快捷導航

淺聊一下Spring?Security的使用方法

更新時間：2023年08月18日 09:44:39 作者：Jimmy

Spring?Security?是一個基于?Spring?框架的安全框架,提供了一套安全性認證和授權(quán)的解決方案,用于保護?Web?應(yīng)用程序和服務(wù),接下來小編就和大家聊聊Spring?Security,感興趣的小伙伴跟著小編一起來看看吧

spring security 是什么？

Spring Security 是一個基于 Spring 框架的安全框架，提供了一套安全性認證和授權(quán)的解決方案，用于保護 Web 應(yīng)用程序和服務(wù)。

Spring Security 提供了多種身份驗證和授權(quán)方式，例如基于表單的身份驗證和授權(quán)方式、基于 HTTP 基本身份驗證、基于 OAuth2 的身份驗證等。

Spring Security 還提供了許多常見的安全特性，比如防止跨站點請求偽造 CSRF 攻擊、防止點擊劫持等。

CSRF -> Cross-Site Request Forgery

Spring Security 核心概念

它有三個核心概念，如下：

概念	說明
Principle	代表用戶的對象 Principle(User) ，不僅指人類，還包括一切可以用于驗證的設(shè)備。
Authority	代表用戶的角色 Authority(Role) ，每個用戶都應(yīng)該有一種角色，例如管理員或者是會員。
Permission	代表授權(quán)，復雜的應(yīng)用環(huán)境需要對角色的權(quán)限進行表述。

Authority 和 Permission 是兩個完全獨立的概念，兩者沒有必然的聯(lián)系。它們直接需要通過配置進行關(guān)聯(lián)，可以是自己定義的各種關(guān)系。

案例

首先，我們添加依賴：

<!-- Spring Security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

我們啟動項目，可以在控制臺上看到動態(tài)生成的訪問密碼：

啟動項目.png

默認的用戶名是 user

這個時候，我們在瀏覽器上訪問用戶列表接口 http://localhost:8080/api/user/ ，會自動跳轉(zhuǎn)到登陸頁面。

登陸頁面.png

輸入默認用戶名 user 和上圖中動態(tài)生成的密碼 3019398a-a10f-43e9-9e21-199f6892f689 ，登陸成功后，自動跳轉(zhuǎn)到接口 http://localhost:8080/api/user/ 。

獲取用戶列表.png

當然，我們也可以自定用戶名和密碼，不然每次啟動項目后，密碼都需要重新生成一遍，著實尷尬。

自定義用戶名和密碼

方式一： 在 application.properties 文件內(nèi)配置：

spring.security.user.name=jimmy
spring.security.user.password=123456

重啟項目，輸入用戶名 jimmy ，密碼 123456 即可授權(quán)登陸。

如果不生效，請清空瀏覽器上的緩存

方式二： Java 上配置用戶名和密碼：

在包 config 下，新建文件 SecurityConfig.java ，如下：

package com.launch.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        // 用戶存在內(nèi)存中
        auth.inMemoryAuthentication()
                .withUser("jimmy")
                .password(encoder.encode("111111"))
                .roles("admin")
                .and()
                .withUser("kimmy")
                .password(encoder.encode("222222"))
                .roles("user");
    }
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

注意，密碼需要加密，如 encoder.encode("222222") 。

重啟項目，清空瀏覽器緩存，輸入用戶名/密碼 - kimmy / 222222 或者 jimmy / 111111 即可登陸。