快捷導(dǎo)航

淺聊一下Spring?Security的使用方法

更新時(shí)間：2023年08月18日 09:44:39 作者：Jimmy

Spring?Security?是一個(gè)基于?Spring?框架的安全框架,提供了一套安全性認(rèn)證和授權(quán)的解決方案,用于保護(hù)?Web?應(yīng)用程序和服務(wù),接下來(lái)小編就和大家聊聊Spring?Security,感興趣的小伙伴跟著小編一起來(lái)看看吧

spring security 是什么？

Spring Security 是一個(gè)基于 Spring 框架的安全框架，提供了一套安全性認(rèn)證和授權(quán)的解決方案，用于保護(hù) Web 應(yīng)用程序和服務(wù)。

Spring Security 提供了多種身份驗(yàn)證和授權(quán)方式，例如基于表單的身份驗(yàn)證和授權(quán)方式、基于 HTTP 基本身份驗(yàn)證、基于 OAuth2 的身份驗(yàn)證等。

Spring Security 還提供了許多常見(jiàn)的安全特性，比如防止跨站點(diǎn)請(qǐng)求偽造 CSRF 攻擊、防止點(diǎn)擊劫持等。

CSRF -> Cross-Site Request Forgery

Spring Security 核心概念

它有三個(gè)核心概念，如下：

概念	說(shuō)明
Principle	代表用戶的對(duì)象 Principle(User) ，不僅指人類，還包括一切可以用于驗(yàn)證的設(shè)備。
Authority	代表用戶的角色 Authority(Role) ，每個(gè)用戶都應(yīng)該有一種角色，例如管理員或者是會(huì)員。
Permission	代表授權(quán)，復(fù)雜的應(yīng)用環(huán)境需要對(duì)角色的權(quán)限進(jìn)行表述。

Authority 和 Permission 是兩個(gè)完全獨(dú)立的概念，兩者沒(méi)有必然的聯(lián)系。它們直接需要通過(guò)配置進(jìn)行關(guān)聯(lián)，可以是自己定義的各種關(guān)系。

案例

首先，我們添加依賴：

<!-- Spring Security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

我們啟動(dòng)項(xiàng)目，可以在控制臺(tái)上看到動(dòng)態(tài)生成的訪問(wèn)密碼：

啟動(dòng)項(xiàng)目.png

默認(rèn)的用戶名是 user

這個(gè)時(shí)候，我們?cè)跒g覽器上訪問(wèn)用戶列表接口 http://localhost:8080/api/user/ ，會(huì)自動(dòng)跳轉(zhuǎn)到登陸頁(yè)面。

登陸頁(yè)面.png

輸入默認(rèn)用戶名 user 和上圖中動(dòng)態(tài)生成的密碼 3019398a-a10f-43e9-9e21-199f6892f689 ，登陸成功后，自動(dòng)跳轉(zhuǎn)到接口 http://localhost:8080/api/user/ 。

獲取用戶列表.png

當(dāng)然，我們也可以自定用戶名和密碼，不然每次啟動(dòng)項(xiàng)目后，密碼都需要重新生成一遍，著實(shí)尷尬。

自定義用戶名和密碼

方式一： 在 application.properties 文件內(nèi)配置：

spring.security.user.name=jimmy
spring.security.user.password=123456

重啟項(xiàng)目，輸入用戶名 jimmy ，密碼 123456 即可授權(quán)登陸。

如果不生效，請(qǐng)清空瀏覽器上的緩存

方式二： Java 上配置用戶名和密碼：

在包 config 下，新建文件 SecurityConfig.java ，如下：

package com.launch.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        // 用戶存在內(nèi)存中
        auth.inMemoryAuthentication()
                .withUser("jimmy")
                .password(encoder.encode("111111"))
                .roles("admin")
                .and()
                .withUser("kimmy")
                .password(encoder.encode("222222"))
                .roles("user");
    }
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

注意，密碼需要加密，如 encoder.encode("222222") 。

重啟項(xiàng)目，清空瀏覽器緩存，輸入用戶名/密碼 - kimmy / 222222 或者 jimmy / 111111 即可登陸。