SpringSecurity入门
Posted 恒哥~Bingo
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SpringSecurity入门相关的知识,希望对你有一定的参考价值。
Spring Security简介
SpringSecurity是一个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。
SpringBoot对SpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecurity的基本使用。
入门案例
引入spring security依赖后就会出现自带的登录效果:
- 相关依赖
这里使用SpringBoot版本是2.4.4,SpringSecurity版本是5.4.5
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.4.4</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
</dependencies>
- 测试页面
在templates目录中添加页面:main.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Main</title>
</head>
<body>
<h1>Welcome to Main</h1>
</body>
</html>
- 控制器
@Controller
public class UserController
@RequestMapping("/main")
public String main()
return "main";
- 启动项目后,控制台会打印密码
访问页面 http://localhost:8080/main 时,会出现自带的登录页面
用户名默认为user,密码就是前面打印出来的
登录成功后,看到main页面
自定义登录
项目中的登录功能肯定还是要自己开发,如何开发自己的登录功能呢?
- 定义登录页面login.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<!--出现了验证错误后,实现下面内容-->
<div th:if="$param.error">
<p style="text-align: center" class="text-danger">登录失败,账号或密码错误!</p>
</div>
<!--这里是提交给SpringSecurity配置的登录URL处理-->
<form th:action="@/login" method="post">
<!--这里注意:名称必须是username和password,SpringSecurity默认指定的-->
<input type="text" name="username" placeholder="Input your username"><br>
<input type="password" name="password" placeholder="Input your password"><br>
<input type="submit" value="Login">
</form>
</body>
</html>
- Controller添加方法
@RequestMapping("/login")
public String login()
return "login";
- Web验证的配置
/**
* 启动Web安全验证
*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
/**
* 返回密码编码器
*/
@Bean
public PasswordEncoder passwordEncoder()
return new BCryptPasswordEncoder();
/**
* 配置用户账号密码以及角色
* @param auth
* @throws Exception
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception
//在内存中创建用户
auth.inMemoryAuthentication()
//账号
.withUser("admin")
//密码,需要加密
.password(new BCryptPasswordEncoder().encode("123"))
//添加角色
.roles("ADMIN","USER")
//创建另一个用户
.and()
.withUser("user")
.password(new BCryptPasswordEncoder().encode("123"))
.roles("USER");
/**
* 配置web页面的权限
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception
//用户请求授权
http.authorizeRequests()
//指定登录相关的请求,permitAll是不需要验证
.antMatchers("/login").permitAll()
//指定/user/** 需要USER角色
.antMatchers("/user/**").hasRole("USER")
.antMatchers("/admin/**").hasRole("ADMIN")
//其它所有URL都需要验证
.anyRequest().authenticated()
.and()
//配置登录URL为login,登录成功后跳转main
.formLogin().loginPage("/login").defaultSuccessUrl("/main")
.and()
//配置注销url,注销后到登录页面
.logout().logoutUrl("/logout").logoutSuccessUrl("/login");
- 测试login,输入上面配置的账号和密码
登录成功
账号密码填写错误
密码处理
SpringSecurity登录验证使用的密码必须要经过加密处理,这里提供了PasswordEncoder接口进行密码加密。
PasswordEncoder接口提供两个主要方法:
- String encode(CharSequence rawPassword)
将原始密码加密,返回密文 - boolean matches(CharSequence rawPassword,String password)
将第一个参数原始密码和第二个参数密文进行匹配,返回是否匹配成功
PasswordEncoder的常用实现类是:BCryptPasswordEncoder
BCryptPasswordEncoder是基于hash算法的单向加密,可以控制密码强度,默认为10。
在上面的配置类中,配置了该加密器
@Bean
public PasswordEncoder passwordEncoder()
return new BCryptPasswordEncoder();
做下测试
@SpringBootTest
class SpringSecurityDbDemoApplicationTests
@Autowired
private PasswordEncoder passwordEncoder;
@Test
void contextLoads()
for (int i = 0; i < 5; i++)
String encode = passwordEncoder.encode("123456");
System.out.println("encode:"+encode);
System.out.println("matches:"+passwordEncoder.matches("123456",encode));
可以看到同样是对"123456"进行加密,每次得到的密文都不相同,但是每次都可以匹配成功。
不同于另一个常用的安全框架:Shiro,SpringSecurity不需要给密码单独配置盐,盐是随机生成的,这样密码的安全性更高。
授权控制
在创建用户时,除了账号密码外,还可以添加对应的角色和权限,如:
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception
