SpringBoot整合SpringSecurity

Posted AlaGeek

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SpringBoot整合SpringSecurity相关的知识,希望对你有一定的参考价值。

1、前言

之前写过一篇SSM整合SpringSecurity,没看过的可以看看,可以发现在SSM框架里整合Security框架是很繁琐的,所以很多人选择用Shiro搭配SSM使用。而在SpringBoot中,这个情况就不一样了,如果说是简单使用,只需要在SpringBoot项目中加入Security的依赖就可以了,不需要写什么其他的东西。

2、简单使用

首先建一个SpringBoot项目,在pom文件中加入以下依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

为了看Security是否已被整合进SpringBoot,可以编写一个HelloController,如下:

@Controller
public class HelloController 
    @ResponseBody
    @GetMapping("/hello")
    public String hello()
        return "hello";
    

再接下来就可以启动项目了,在浏览器中访问localhost:8080/hello,此时会看到如下页面:

这里用户名为user,密码会在启动项目时打印到控制台,登录进去即可看到hello字符串。

3、进阶使用

我们使用SpringSecurity不可能每次都去重新生成一个密码,所以有以下几种策略来对帐户密码进行配置。

3.1 配置文件

在application.properties文件中,加入以下代码即可自行配置SpringSecurity的帐户密码:

spring.security.user.name=sang
spring.security.user.password=123
spring.security.user.roles=admin

这下启动程序后,就不会再生成一个密码了,登录账户就变成了sang,密码就变成了123,同时这个账户的角色是admin。

3.2 配置类

要是还是嫌配置文件配置的东西不够多,还可以使用配置类进行配置,首先新建一个类,比如叫MyWebSecurityConfig,这个类需要继承WebSecurityConfigurerAdapter,其代码如下:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter 

    @Bean
    PasswordEncoder passwordEncoder()
        // 加密算法
        return new BCryptPasswordEncoder(10);
    

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception 
        // 在内存中配置账号密码
        auth.inMemoryAuthentication()
                // 账号
                .withUser("admin")
                // 密码【此处需要将密码加密】
                .password(passwordEncoder().encode("123"))
                // 账号的角色
                .roles("ADMIN")
                .and()
                // 账号
                .withUser("user")
                // 密码【此处需要将密码加密】
                .password(passwordEncoder().encode("123"))
                // 账号的角色
                .roles("USER")
                ;
    

    @Override
    protected void configure(HttpSecurity http) throws Exception 
        http.authorizeRequests()
                // 配置admin目录下的所有页面都需要ADMIN角色才能访问
                .antMatchers("/admin/**").hasRole("ADMIN")
                // 其他请求都需要验证权限
                .anyRequest().authenticated()
                .and()
                // 开启表单登录
                .formLogin()
                // 登录处理URL
                .loginProcessingUrl("/login")
                // 允许登录页和登录处理链接不经过权限验证
                .permitAll()
                .and()
                // 关闭csrf
                .csrf().disable()
                ;
    


代码的解释都在注释里,接下来在HelloController中添加一个函数:

@ResponseBody
@GetMapping("/admin/hello")
public String adminHello()
    return "hello admin";

启动程序,访问localhost:8080/hello,在登录页面尝试登录admin和user两个账号,都可以访问hello,而访问localhost:8080/admin/hello,则会发现只有admin账户才可访问,user账户没有权限。

3.3 数据库

像这种在内存中配置帐户密码的操作,在实际中并不实用,因为不可能每加个账户,就该代码并重启服务,所以要把数据库也整合进去,有关于数据库的整合,我写过一篇SpringBoot整合Mybatis的博客,不会的可以看一下。
首先我们需要从数据库中将数据拿出来,那么需要定义个实体类对象,用于接收拿到的数据,实体类有两个,一个是User,对应账户,一个是Role,对应角色:
User:

public class User implements UserDetails 

    private Integer id;
    private String username;
    private String password;
    private Boolean enabled;
    private Boolean locked;
    private List<Role> roles;

    @Override
    public String toString() 
        return "User" +
                "id=" + id +
                ", username='" + username + '\\'' +
                ", password='" + password + '\\'' +
                ", enabled=" + enabled +
                ", locked=" + locked +
                ", roles=" + roles +
                '';
    

    public User() 
    

    public User(Integer id, String username, String password, Boolean enabled, Boolean locked, List<Role> roles) 
        this.id = id;
        this.username = username;
        this.password = password;
        this.enabled = enabled;
        this.locked = locked;
        this.roles = roles;
    

