• springBoot集成SpringSecurity(随笔记录)

    • 在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。

    • 在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制。

    • 使用过滤器、拦截器也可以使用

    Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。

    “认证”(Authentication)

    身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。

    身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。

    “授权” (Authorization)

    授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。

    这个概念是通用的,而不是只在Spring Security 中存在。

    实现过程

    15.4 实现

    1、引入 Spring Security 依赖

    2.         
    3.             org.apache.shiro
    4.             shiro-spring-boot-starter
    5.             1.10.1
    6.         
    8.         
    9.             org.thymeleaf
    10.             thymeleaf-spring5
    11.         
    12.         
    13.             org.thymeleaf.extras
    14.             thymeleaf-extras-java8time
    15.

    2、编写 Spring Security 配置类SecurityConfig

    1. package com.studyspringboot.study.config.security;
    2.  
    3. import org.springframework.context.annotation.Bean;
    4. import org.springframework.context.annotation.Configuration;
    5. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    6. import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
    7. import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
    8. import org.springframework.security.core.userdetails.User;
    9. import org.springframework.security.core.userdetails.UserDetails;
    10. import org.springframework.security.core.userdetails.UserDetailsService;
    11. import org.springframework.security.crypto.factory.PasswordEncoderFactories;
    12. import org.springframework.security.crypto.password.PasswordEncoder;
    13. import org.springframework.security.provisioning.InMemoryUserDetailsManager;
    14. import org.springframework.security.web.SecurityFilterChain;
    15.  
    16.  
    17. @Configuration
    18. @EnableWebSecurity
    19. public class SecurityConfig {
    20.  
    21.     @Bean
    22.     public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    23.         //首页所有人可以访问
    24.         http.authorizeRequests(authorize -> authorize
    25.                         .antMatchers("/index").permitAll()
    26.                         .antMatchers("/").anonymous()
    27.                         .antMatchers("/level1/**").hasRole("vip1")
    28.                         .antMatchers("/level2/**").hasRole("vip2")
    29.                         .antMatchers("/level3/**").hasRole("vip3"))
    30.                 //没有权限跳转登录页
    31.                 .formLogin(login -> login
    32.                         .permitAll()
    33.                         .loginPage("/toLogin")
    34.                         .usernameParameter("username")
    35.                         .passwordParameter("password")
    36.                         .loginProcessingUrl("/user/login")// 登陆表单提交请求
    37.                 )
    38.                 .logout(l -> l.logoutSuccessUrl("/index").deleteCookies())// 注销成功来到首页
    39.                 .csrf(AbstractHttpConfigurer::disable)//关闭csrf功能:跨站请求伪造,默认只能通过post方式提交logout请求
    40.                 .rememberMe(r -> r.rememberMeParameter("remember"))记住我 Cookies
    41.         ;
    42.         return http.build();
    43.     }
    44.  
    45.     //定义认证规则
    46.     @Bean
    47.     public UserDetailsService users() {
    48.         User.UserBuilder users = User.builder();
    49.         PasswordEncoder encoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
    50.         //{noop}明文密码
    51.         UserDetails w1 = User.withUsername("wyh").password("{noop}123456").roles("vip1").build();
    52.         UserDetails admin =
    53.                 users.username("admin").password(encoder.encode("123456")).roles("vip1", "vip2", "vip3").build();
    54.  
    55.         return new InMemoryUserDetailsManager(w1, admin);
    56.     }
    57.     
    58. }

     3、配置前端权限

    1. <html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
    2.  
    3. <div class="bodyBox">
    4.   
    5.   <p sec:authorize="isAuthenticated()"><a th:href="@{/logout}" class="label label-warning"
    6.                                                  style="border-radius: .25em;">注销a>p>
    7.  
    8.   <p sec:authorize="!isAuthenticated()"><a th:href="@{/toLogin}" class="label label-success"
    9.                                                      style="border-radius: .25em;">登录a>p>
    10.   用户名:<span sec:authentication="principal.username">span>
    11.   角色:<span sec:authentication="principal.authorities">span>
    12.  
    13.   <div class="cardBox" sec:authorize="isAuthenticated() and hasRole('vip1')">
    14.       <div class="bodyBox">
    15.           <p><a th:href="@{/level1/1}" class="label label-info" style="border-radius: .25em;">level1-1a>p>
    16.           <p><a th:href="@{/level1/2}" class="label label-info" style="border-radius: .25em;">level1-2a>p>
    17.           <p><a th:href="@{/level1/3}" class="label label-info" style="border-radius: .25em;">level1-3a>p>
    18.       div>
    19.   div>
    20.  div>

  • 相关阅读:
    MySQL索引分类及相关概念辨析
    人工智能训练师
    顺序表基本操作-查找
    @Binds methods must be abstract 报错指南
    WPF中创建柱状图(数据统计)
    React 自定义hook 之 防抖和节流
    命令执行漏洞【2】vulhub远程命令执行漏洞复现
    ROS1云课→19仿真turtlebot(stage)
    kubernetes Cluster Overiview
    Jvm-Sandbox-Repeater架构
  • 原文地址:https://blog.csdn.net/qq_35106903/article/details/127999258