//在内存中创建用户
auth.inMemoryAuthentication()
//账号
.withUser("admin")
//密码,需要加密
.password(new BCryptPasswordEncoder().encode("123"))
//添加角色
.roles("ADMIN","USER")
//创建另一个用户
.and()
.withUser("user")
.password(new BCryptPasswordEncoder().encode("123"))
//也可以通过authorities添加权限和角色,如果是角色需要以ROLE_开头
.authorities("LIST","ROLE_USER");
给指定的URL配置角色和权限,这样就可以进行访问控制了
@Override
protected void configure(HttpSecurity http) throws Exception
//用户请求授权
http.authorizeRequests()
//指定toLogin请求,permitAll不需要验证
.antMatchers("/login").permitAll()
//指定/user/** 需要USER角色
.antMatchers("/user/**").hasRole("USER")
.antMatchers("/admin/**").hasRole("ADMIN")
//需要LIST权限
.antMatchers("/admin/**").hasAuthority("LIST")
//其它所有URL都需要验证
.anyRequest().authenticated()
.and()
//配置登录页面为login,登录成功后跳转main
.formLogin().loginPage("/login").defaultSuccessUrl("/main")
.and()
//配置注销url,注销后到登录页面
.logout().logoutUrl("/logout").logoutSuccessUrl("/login");
修改控制器的/main方法
@RequestMapping("/main")
public String main(Model model)
//读取验证对象
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
//读取用户
Object principal = authentication.getPrincipal();
//如果是登录用户,则为org.springframework.security.core.userdetails.User
if(principal instanceof User)
User user = (User) principal;
//读取用户名
model.addAttribute("username",user.getUsername());
//读取所有权限
model.addAttribute("authorities",user.getAuthorities());
else
model.addAttribute("username", principal);
return "main";
修改main.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Main</title>
</head>
<body>
<h1 th:text="|Welcome!$username|">Welcome!</h1>
你的权限有:
<span th:each="auth:$authorities">
[[$auth]]
</span>
<p><a href="/admin/admin">管理员页面</a> </p>
<p><a href="/user/user">用户页面</a> </p>
<p><a href="/login">登录页面</a> </p>
<p>
<form th:action="@/logout" method="post">
<input type="submit" value="注销">
</form>
</p>
</body>
</html>
用admin登录,看到的权限是两个角色:ROLE_ADMIN和ROLE_USER,ROLE_是自动添加到角色上的。
用user登录
再试一下访问不同的URL
添加目录和文件:admin/admin.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Admin</title>
</head>
<body>
<h1 th:text="|Hello!$username,欢迎进入管理员页面|">Admin</h1>
</body>
</html>
user/user.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>User</title>
</head>
<body>
<h1 th:text="|Hello!$username,欢迎进入用户页面|">User</h1>
</body>
</html>
错误页面:error/403.html,这里/error是Security默认的错误地址,添加/error/错误代码.html 后,出现对应错误时会自动跳转到对应页面,403是权限不足。
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>403</title>
</head>
<body>
Sorry!!你的权限不足
</body>
</html>
控制器添加方法:
@RequestMapping("/user/user")
public String user(Model model)
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
Object principal = authentication.getPrincipal();
if(principal instanceof User)
User user = (User) principal;
model.addAttribute("username",user.getUsername());
model.addAttribute("authorities",user.getAuthorities());
else
model.addAttribute("username", principal);
return "user/user";
@RequestMapping("/admin/admin")
public String admin( Model model)
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
Object principal = authentication.getPrincipal();
if(principal instanceof User)
User user = (User) principal;
model.addAttribute("username",user.getUsername());
model.addAttribute("authorities",user.getAuthorities());
else
model.addAttribute("username", principal);
return "admin/admin";
用admin登录后,访问管理员的超链接,出现了权限不足
访问用户超链接正常
admin登录后只有ADMIN和USER角色,没有LIST权限,所以不能访问/admin/admin,可以修改创建admin用户时的授权配置,就可以访问了
//添加角色
// .roles("ADMIN","USER")
//添加ADMIN、USER角色和LIST权限,如果是角色需要以ROLE_开头
.authorities("LIST","ROLE_ADMIN","ROLE_USER")
总结
以上我们完成了SpringSecurity的基本登录验证功能,以及密码和授权的配置,真正开发时肯定是需要进行数据库验证的,下一章再说。
以上是关于SpringSecurity入门的主要内容,如果未能解决你的问题,请参考以下文章