快捷導(dǎo)航

Java Spring Security認(rèn)證與授權(quán)及注銷和權(quán)限控制篇綜合解析

更新時(shí)間：2021年10月27日 09:21:17 作者：龍弟-idea

Spring Security 是 Spring 家族中的一個(gè)安全管理框架，實(shí)際上，在 Spring Boot 出現(xiàn)之前，Spring Security 就已經(jīng)發(fā)展了多年了，但是使用的并不多，安全管理這個(gè)領(lǐng)域，一直是 Shiro 的天下

Spring Security簡介：

Spring Security 是針對Spring項(xiàng)目的安全框架，也是Spring Boot底層安全模塊默認(rèn)的技術(shù)選型，它可以實(shí)現(xiàn)強(qiáng)大的Web安全控制，對于安全控制，我們只需要引入 spring-boot-starter-security 模塊，進(jìn)行少量的配置，即可實(shí)現(xiàn)強(qiáng)大的安全管理！

記住幾個(gè)類：

WebSecurityConfigurerAdapter：自定義Security策略
AuthenticationManagerBuilder：自定義認(rèn)證策略
@EnableWebSecurity：開啟WebSecurity模式

Spring Security的兩個(gè)主要目標(biāo)是 “認(rèn)證” 和 “授權(quán)”（訪問控制）。

“認(rèn)證”（Authentication）

身份驗(yàn)證是關(guān)于驗(yàn)證您的憑據(jù)，如用戶名/用戶ID和密碼，以驗(yàn)證您的身份。

身份驗(yàn)證通常通過用戶名和密碼完成，有時(shí)與身份驗(yàn)證因素結(jié)合使用。

“授權(quán)” （Authorization）

授權(quán)發(fā)生在系統(tǒng)成功驗(yàn)證您的身份后，最終會授予您訪問資源（如信息，文件，數(shù)據(jù)庫，資金，位置，幾乎任何內(nèi)容）的完全權(quán)限。

這個(gè)概念是通用的，而不是只在Spring Security 中存在。

Spring Security 框架對于認(rèn)證和授權(quán)很好的支持。在用戶認(rèn)證方面，Spring Security 框架支持主流的認(rèn)證方式，包括 HTTP 基本認(rèn)證、HTTP 表單驗(yàn)證、HTTP 摘要認(rèn)證、OpenID 和 LDAP 等。在用戶授權(quán)方面，Spring Security 提供了基于角色的訪問控制和訪問控制列表（Access Control List，ACL），可以對應(yīng)用中的領(lǐng)域?qū)ο筮M(jìn)行細(xì)粒度的控制。

下面是spring security官網(wǎng)：Spring Security 找到對應(yīng)的官方文檔：Spring Security Reference

實(shí)驗(yàn)環(huán)境搭建：

1.新建一個(gè)初始的springboot項(xiàng)目web模塊，thymeleaf模塊

2.導(dǎo)入靜態(tài)資源

3、controller跳轉(zhuǎn)！

4、測試實(shí)驗(yàn)環(huán)境是否成功

認(rèn)證和授權(quán)

我們測試的環(huán)境，是誰都可以訪問，現(xiàn)在我們使用 Spring Security 增加上認(rèn)證和授權(quán)的功能

1、引入 Spring Security 模塊

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、編寫 Spring Security 配置類

參考對應(yīng)的官方文檔：Spring Security Reference

3、編寫基礎(chǔ)配置類

@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
   @Override
   protected void configure(HttpSecurity http) throws Exception {
       
  }
}

4.定義授權(quán)的規(guī)則:

在配置類中看授權(quán)的源碼:

5、測試，發(fā)現(xiàn)除了首頁都進(jìn)不去了！因?yàn)槲覀兡壳皼]有登錄的角色，因?yàn)檎埱笮枰卿浀慕巧珦碛袑?yīng)的權(quán)限才可以！

6、在configure()方法中加入以下配置，開啟自動(dòng)配置的登錄功能！

從源碼解釋中看

// 開啟自動(dòng)配置的登錄功能
// /login 請求來到登錄頁
// /login?error 重定向到這里表示登錄失敗
http.formLogin();

7、測試一下：發(fā)現(xiàn)，沒有權(quán)限的時(shí)候，會跳轉(zhuǎn)到登錄的頁面！

8、查看剛才登錄頁的注釋信息；

我們可以定義認(rèn)證規(guī)則，從源碼中查看

重寫configure(AuthenticationManagerBuilder auth)方法

//定義認(rèn)證規(guī)則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   
   //在內(nèi)存中定義，也可以在jdbc中去拿....
   auth.inMemoryAuthentication()
          .withUser("kuangshen").password("123456").roles("vip2","vip3")
          .and()
          .withUser("root").password("123456").roles("vip1","vip2","vip3")
          .and()
          .withUser("guest").password("123456").roles("vip1","vip2");
}

9、測試，我們可以使用這些賬號登錄進(jìn)行測試！發(fā)現(xiàn)會報(bào)錯(cuò)！

There is no PasswordEncoder mapped for the id “null”

10、原因，我們要將前端傳過來的密碼進(jìn)行某種方式加密，否則就無法登錄，修改代碼

11、測試，登錄成功，并且每個(gè)角色只能訪問自己認(rèn)證下的規(guī)則

權(quán)限控制和注銷

1、開啟自動(dòng)配置的注銷的功能

2、在前端，增加一個(gè)注銷的按鈕，index.html 導(dǎo)航欄中

<a class="item" th:href="@{/logout}" rel="external nofollow" >
   <i class="sign-out icon"></i> 注銷
</a>

3、可以去測試一下，登錄成功后點(diǎn)擊注銷，發(fā)現(xiàn)注銷完畢會跳轉(zhuǎn)到登錄頁面！

4、但是，我們想讓他注銷成功后，依舊可以跳轉(zhuǎn)到首頁，該怎么處理呢？

// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");

5、測試，注銷完畢后，發(fā)現(xiàn)跳轉(zhuǎn)到首頁OK

6、現(xiàn)在來一個(gè)需求：用戶沒有登錄的時(shí)候，導(dǎo)航欄上只顯示登錄按鈕，用戶登錄之后，導(dǎo)航欄可以顯示登錄的用戶信息及注銷按鈕！還有就是，比如longdi這個(gè)用戶，它只有 vip2，vip3功能，那么登錄則只顯示這兩個(gè)功能，而vip1的功能菜單不顯示！這個(gè)就是真實(shí)的網(wǎng)站情況了！

我們需要結(jié)合thymeleaf中的一些功能

sec：authorize="isAuthenticated()":是否認(rèn)證登錄！來顯示不同的頁面

Maven依賴：

<dependency>
   <groupId>org.thymeleaf.extras</groupId>
   <artifactId>thymeleaf-extras-springsecurity5</artifactId>
   <version>3.0.4.RELEASE</version>
</dependency>

7、修改我們的前端頁面

導(dǎo)入命名空間 xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"

修改導(dǎo)航欄，增加認(rèn)證判斷

8、重啟測試，可以登錄試試看，登錄成功后確實(shí)，顯示了我們想要的頁面；

9、如果注銷404了，就是因?yàn)樗J(rèn)防止csrf跨站請求偽造，因?yàn)闀a(chǎn)生安全問題，可以將請求改為post表單提交，或者在spring security中關(guān)閉csrf功能；試試在配置中增加

10、繼續(xù)將下面的角色功能塊認(rèn)證完成！測試成功！

到此這篇關(guān)于Java Spring Security認(rèn)證與授權(quán)及注銷和權(quán)限控制篇綜合解析的文章就介紹到這了,更多相關(guān)Java Spring Security內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: