SpringSecurity入门

Posted 恒哥~Bingo

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SpringSecurity入门相关的知识,希望对你有一定的参考价值。

超详细的Java知识点汇总


Spring Security简介

SpringSecurity是一个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。
SpringBoot对SpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecurity的基本使用。

入门案例

引入spring security依赖后就会出现自带的登录效果:

  1. 相关依赖
    这里使用SpringBoot版本是2.4.4,SpringSecurity版本是5.4.5
 <parent>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-parent</artifactId>
     <version>2.4.4</version>
     <relativePath/> <!-- lookup parent from repository -->
 </parent>
 <dependencies>
	<dependency>
	    <groupId>org.springframework.boot</groupId>
	    <artifactId>spring-boot-starter-security</artifactId>
	</dependency>
	<dependency>
	    <groupId>org.springframework.boot</groupId>
	    <artifactId>spring-boot-starter-thymeleaf</artifactId>
	</dependency>
	<dependency>
	    <groupId>org.springframework.boot</groupId>
	    <artifactId>spring-boot-starter-web</artifactId>
	</dependency>
</dependencies>
  1. 测试页面
    在templates目录中添加页面:main.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Main</title>
</head>
<body>
    <h1>Welcome to Main</h1>
</body>
</html>
  1. 控制器
@Controller
public class UserController 

    @RequestMapping("/main")
    public String main()
        return "main";
    
 
  1. 启动项目后,控制台会打印密码

    访问页面 http://localhost:8080/main 时,会出现自带的登录页面
    用户名默认为user,密码就是前面打印出来的

    登录成功后,看到main页面

自定义登录

项目中的登录功能肯定还是要自己开发,如何开发自己的登录功能呢?

  1. 定义登录页面login.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <!--出现了验证错误后,实现下面内容-->
    <div th:if="$param.error">
        <p style="text-align: center" class="text-danger">登录失败,账号或密码错误!</p>
    </div>
    <!--这里是提交给SpringSecurity配置的登录URL处理-->
    <form th:action="@/login" method="post">
    	<!--这里注意:名称必须是username和password,SpringSecurity默认指定的-->
        <input type="text" name="username" placeholder="Input your username"><br>
        <input type="password" name="password" placeholder="Input your password"><br>
        <input type="submit" value="Login">
    </form>
</body>
</html>
  1. Controller添加方法
@RequestMapping("/login")
public String login()
    return "login";

  1. Web验证的配置
/**
 * 启动Web安全验证
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter 

    /**
     * 返回密码编码器
     */
    @Bean
    public PasswordEncoder passwordEncoder()
        return new BCryptPasswordEncoder();
    

    /**
     * 配置用户账号密码以及角色
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception 
        //在内存中创建用户
        auth.inMemoryAuthentication()
                //账号
                .withUser("admin")
                //密码,需要加密
                .password(new BCryptPasswordEncoder().encode("123"))
                //添加角色
                .roles("ADMIN","USER")
                //创建另一个用户
                .and()
                .withUser("user")
                .password(new BCryptPasswordEncoder().encode("123"))
                .roles("USER");
    

    /**
     * 配置web页面的权限
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception 
        //用户请求授权
        http.authorizeRequests()
                //指定登录相关的请求,permitAll是不需要验证
                .antMatchers("/login").permitAll()
                //指定/user/** 需要USER角色
                .antMatchers("/user/**").hasRole("USER")
                .antMatchers("/admin/**").hasRole("ADMIN")
                //其它所有URL都需要验证
                .anyRequest().authenticated()
                .and()
                //配置登录URL为login,登录成功后跳转main
                .formLogin().loginPage("/login").defaultSuccessUrl("/main")
                .and()
                //配置注销url,注销后到登录页面
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login");
    

  1. 测试login,输入上面配置的账号和密码

登录成功

账号密码填写错误

密码处理

SpringSecurity登录验证使用的密码必须要经过加密处理,这里提供了PasswordEncoder接口进行密码加密。
PasswordEncoder接口提供两个主要方法:

  • String encode(CharSequence rawPassword)
    将原始密码加密,返回密文
  • boolean matches(CharSequence rawPassword,String password)
    将第一个参数原始密码和第二个参数密文进行匹配,返回是否匹配成功

PasswordEncoder的常用实现类是:BCryptPasswordEncoder
BCryptPasswordEncoder是基于hash算法的单向加密,可以控制密码强度,默认为10。
在上面的配置类中,配置了该加密器

@Bean
 public PasswordEncoder passwordEncoder()
     return new BCryptPasswordEncoder();
 

做下测试

@SpringBootTest
class SpringSecurityDbDemoApplicationTests 

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Test
    void contextLoads() 
        for (int i = 0; i < 5; i++) 
            String encode = passwordEncoder.encode("123456");
            System.out.println("encode:"+encode);
            System.out.println("matches:"+passwordEncoder.matches("123456",encode));
        



可以看到同样是对"123456"进行加密,每次得到的密文都不相同,但是每次都可以匹配成功。
不同于另一个常用的安全框架:Shiro,SpringSecurity不需要给密码单独配置盐,盐是随机生成的,这样密码的安全性更高。

授权控制

在创建用户时,除了账号密码外,还可以添加对应的角色和权限,如:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception 
         //在内存中创建用户
        auth.inMemoryAuthentication()
                //账号
                .withUser("admin")
                //密码,需要加密
                .password(new BCryptPasswordEncoder().encode("123"))
                //添加角色
                .roles("ADMIN","USER")
                //创建另一个用户
                .and()
                .withUser("user")
                .password(new BCryptPasswordEncoder().encode("123"))
                //也可以通过authorities添加权限和角色,如果是角色需要以ROLE_开头
                .authorities("LIST","ROLE_USER");

给指定的URL配置角色和权限,这样就可以进行访问控制了

@Override
protected void configure(HttpSecurity http) throws Exception 
    //用户请求授权
    http.authorizeRequests()
            //指定toLogin请求,permitAll不需要验证
            .antMatchers("/login").permitAll()
            //指定/user/** 需要USER角色
            .antMatchers("/user/**").hasRole("USER")
            .antMatchers("/admin/**").hasRole("ADMIN")
            //需要LIST权限
            .antMatchers("/admin/**").hasAuthority("LIST")
            //其它所有URL都需要验证
            .anyRequest().authenticated()
            .and()
            //配置登录页面为login,登录成功后跳转main
            .formLogin().loginPage("/login").defaultSuccessUrl("/main")
            .and()
            //配置注销url,注销后到登录页面
            .logout().logoutUrl("/logout").logoutSuccessUrl("/login");

修改控制器的/main方法

@RequestMapping("/main")
public String main(Model model)
    //读取验证对象
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    //读取用户
    Object principal = authentication.getPrincipal();
    //如果是登录用户,则为org.springframework.security.core.userdetails.User
    if(principal instanceof User)
        User user = (User) principal;
        //读取用户名
        model.addAttribute("username",user.getUsername());
        //读取所有权限
        model.addAttribute("authorities",user.getAuthorities());
    else 
        model.addAttribute("username", principal);
    
    return "main";

修改main.html

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Main</title>
</head>
<body>
    <h1 th:text="|Welcome!$username|">Welcome!</h1>
    你的权限有:
    <span th:each="auth:$authorities">
        [[$auth]]
    </span>
    <p><a href="/admin/admin">管理员页面</a> </p>
    <p><a href="/user/user">用户页面</a> </p>
    <p><a href="/login">登录页面</a> </p>

    <p>
        <form th:action="@/logout" method="post">
        <input type="submit" value="注销">
        </form>
    </p>
</body>
</html>

用admin登录,看到的权限是两个角色:ROLE_ADMIN和ROLE_USER,ROLE_是自动添加到角色上的。

用user登录

再试一下访问不同的URL
添加目录和文件:admin/admin.html

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Admin</title>
</head>
<body>
    <h1 th:text="|Hello!$username,欢迎进入管理员页面|">Admin</h1>
</body>
</html>

user/user.html

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>User</title>
</head>
<body>
    <h1 th:text="|Hello!$username,欢迎进入用户页面|">User</h1>
</body>
</html>

错误页面:error/403.html,这里/error是Security默认的错误地址,添加/error/错误代码.html 后,出现对应错误时会自动跳转到对应页面,403是权限不足。

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>403</title>
</head>
<body>
    Sorry!!你的权限不足
</body>
</html>

控制器添加方法:

@RequestMapping("/user/user")
 public String user(Model model)
     Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
     Object principal = authentication.getPrincipal();
     if(principal instanceof User)
         User user = (User) principal;
         model.addAttribute("username",user.getUsername());
         model.addAttribute("authorities",user.getAuthorities());
     else 
         model.addAttribute("username", principal);
     
     return "user/user";
 

 @RequestMapping("/admin/admin")
 public String admin( Model model)
     Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
     Object principal = authentication.getPrincipal();
     if(principal instanceof User)
         User user = (User) principal;
         model.addAttribute("username",user.getUsername());
         model.addAttribute("authorities",user.getAuthorities());
     else 
         model.addAttribute("username", principal);
     
     return "admin/admin";
 

用admin登录后,访问管理员的超链接,出现了权限不足

访问用户超链接正常

admin登录后只有ADMIN和USER角色,没有LIST权限,所以不能访问/admin/admin,可以修改创建admin用户时的授权配置,就可以访问了

//添加角色
// .roles("ADMIN","USER")
//添加ADMIN、USER角色和LIST权限,如果是角色需要以ROLE_开头
.authorities("LIST","ROLE_ADMIN","ROLE_USER")

总结

以上我们完成了SpringSecurity的基本登录验证功能,以及密码和授权的配置,真正开发时肯定是需要进行数据库验证的,下一章再说。

以上是关于SpringSecurity入门的主要内容,如果未能解决你的问题,请参考以下文章

《SpringSecurity框架专题》-01基础入门

SpringSecurity简介及其入门案例

处理文本框中的自动完成。不同于按回车

SpringSecurity框架教程-简介与SpringSecurity框架教程-入门案例准备工作

一SpringSecurity框架介绍及入门案例

SpringSecurity 入门