security 模塊，進行少量的配置，即可實現(xiàn)強大的安全管理！

記住幾個類：

• WebSecurityConfigurerAdapter：自定義Security策略
• AuthenticationManagerBuilder：自定義認證策略
• @EnableWebSecurity：開啟WebSecurity模式

Spring Security的兩個主要目標是 “認證” 和 “授權”（訪問控制）。

“認證”（Authentication）

身份驗證是關于驗證您的憑據(jù)，如用戶名/用戶ID和密碼，以驗證您的身份。

身份驗證通常通過用戶名和密碼完成，有時與身份驗證因素結(jié)合使用。

“授權” （Authorization）

授權發(fā)生在系統(tǒng)成功驗證您的身份后，最終會授予您訪問資源（如信息，文件，數(shù)據(jù)庫，資金，位置，幾乎任何內(nèi)容）的完全權限。

這個概念是通用的，而不是只在Spring Security 中存在。

Spring Security 框架對于認證和授權很好的支持。在用戶認證方面，Spring Security 框架支持主流的認證方式，包括 HTTP 基本認證、HTTP 表單驗證、HTTP 摘要認證、OpenID 和 LDAP 等。在用戶授權方面，Spring Security 提供了基于角色的訪問控制和訪問控制列表（Access Control List，ACL），可以對應用中的領域?qū)ο筮M行細粒度的控制。

下面是spring security官網(wǎng)：Spring Security 找到對應的官方文檔：Spring Security Reference

實驗環(huán)境搭建：

1.新建一個初始的springboot項目web模塊，thymeleaf模塊

2.導入靜態(tài)資源

3、controller跳轉(zhuǎn)！

4、測試實驗環(huán)境是否成功

認證和授權

我們測試的環(huán)境，是誰都可以訪問，現(xiàn)在我們使用 Spring Security 增加上認證和授權的功能

1、引入 Spring Security 模塊

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、編寫 Spring Security 配置類

參考對應的官方文檔：Spring Security Reference

3、編寫基礎配置類

@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
   @Override
   protected void configure(HttpSecurity http) throws Exception {
       
  }
}

4.定義授權的規(guī)則:

在配置類中看授權的源碼:

5、測試，發(fā)現(xiàn)除了首頁都進不去了！因為我們目前沒有登錄的角色，因為請求需要登錄的角色擁有對應的權限才可以！

6、在configure()方法中加入以下配置，開啟自動配置的登錄功能！

從源碼解釋中看

// 開啟自動配置的登錄功能
// /login 請求來到登錄頁
// /login?error 重定向到這里表示登錄失敗
http.formLogin();

7、測試一下：發(fā)現(xiàn)，沒有權限的時候，會跳轉(zhuǎn)到登錄的頁面！

8、查看剛才登錄頁的注釋信息；

我們可以定義認證規(guī)則，從源碼中查看

重寫configure(AuthenticationManagerBuilder auth)方法

//定義認證規(guī)則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   
   //在內(nèi)存中定義，也可以在jdbc中去拿....
   auth.inMemoryAuthentication()
          .withUser("kuangshen").password("123456").roles("vip2","vip3")
          .and()
          .withUser("root").password("123456").roles("vip1","vip2","vip3")
          .and()
          .withUser("guest").password("123456").roles("vip1","vip2");
}

9、測試，我們可以使用這些賬號登錄進行測試！發(fā)現(xiàn)會報錯！

There is no PasswordEncoder mapped for the id “null”

10、原因，我們要將前端傳過來的密碼進行某種方式加密，否則就無法登錄，修改代碼

11、測試，登錄成功，并且每個角色只能訪問自己認證下的規(guī)則

權限控制和注銷

1、開啟自動配置的注銷的功能

2、在前端，增加一個注銷的按鈕，index.html 導航欄中

<a class="item" th:href="@{/logout}" rel="external nofollow" >
   <i class="sign-out icon"></i> 注銷
</a>

3、可以去測試一下，登錄成功后點擊注銷，發(fā)現(xiàn)注銷完畢會跳轉(zhuǎn)到登錄頁面！

4、但是，我們想讓他注銷成功后，依舊可以跳轉(zhuǎn)到首頁，該怎么處理呢？

// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");

5、測試，注銷完畢后，發(fā)現(xiàn)跳轉(zhuǎn)到首頁OK

6、現(xiàn)在來一個需求：用戶沒有登錄的時候，導航欄上只顯示登錄按鈕，用戶登錄之后，導航欄可以顯示登錄的用戶信息及注銷按鈕！還有就是，比如longdi這個用戶，它只有 vip2，vip3功能，那么登錄則只顯示這兩個功能，而vip1的功能菜單不顯示！這個就是真實的網(wǎng)站情況了！

我們需要結(jié)合thymeleaf中的一些功能

sec：authorize="isAuthenticated()":是否認證登錄！來顯示不同的頁面

Maven依賴：

<dependency>
   <groupId>org.thymeleaf.extras</groupId>
   <artifactId>thymeleaf-extras-springsecurity5</artifactId>
   <version>3.0.4.RELEASE</version>
</dependency>

7、修改我們的 前端頁面

導入命名空間 xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"

修改導航欄，增加認證判斷

8、重啟測試，可以登錄試試看，登錄成功后確實，顯示了我們想要的頁面；

9、如果注銷404了，就是因為它默認防止csrf跨站請求偽造，因為會產(chǎn)生安全問題，可以將請求改為post表單提交，或者在spring security中關閉csrf功能；試試在 配置中增加

10、繼續(xù)將下面的角色功能塊認證完成！測試成功！

到此這篇關于Java Spring Security認證與授權及注銷和權限控制篇綜合解析的文章就介紹到這了,更多相關Java Spring Security內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論