Spring Security介绍

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

由于它是Spring生态系统中的一员，因此它伴随着整个Spring生态系统不断修正、升级，

在spring boot项目中加入spring security更是十分简单，

使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。

---

---

创建工程

创建maven工程
创建maven工程 security-spring-security，工程结构如下：

---

---

Spring容器配置

package com.dym.security.springmvc.config;import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.FilterType;
import org.springframework.stereotype.Controller;@Configuration //相当于applicationContext.xml
@ComponentScan(basePackages = "com.dym.security.springmvc",excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class ApplicationConfig {//在此配置除了Controller的其它bean，比如：数据库链接池、事务管理器、业务bean等。}

---

---

Servlet Context配置

package com.dym.security.springmvc.config;import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.FilterType;
import org.springframework.stereotype.Controller;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.view.InternalResourceViewResolver;@Configuration//就相当于springmvc.xml文件
@EnableWebMvc
@ComponentScan(basePackages = "com.dym.security.springmvc",includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {//视图解析器@Beanpublic InternalResourceViewResolver viewResolver(){InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();viewResolver.setPrefix("/WEB-INF/view/");viewResolver.setSuffix(".jsp");return viewResolver;}@Overridepublic void addViewControllers(ViewControllerRegistry registry) {registry.addViewController("/").setViewName("redirect:/login");}}

---

---

加载 Spring容器

在init包下定义Spring容器初始化类SpringApplicationInitializer，

此类实现WebApplicationInitializer接口，
Spring容器启动时加载WebApplicationInitializer接口的所有实现类。

package com.dym.security.springmvc.init;import com.dym.security.springmvc.config.ApplicationConfig;
import com.dym.security.springmvc.config.WebConfig;
import com.dym.security.springmvc.config.WebSecurityConfig;
import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {//spring容器，相当于加载 applicationContext.xml@Overrideprotected Class<?>[] getRootConfigClasses() {return new Class[]{ApplicationConfig.class, WebSecurityConfig.class};}//servletContext，相当于加载springmvc.xml@Overrideprotected Class<?>[] getServletConfigClasses() {return new Class[]{WebConfig.class};}//url-mapping@Overrideprotected String[] getServletMappings() {return new String[]{"/"};}
}

---

---

认证 —— 认证页面
springSecurity默认提供认证页面，不需要额外开发

---

---

安全配置

spring security提供了用户名密码登录、退出、会话管理等认证功能，只需要配置即可使用。
1) 在config包下定义WebSecurityConfig，安全配置的内容包括：用户信息、密码编码器、安全拦截机制

package com.dym.security.springmvc.config;import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {//定义用户信息服务（查询用户信息）@Beanpublic UserDetailsService userDetailsService(){InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());return manager;}//密码编码器@Beanpublic PasswordEncoder passwordEncoder(){return NoOpPasswordEncoder.getInstance();}//安全拦截机制（最重要）@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/r/r1").hasAuthority("p1").antMatchers("/r/r2").hasAuthority("p2").antMatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过.anyRequest().permitAll()//除了/r/**，其它的请求可以访问.and().formLogin()//允许表单登录.successForwardUrl("/login-success");//自定义登录成功的页面地址}
}

在userDetailsService()方法中，

返回了一个UserDetailsService类型的对象给spring容器，

Spring Security会使用它来获取用户信息。

暂时使用 InMemoryUserDetailsManager实现类，

并在其中分别创建了zhangsan、lisi两个用户，并设置密码和权限。

而在configure()中，我们通过HttpSecurity设置了安全拦截规则，其中包含了以下内容：
（1）url匹配/r/**的资源，经过认证后才能访问。
（2）其他url完全开放。
（3）支持form表单认证，认证成功后转向/login-success。

---

2) 加载 WebSecurityConfig
修改SpringApplicationInitializer的getRootConfigClasses()方法，添加WebSecurityConfig.class：

//spring容器，相当于加载 applicationContext.xml@Overrideprotected Class<?>[] getRootConfigClasses() {return new Class[]{ApplicationConfig.class, WebSecurityConfig.class};}

---

---

Spring Security初始化

Spring Security初始化，这里有两种情况
1. 若当前环境没有使用Spring或Spring MVC，

则需要将 WebSecurityConfig(Spring Security配置类) 传入超类，以确保获取配置，并创建spring context。

在init包下定义SpringSecurityApplicationInitializer：

package com.dym.security.springmvc.init;import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;public class SpringSecurityApplicationInitializerextends AbstractSecurityWebApplicationInitializer {public SpringSecurityApplicationInitializer() {super(WebSecurityConfig.class);}
}

