spring-security-學習筆記-03-spring-security快速上手

文章目錄

• spring-security-學習筆記-03-spring-security快速上手
• 3-spring-security快速上手
• • 3.1 Spring Security介紹
  • 3.2 創建工程
  • • 3.2.1 創建maven工程
    • 3.2.2 spring容器配置
    • 3.2.3 Servlet Context配置
    • 3.2.4 加載 Spring容器
  • 3.3認證
  • • 3.3.1 認證頁面
    • 3.3.2.安全配置
    • 3.3.2.Spring Security初始化
    • 3.2.3.默認根路徑請求
    • 3.2.4.認證成功頁面
    • 3.2.5 測試
  • 3.4 授權
  • 3.5 小結

3-spring-security快速上手

3.1 Spring Security介紹

??Spring Security是一個能夠為基于Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。由于它 是Spring生態系統中的一員，因此它伴隨著整個Spring生態系統不斷修正、升級，在spring boot項目中加入spring security更是十分簡單，使用Spring Security 減少了為企業系統安全控制編寫大量重復代碼的工作。

3.2 創建工程

3.2.1 創建maven工程

pom文件

在security-springmvc的基礎上增加spring-security的依賴：

<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-web</artifactId><version>5.1.4.RELEASE</version> </dependency>

3.2.2 spring容器配置

@Configuration //相當于applicationContext.xml @ComponentScan(basePackages = "com.itheima.security.springmvc",excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)}) public class ApplicationConfig {//在此配置除了Controller的其它bean，比如：數據庫鏈接池、事務管理器、業務bean等。 }

3.2.3 Servlet Context配置

@Configuration//就相當于springmvc.xml文件 @EnableWebMvc @ComponentScan(basePackages = "com.itheima.security.springmvc",includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)}) public class WebConfig implements WebMvcConfigurer {//視頻解析器@Beanpublic InternalResourceViewResolver viewResolver(){InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();viewResolver.setPrefix("/WEB-INF/view/");viewResolver.setSuffix(".jsp");return viewResolver;}@Overridepublic void addViewControllers(ViewControllerRegistry registry) {registry.addViewController("/").setViewName("redirect:/login");}}

3.2.4 加載 Spring容器

??在init包下定義Spring容器初始化類SpringApplicationInitializer，此類實現WebApplicationInitializer接口， Spring容器啟動時加載WebApplicationInitializer接口的所有實現類。

public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {//spring容器，相當于加載 applicationContext.xml@Overrideprotected Class<?>[] getRootConfigClasses() {return new Class[]{ApplicationConfig.class, WebSecurityConfig.class};}//servletContext，相當于加載springmvc.xml@Overrideprotected Class<?>[] getServletConfigClasses() {return new Class[]{WebConfig.class};}//url-mapping@Overrideprotected String[] getServletMappings() {return new String[]{"/"};} }

3.3認證

3.3.1 認證頁面

springSecurity默認提供認證頁面，不需要額外開發

3.3.2.安全配置

spring security提供了用戶名密碼登錄、退出、會話管理等認證功能，只需要配置即可使用。

1 ) 在config包下定義WebSecurityConfig，安全配置的內容包括：用戶信息、密碼編碼器、安全攔截機制。

@EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter {//定義用戶信息服務（查詢用戶信息）@Override@Beanpublic UserDetailsService userDetailsService(){InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());return manager;}//密碼編碼器@Beanpublic PasswordEncoder passwordEncoder(){return NoOpPasswordEncoder.getInstance();}//安全攔截機制（最重要）@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/r/r1").hasAuthority("p1").antMatchers("/r/r2").hasAuthority("p2").antMatchers("/r/**").authenticated()//所有/r/**的請求必須認證通過.anyRequest().permitAll()//除了/r/**，其它的請求可以訪問.and().formLogin()//允許表單登錄.successForwardUrl("/login-success");//自定義登錄成功的頁面地址} }

在userDetailsService()方法中，我們返回了一個UserDetailsService給spring容器，Spring Security會使用它來獲取用戶信息。我們暫時使用InMemoryUserDetailsManager實現類，并在其中分別創建了zhangsan、lisi兩個用 戶，并設置密碼和權限。

而在configure()中，我們通過HttpSecurity設置了安全攔截規則，其中包含了以下內容：

3.3.2.Spring Security初始化

3.2.3.默認根路徑請求

在WebConfig.java中添加默認請求根路徑跳轉到/login，此url為spring security提供：

//默認Url根路徑跳轉到/login，此url為spring security提供 @Overridepublic void addViewControllers(ViewControllerRegistry registry) {registry.addViewController("/").setViewName("redirect:/login");}

spring security默認提供的登錄頁面。

3.2.4.認證成功頁面

在安全配置中，認證成功將跳轉到/login-success，代碼如下：

spring security支持form表單認證，認證成功后轉向/login-success。
在LoginController中定義/login-success:

@RequestMapping(value = "/login-success",produces = {"text/plain;charset=UTF-8"})public String loginSuccess(){return " 登錄成功";}

3.2.5 測試

2、退出 后再訪問資源自動跳轉到登錄頁面

3.4 授權

??實現授權需要對用戶的訪問進行攔截校驗，校驗用戶的權限是否可以操作指定的資源，Spring Security默認提供授 權實現方法。

在LoginController添加/r/r1或/r/r2

/*** 測試資源1* @return*/@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF-8"})public String r1(){return " 訪問資源1";}/*** 測試資源2* @return*/@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF-8"})public String r2(){return " 訪問資源2";}

在安全配置類WebSecurityConfig.java中配置授權規則：

3.5 小結

??通過快速上手，咱們使用Spring Security實現了認證和授權，Spring Security提供了基于賬號和密碼的認證方式， 通過安全配置即可實現請求攔截，授權功能，Spring Security能完成的不僅僅是這些。

總結

以上是生活随笔為你收集整理的spring-security-学习笔记-03-spring-security快速上手的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。