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() 
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for(Role role:roles)
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        
        return authorities;
    

    @Override
    public String getPassword() 
        return password;
    

    @Override
    public String getUsername() 
        return username;
    

    @Override
    public boolean isAccountNonExpired() 
        return true;
    

    @Override
    public boolean isAccountNonLocked() 
        return !locked;
    

    @Override
    public boolean isCredentialsNonExpired() 
        return true;
    

    @Override
    public boolean isEnabled() 
        return enabled;
    

    public Integer getId() 
        return id;
    

    public void setId(Integer id) 
        this.id = id;
    

    public void setUsername(String username) 
        this.username = username;
    

    public void setPassword(String password) 
        this.password = password;
    

    public void setEnabled(Boolean enabled) 
        this.enabled = enabled;
    

    public void setLocked(Boolean locked) 
        this.locked = locked;
    

    public List<Role> getRoles() 
        return roles;
    

    public void setRoles(List<Role> roles) 
        this.roles = roles;
    

注意User类实现了UserDetails接口,这是为了跟Security配合使用,以及User类中有个Role的列表,是为了在Security获取用户相关信息时,将用户的角色一起带过去。
Role:

public class Role 
    private Integer id;
    private String name;
    private String nameZh;

    @Override
    public String toString() 
        return "Role" +
                "id=" + id +
                ", name='" + name + '\\'' +
                ", nameZh='" + nameZh + '\\'' +
                '';
    

    public Role() 
    

    public Role(Integer id, String name, String nameZh) 
        this.id = id;
        this.name = name;
        this.nameZh = nameZh;
    

    public Integer getId() 
        return id;
    

    public void setId(Integer id) 
        this.id = id;
    

    public String getName() 
        return name;
    

    public void setName(String name) 
        this.name = name;
    

    public String getNameZh() 
        return nameZh;
    

    public void setNameZh(String nameZh) 
        this.nameZh = nameZh;
    

有了实体类,接下来就是Mapper,也就是Dao层,首先是UserMapper接口:

@Mapper
public interface UserMapper 
    User loadUserByUsername(String username);
    List<Role> getUserRolesByUid(Integer id);

其对应的UserMapper.xml如下:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTC Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.alageek.study.mapper.UserMapper">
    <select id="loadUserByUsername" parameterType="string" resultType="com.alageek.study.entity.User">
        select * from user where username = #username
    </select>
    <select id="getUserRolesByUid" parameterType="integer" resultType="com.alageek.study.entity.Role">
        select role.* from role, user_role where user_role.uid = #id and user_role.rid = role.id
    </select>
</mapper>

然后在service层定义UserService:

@Service
public class UserService implements UserDetailsService 

    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException 
        User user = userMapper.loadUserByUsername(s);
        if(user == null)
            throw new UsernameNotFoundException("账户不存在");
        
        user.setRoles(userMapper.getUserRolesByUid(user.getId()));
        return user;
    

与User一样,为了配合Security使用,UserService需要实现接口UserDetailsService,其代码先根据用户名s获取到用户信息,再通过用户id获取到相关角色,再将组合后的用户信息返回。
有了Service后,还需要在Security的配置类中进行相关配置,代码如下:

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception 
        auth.userDetailsService(userService);
    

在配置类中加入上述代码即可,就能从数据库中获取账户数据进行比对,从而登录,而注册只需往数据库中插入数据即可。
写完上述数据库相关代码后,测试功能跟上面一样,写一个Controller启动项目登录下试试即可。

4、相关资源

5、博主的话

源码没有跟博客说的一模一样,不过我觉得能看到这里的小伙伴,借鉴应该是没有问题的,加油,一起学习吧,有什么问题请在评论说出来。

以上是关于SpringBoot整合SpringSecurity的主要内容,如果未能解决你的问题,请参考以下文章

springboot整合系列

SpringBoot系列八:SpringBoot整合消息服务(SpringBoot 整合 ActiveMQSpringBoot 整合 RabbitMQSpringBoot 整合 Kafka)

[SpringBoot系列]SpringBoot如何整合SSMP

springboot怎么整合activiti

SpringBoot完成SSM整合之SpringBoot整合junit

springboot整合jedis