2. 若当前环境已经使用spring，

我们应该在现有的springContext中注册Spring Security(上一步已经做将WebSecurityConfig加载至rootcontext)，此方法可以什么都不做。

package com.dym.security.springmvc.init;import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;public class SpringSecurityApplicationInitializerextends AbstractSecurityWebApplicationInitializer {public SpringSecurityApplicationInitializer() {//super(WebSecurityConfig.class);}
}

---

---

默认根路径请求

在WebConfig.java中添加默认请求根路径跳转到/login，此url为spring security提供：

@Overridepublic void addViewControllers(ViewControllerRegistry registry) {registry.addViewController("/").setViewName("redirect:/login");}

spring security默认提供的登录页面。

---

---

认证成功页面

在安全配置中，认证成功将跳转到/login-success，代码如下：

//安全拦截机制（最重要）@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/r/r1").hasAuthority("p1").antMatchers("/r/r2").hasAuthority("p2").antMatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过.anyRequest().permitAll()//除了/r/**，其它的请求可以访问.and().formLogin()//允许表单登录.successForwardUrl("/login-success");//自定义登录成功的页面地址}

spring security支持form表单认证，认证成功后转向/login-success。
在LoginController中定义/login-success:

    @RequestMapping(value = "/login-success",produces = {"text/plain;charset=UTF-8"})public String loginSuccess(){return " 登录成功";}

---

---

测试
（1）启动项目，访问 http://localhost:8080/security-spring-security/ 路径地址

页面会根据WebConfig中addViewControllers配置规则，跳转至/login，/login是pring Security提供的登录页面。
（2）登录
1、输入错误的用户名、密码

2、输入正确的用户名、密码，登录成功

（3）退出
1、请求/logout退出

2、退出 后再访问资源自动跳转到登录页面

---

---

授权

实现授权需要对用户的访问进行拦截校验，校验用户的权限是否可以操作指定的资源，

Spring Security默认提供授权实现方法。
在LoginController添加/r/r1或/r/r2

    /*** 测试资源1* @return*/@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF-8"})public String r1(){return " 访问资源1";}/*** 测试资源2* @return*/@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF-8"})public String r2(){return " 访问资源2";}

在安全配置类WebSecurityConfig.java中配置授权规则：

---

测试：

1、登录成功
2、访问/r/r1和/r/r2，有权限时则正常访问，否则返回403（拒绝访问）

---

---

ApplicationConfig.java

package com.dym.security.springmvc.config;import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.FilterType;
import org.springframework.stereotype.Controller;@Configuration //相当于applicationContext.xml
@ComponentScan(basePackages = "com.dym.security.springmvc",excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class ApplicationConfig {//在此配置除了Controller的其它bean，比如：数据库链接池、事务管理器、业务bean等。}

WebConfig.java

package com.dym.security.springmvc.config;import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.FilterType;
import org.springframework.stereotype.Controller;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.view.InternalResourceViewResolver;@Configuration//就相当于springmvc.xml文件
@EnableWebMvc
@ComponentScan(basePackages = "com.dym.security.springmvc",includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {//视图解析器@Beanpublic InternalResourceViewResolver viewResolver(){InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();viewResolver.setPrefix("/WEB-INF/view/");viewResolver.setSuffix(".jsp");return viewResolver;}@Overridepublic void addViewControllers(ViewControllerRegistry registry) {registry.addViewController("/").setViewName("redirect:/login");}}

WebSecurityConfig.java

package com.dym.security.springmvc.config;import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {//定义用户信息服务（查询用户信息）@Beanpublic UserDetailsService userDetailsService(){InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());return manager;}//密码编码器@Beanpublic PasswordEncoder passwordEncoder(){return NoOpPasswordEncoder.getInstance();}//安全拦截机制（最重要）@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/r/r1").hasAuthority("p1").antMatchers("/r/r2").hasAuthority("p2").antMatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过.anyRequest().permitAll()//除了/r/**，其它的请求可以访问.and().formLogin()//允许表单登录.successForwardUrl("/login-success");//自定义登录成功的页面地址}
}

SpringApplicationInitializer.java

package com.dym.security.springmvc.init;import com.dym.security.springmvc.config.ApplicationConfig;
import com.dym.security.springmvc.config.WebConfig;
import com.dym.security.springmvc.config.WebSecurityConfig;
import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {//spring容器，相当于加载 applicationContext.xml@Overrideprotected Class<?>[] getRootConfigClasses() {return new Class[]{ApplicationConfig.class, WebSecurityConfig.class};}//servletContext，相当于加载springmvc.xml@Overrideprotected Class<?>[] getServletConfigClasses() {return new Class[]{WebConfig.class};}//url-mapping@Overrideprotected String[] getServletMappings() {return new String[]{"/"};}
}

SpringSecurityApplicationInitializer.java

package com.dym.security.springmvc.init;import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;public class SpringSecurityApplicationInitializerextends AbstractSecurityWebApplicationInitializer {public SpringSecurityApplicationInitializer() {//super(WebSecurityConfig.class);}
}

LoginController.java

package com.dym.security.springmvc.controller;import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;@RestController
public class LoginController {@RequestMapping(value = "/login-success",produces = {"text/plain;charset=UTF-8"})public String loginSuccess(){return " 登录成功";}/*** 测试资源1* @return*/@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF-8"})public String r1(){return " 访问资源1";}/*** 测试资源2* @return*/@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF-8"})public String r2(){return " 访问资源2";}
}

Spring Security快速上手相关推荐

1. （二）Spring Security 快速上手

   Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.由于它是Spring生态系统中的一员,因此它伴随 ...

