spring mvc集成spring security 案例
Posted 健康平安的活着
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了spring mvc集成spring security 案例相关的知识,希望对你有一定的参考价值。
一 spring security
spring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。
二 案例
2.1 springmvc基础配置
Spring Security实现了认证和授权,Spring Security提供了基于账号和密码的认证方式,
通过安全配置即可实现请求拦截,授权功能
2.2.1 工程结构
2.2.2 添加pom依赖
在
security-springmvc
的基础上增加
spring-security
的依赖:
<!-- spring-security-->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.1.4.RELEASE</version>
</dependency>
<!-- security-config -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.1.4.RELEASE</version>
</dependency>2.2.3 spring容器配置applicationConfig文件
/**
* @author Administrator
* @version 1.0
**/
@Configuration //相当于applicationContext.xml
@ComponentScan(basePackages = "com.ljf.spring.mvc.security"
//排除@controller注解标注的类,排除我们不希望spring容器加载的类。
,excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class ApplicationConfig {
//在此配置除了Controller的其它bean,比如:数据库链接池、事务管理器、业务bean等。
}
2.2.4 spring容器配置Servlet Context配置文件
package com.ljf.spring.mvc.security.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.FilterType;
import org.springframework.stereotype.Controller;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.view.InternalResourceViewResolver;
/**
* @author Administrator
* @version 1.0
**/
@Configuration //就相当于springmvc.xml文件
@EnableWebMvc
@ComponentScan(basePackages = "com.ljf.spring.mvc.security"
,includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {
//视频解析器
@Bean
public InternalResourceViewResolver viewResolver(){
InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
viewResolver.setPrefix("/WEB-INF/view/");
viewResolver.setSuffix(".jsp");
return viewResolver;
}
//让页面初始访问,重定向到login页面,其中login页面是springsecuriy内部嵌套好的
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/").setViewName("redirect:/login");
}
}
2.2.5 初始化spring容器
在
init
包下定义
S
pring容器初始化类SpringApplicationInitializer
,此类
实现WebApplicationInitializer接口
, Spring容器
启动时加载WebApplicationInitializer接口的所有实现类。
package com.ljf.spring.mvc.security.init;
import com.ljf.spring.mvc.security.config.ApplicationConfig;
import com.ljf.spring.mvc.security.config.WebConfig;
import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;
/** 在init包下定义Spring容器初始化类SpringApplicationInitializer,此类实现WebApplicationInitializer接口,
* Spring容器启动时加载WebApplicationInitializer接口的所有实现类。
* @author Administrator
* @version 1.0
**/
public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
//spring容器,相当于加载 applicationContext.xml
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[]{ApplicationConfig.class};
}
//servletContext,相当于加载springmvc.xml
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class[]{WebConfig.class};
}
//url-mapping
@Override
protected String[] getServletMappings() {
return new String[]{"/"};
}
}
2.3 spring security认证配置
2.3.1 ****安全配置WebSecurityConfifig这个配置文件***
spring security提供了用户名密码登录、退出、会话管理等认证功能,只需要配置即可使用。
2.2.1.1 配置WebSecurityConfifig
1) 在confifig包下定义WebSecurityConfifig,安全配置的内容包括:用户信息、密码编码器、安全拦截机制。
我们暂时使用InMemoryUserDetailsManager实现类,并在其中分别创建了zhangsan、lisi两个用
户,并设置密码和权限。
而在confifigure()中,我们通过HttpSecurity设置了安全拦截规则,其中包含了以下内容:
