一、什么是SpringSecurity？

Spring Security是一個(gè)基于Spring框架的安全性框架，提供了一組輕量級(jí)的API和工具，用于實(shí)現(xiàn)身份驗(yàn)證、授權(quán)、防止攻擊等常見的安全性功能。它支持各種身份驗(yàn)證方式，例如基本身份驗(yàn)證、表單身份驗(yàn)證、OAuth2.0和OpenID Connect等。Spring Security還提供了許多可配置選項(xiàng)，允許開發(fā)人員根據(jù)應(yīng)用程序的需求進(jìn)行定制。Spring Security已經(jīng)成為了Java企業(yè)級(jí)應(yīng)用程序中使用最廣泛的安全框架之一。

二、SpringSecurity的原理

Spring Security的核心原理是基于過濾器鏈（Filter Chain）來保護(hù)應(yīng)用程序資源。在這個(gè)過濾器鏈中，不同的過濾器負(fù)責(zé)不同的安全功能，例如身份驗(yàn)證、授權(quán)、攻擊防御等。

當(dāng)一個(gè)請(qǐng)求到達(dá)應(yīng)用程序時(shí)，它首先會(huì)被最外層的過濾器攔截。這個(gè)過濾器將請(qǐng)求傳遞給下一個(gè)過濾器，并繼續(xù)執(zhí)行一些前置處理（例如日志記錄、跨域請(qǐng)求處理等）。接下來，在過濾器鏈中的每個(gè)過濾器都會(huì)進(jìn)行自己的處理，直到請(qǐng)求被最內(nèi)層的過濾器處理完畢并返回響應(yīng)。

Spring Security通過配置過濾器鏈來保護(hù)應(yīng)用程序資源。每個(gè)過濾器都有不同的職責(zé)，例如：

（1）AuthenticationFilter：身份驗(yàn)證過濾器，用于對(duì)用戶進(jìn)行身份驗(yàn)證。

（2）AuthorizationFilter：授權(quán)過濾器，用于檢查用戶是否有權(quán)限訪問某個(gè)資源。

（3）CsrfFilter：防止跨站點(diǎn)請(qǐng)求偽造（CSRF）過濾器，用于防止CSRF攻擊。

（4）ExceptionTranslationFilter：異常轉(zhuǎn)換過濾器，用于處理安全相關(guān)的異常。

（5）SessionManagementFilter：會(huì)話管理過濾器，用于管理用戶的會(huì)話。

開發(fā)人員可以基于Spring Security提供的API和工具，定制自己的安全性策略，并將它們添加到過濾器鏈中。這樣，當(dāng)應(yīng)用程序收到請(qǐng)求時(shí)，它就會(huì)遵循這些安全性策略來保護(hù)應(yīng)用程序資源。

三、SpringBoot整合SpringSecurity

添加依賴

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置Spring Security

# 設(shè)置默認(rèn)用戶
spring.security.user.name=user
spring.security.user.password=pass

# 關(guān)閉CSRF保護(hù)
spring.security.csrf.enabled=false

編寫安全性配置類。編寫一個(gè)安全性配置類來配置Spring Security。這個(gè)類應(yīng)該擴(kuò)展WebSecurityConfigurerAdapter并覆蓋一些方法來配置安全性。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    // 配置用戶信息
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}pass").roles("USER");
    }
    
    // 配置HTTP請(qǐng)求安全性
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/public/**").permitAll() // 允許/public/**路徑下的所有請(qǐng)求
            .anyRequest().authenticated() // 所有其他請(qǐng)求都需要身份驗(yàn)證
            .and()
            .formLogin() // 啟用表單登錄
            .loginPage("/login") // 指定登錄頁面
            .defaultSuccessUrl("/", true) // 登錄成功后重定向到主頁
            .permitAll() // 允許所有用戶訪問登錄頁面
            .and()
            .logout() // 啟用注銷
            .logoutUrl("/logout") // 注銷URL
            .logoutSuccessUrl("/login") // 注銷成功后重定向到登錄頁面
            .permitAll(); // 允許所有用戶注銷
    }
}

在上面的配置中，我們配置了一個(gè)內(nèi)存身份驗(yàn)證（使用用戶名和密碼）和HTTP請(qǐng)求安全性（允許某些路徑下的請(qǐng)求，要求所有其他請(qǐng)求都需要身份驗(yàn)證，并開啟表單登錄和注銷）。

編寫控制器。最后，您需要編寫一個(gè)控制器來處理登錄和注銷請(qǐng)求。

@Controller
public class LoginController {
    
    // 處理登錄請(qǐng)求
    @GetMapping("/login")
    public String login() {
        return "login";
    }
    
    // 處理注銷請(qǐng)求
    @PostMapping("/logout")
    public String logout() {
        return "redirect:/login?logout=true";
    }
}

在上面的代碼中，我們定義了一個(gè)login()方法來處理登錄頁面請(qǐng)求，并返回一個(gè)名為login的模板。logout()方法用于處理注銷請(qǐng)求，并重定向到登錄頁面。

寫html模板。最后，我們需要編寫一個(gè)名為login.html的模板來呈現(xiàn)登錄頁面。

<!DOCTYPE html>
<html>
<head>
    <title>Login</title>
</head>
<body>
    <h1>Login</h1>
    <form action="/login" method="post">
        <div>
            <label for="username">Username:</label>
            <input type="text" id="username" name="username" required autofocus />
        </div>
    </form>
</body>
</html>

總結(jié)

到此這篇關(guān)于SpringBoot快速整合SpringSecurity的詳細(xì)步驟的文章就介紹到這了,更多相關(guān)SpringBoot快速整合SpringSecurity內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論