2. 响应式Spring的道法术器（Spring WebFlux 快速上手 + 全面介绍）

   1. Spring WebFlux 2小时快速入门 Spring 5 之使用Spring WebFlux开发响应式应用. lambda与函数式(15min) Reactor 3 响应式编程库(60mi ...

3. spring cloud 快速上手系列 -＞ 02-配置中心 Config -＞ 022-Config客户端

   spring cloud 快速上手系列 系列说明:快速上手,一切从简,搭建一个简单的微服务框架,让新手可以在这个基础框架上做各种学习.研究. 02-配置中心 Config 022-Config客户端 ...

4. spring cloud 快速上手系列 -＞ 04-网关 Gateway -＞ 041-空的工程

   spring cloud 快速上手系列 系列说明:快速上手,一切从简,搭建一个简单的微服务框架,让新手可以在这个基础框架上做各种学习.研究. 04-网关 Gateway 041-空的工程 1,说明 网 ...

5. Spring Boot 快速上手（9）热部署

   Spring Boot 快速上手(9)热部署 IDE 配置 (idea) 添加依赖 IDE 配置 (idea) 设置 -> 构建.执行.部署 -> 编译器(点击文字) -> (右边界 ...

6. Spring WebFlux快速上手——响应式Spring的道法术器

   [url=https://blog.csdn.net/get_set/article/details/79480233]Spring WebFlux快速上手--响应式Spring的道法术器[/url]

7. Spring Boot实践 | 利用Spring Security快速搞定权限控制

   目录 开始之前 快速开始 使用内存签名服务 使用数据库签名服务 使用自定义签名服务 限制请求 强制使用HTTPS 防止跨站点伪造请求 用户认证功能 在java web工程中,一般使用Servlet过滤 ...

8. Spring Boot+Vue/前后端分离/高并发/秒杀实战课程之spring Security快速搭建oauth2 内存版身份认证

   Springboot快速搭建oauth2 内存版身份认证 环境准备 点击[Create New Project]创建一个新的项目 项目环境配置 配置Thymeleaf 搭建oauth2认证,加入两个依 ...

9. Spring Boot快速上手

   Spring Boot简介 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程.有了它,你可以更加敏捷地开发Spring应用程序, ...

最新文章

1. 美国公司欲联合大电脑商阻止绿坝推广
2. 十二、Redis五大数据类型之四Hash
3. tcp转串口_浅谈串口转以太网技术
4. java矩阵加法_在java中的数组加法？
5. 尝鲜！.NET5实操之docker+k8s，这10个坑，你不得不知！
6. rog live service是什么_双11手机怎么买？ROG游戏手机3“独一份”体验，值得剁手...
7. JMS学习九 ActiveMQ的消息持久化到Mysql数据库
8. JAVA类定义，成员类，抽象类及接口类
9. 五月数据库技术通讯丨Oracle 12c因新特性引发异常Library Cache Lock等待
10. 蓝桥杯 ADV-167算法提高 快乐司机（贪心算法）
11. Chisel：一款基于HTTP的快速稳定TCPUDP隧道工具
12. python数据结构-顺序表
13. 聊一聊固态硬盘的那些事
14. 权威证明共识（Proof of Authority)
15. 华硕笔记本BIOS设置禁用UEFI后使用U盘装系统方法
16. 深度学习、机器学习毕业设计 - 选题建议
17. 健身环1536级小结：相当适合码农的锻炼方式
18. git报错-The file will have its original
19. Xms/Xmx/Xmn/Xss区别
20. 电脑进不去游戏显示重新连接服务器,幻塔无法连接服务器怎么办？游戏进不去解决方法...

热门文章

1. 安装好Pycharm后如何配置Python解释器简易教程
2. Sql Server XML
3. 在Docker中体验数据库之MySql
4. 4G最快网速相当于30M宽带
5. MyISAM和InnoDB的索引在实现上的不同
6. 统计学习导论：基于R应用——第二章习题
7. oracle中to_char的用法
8. WinCE启动次数的记录
9. volatile 使用说明
10. DNS的主从架构、子域委派、转发器