(1)url匹配/r/**的资源,经过认证后才能访问。
(2)其他url完全开放。
(3)支持form表单认证,认证成功后转向/login-success。
真实的情况下:在userDetailsService()方法中,我们返回了一个UserDetailsService给spring容器,Spring Security会使用它来获取用户信息。
截图如下:
代码如下:
package com.ljf.spring.mvc.security.config;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
/**
* @author Administrator
* @version 1.0
**/
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
//1.定义用户信息服务(查询用户信息)
@Bean
public UserDetailsService userDetailsService(){
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());
manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());
return manager;
}
//2.密码编码器
@Bean
public PasswordEncoder passwordEncoder(){
return NoOpPasswordEncoder.getInstance();
}
//3.安全拦截机制(最重要)
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/user/r1").hasAuthority("p1") //p1角色具有访问/user/r1读取权限
.antMatchers("/user/r2").hasAuthority("p2") //p2角色具有访问/user/r2读取权限
.antMatchers("/user/**").authenticated()//所有/user/**的请求必须认证通过
.anyRequest().permitAll()//除了/user/**,其它的请求可以不经过认证,就可以访问
.and()
.formLogin()//允许表单登录
.successForwardUrl("/login-success");//自定义登录成功的页面地址,登录成功跳转的地址
}
}
2.2.1.2 加载WebSecurityConfifig
修改SpringApplicationInitializer的getRootConfifigClasses()方法,添WebSecurityConfifig.class:
2.3.2 ****Spring Security初始化***
Spring Security
初始化,这里有两种情况
若当前环境没有使用
Spring
或
Spring MVC
,则需要将
WebSecurityConfifig(Spring Security
配置类
)
传入超 类,以确保获取配置,并创建spring context
。
相反
,若当前环境已经使用spring,我们应该在现有的springContext中注册Spring Security(上一步已经做将 WebSecurityConfifig加载至rootcontext),此方法可以什么都不做。
在
init
包下定义
SpringSecurityApplicationInitializer
:
/**
* @author Administrator
* @version 1.0
**/
public class SpringSecurityApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
public SpringSecurityApplicationInitializer() {
//super(WebSecurityConfig.class);
}
}2.3.3 ****默认跟的请求路径***
在WebConfifig.java中添加默认请求根路径,跳转到/login,此url为spring security提供
//页面初始访问,重定向到login页面,其中login页面是springsecuriy内部嵌套好的
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/").setViewName("redirect:/login");
}
如果不设置,将会报404
2.3.4 ****编写controller***
在安全配置中,认证成功将跳转到
/login-success
,代码如下:
spring security
支持
form
表单认证,认证成功后转向
/login-success
。
在
LoginController
中定义
/login-success:
2.3.5 ****登录页面***
spring security默认提供的登录页面。 springSecurity默认提供认证页面,不需要额外开发。
2.3.6 ****启动服务测试页面***
1.生成war包
2.部署tomcat发布
3.页面访问
页面会根据WebConfifig中addViewControllers配置规则,跳转至/login,/login是spring Security提供的登录页面。
输入正确用户名和密码
输入错误:
退出:
2.4 spring security授权配置
实现授权需要
对用户的访问进行拦截校验,校验用户的权限是否可以操作指定的资源
,
Spring Security默认提供授 权实现方法。
2.4.1 添加资源
在
LoginController
添加
/user/r1
或
/user/r2
2.4.2 在安全配置类WebSecurityConfifig.java中配置授权规则
antMatchers("/user/r1").hasAuthority("p1")
表示:访问
/user/r1
资源的
url
需要拥有
p1
权限。
.antMatchers("/user/r2").hasAuthority("p2")
表示:访问
/user/r2
资源的
url
需要拥有
p2
权限。
2.4.3 进行测试
1.用户未登录情况
在用户zhangsan未登录情况下,直接访问资源/user/r1
在用户zhangsan未登录情况下,直接访问资源/user/r2
2.用户登录情况
登录页面:
登录成功界面:
访问资源r1:
访问资源2:
总结:
1、未登录成功时,访问/user/r1和/user/r2,均跳转到登录页面,进行认证登录2、登录成功时,访问/user/r1和/user/r2,有权限时则正常访问,否则返回403(拒绝访问)
以上是关于spring mvc集成spring security 案例的主要内容,如果未能解决你的问题,请参考以下文章
spring mvc集成spring security 案例
使用 Spring-Test-MVC 单元测试 Spring-Security - 集成 FilterChain / ServletFilter