文章目录
- 前言
- 一、Spring Security 介绍
- 二、创建工程
- 三、认证
- 1. 认证页面
- 2. 安全配置
- 四、授权
前言
Spring Security 快速入门。
本章代码已分享至Gitee:https://gitee.com/lengcz/security-spring-security
一、Spring Security 介绍
\qquad Spring Secutiry 是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统的一员,因此它伴随着整个Spring生态系统不断修正、升级,在Springboot项目中加入spring security 更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。
二、创建工程
- 创建maven工程(不需要模板)
需要创建的目录结构如下
- 导入spring-security的依赖
<!--spring-security依赖-->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.1.4.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.1.4.RELEASE</version>
</dependency>
完整的pom文件如下(包含SpringMvc),下内容供参考
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.it2</groupId>
<artifactId>security-spring-security</artifactId>
<version>1.0-SNAPSHOT</version>
<packaging>war</packaging>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<maven.compiler.source>1.8</maven.compiler.source>
<maven.compiler.target>1.8</maven.compiler.target>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>5.1.5.RELEASE</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>3.0.1</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<version>1.16.12</version>
</dependency>
<!--spring-security依赖-->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.1.4.RELEASE</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.1.4.RELEASE</version>
</dependency>
</dependencies>
<build>
<finalName>security-springmvc</finalName>
<pluginManagement>
<plugins>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<version>2.2</version>
</plugin>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<configuration>
<source>1.8</source>
<target>1.8</target>
</configuration>
</plugin>
<plugin>
<artifactId>maven-resources-plugin</artifactId>
<configuration>
<encoding>utf-8</encoding>
<useDefaultDelimiters>true</useDefaultDelimiters>
<resources>
<resource>
<directory>src/main/resources</directory>
<filtering>true</filtering>
<includes>
<include>**/*</include>
</includes>
</resource>
<resource>
<directory>src/main/java</directory>
<filtering>true</filtering>
<includes>
<include>**/*.xml</include>
</includes>
</resource>
</resources>
</configuration>
</plugin>
</plugins>
</pluginManagement>
</build>
</project>
- Spring容器配置
/**
* config包下定义ApplicationConfig.java,它对应web.xml中ContextLoaderListener的配置
*/
@Configuration //相当于ApplicationContext.xml
@ComponentScan(basePackages = "com.it2.security.springmvc",
excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class ApplicationConfig {
//在此配置除了Controller的其它bean,比如:数据库连接池,事务管理器,业务bean等
}
- Servlet Context配置
@Configuration //相当于springmvc.xml
@EnableWebMvc
@ComponentScan(basePackages = "com.it2.security",
includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {
//视图解析器
@Bean
public InternalResourceViewResolver viewResolver() {
InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
viewResolver.setPrefix("/WEB-INF/view/");
viewResolver.setSuffix(".jsp");
return viewResolver;
}
/**
* spring-scurity 已经包含了权限的拦截器,所以不需要添加权限拦截器
*/
// @Autowired
// private SimpleAuthenticationInterceptor simpleAuthenticationInterceptor;
//
// @Override
// public void addInterceptors(InterceptorRegistry registry) {
// registry.addInterceptor(simpleAuthenticationInterceptor).addPathPatterns("/r/**");
// }
}
- 加载Spring容器
在init包下定义Spring容器初始化类SpringApplicationInitializer,此类实现WebApplicationInitializer接口,Spring容器启动时加载WebApplicationInitializer接口的所有实现类。
public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
//spring容器
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[]{ApplicationConfig.class};
}
//servletContext
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class[]{WebConfig.class};
}
//url-mapping
@Override
protected String[] getServletMappings() {
return new String[]{"/"};
}
}
三、认证
1. 认证页面
Spring Security 默认提供了认证的页面,不需要额外开发。
2. 安全配置
spring security 提供了用户名密码登录、退出、会话管理等认证功能,只需要配置即可使用。
(1)在config包下定义WebSecutiryConfig,安全配置的内容包含了用户信息、密码编码器、安全拦截机制。
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
//定义用户信息服务
@Bean
public UserDetailsService userDetailsService() {
//这里示例使用内存的方式存储用户名、密码和权限
InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
inMemoryUserDetailsManager.createUser(User.withUsername("zhangsan").password("111").authorities("p1").build());
inMemoryUserDetailsManager.createUser(User.withUsername("lisi").password("222").authorities("p2").build());
return inMemoryUserDetailsManager;
}
//密码编码器
@Bean
public PasswordEncoder passwordEncoder() { //原文密码比较
return NoOpPasswordEncoder.getInstance();
}
//配置安全拦截机制
protected void configure(HttpSecurity security) throws Exception {
security.authorizeRequests()
.antMatchers("/r/r1").hasAnyAuthority("p1")
.antMatchers("/r/r2").hasAnyAuthority("p2")
.antMatchers("/r/**").authenticated() //所有/r/**的请求都必须认证通过
.anyRequest().permitAll() //除此之外的请求,都可以访问
.and()
.formLogin() //允许表单登录
.successForwardUrl("/login-success");//自定义登录成功后的页面地址
}
}
在configure中的配置
- url匹配/r/**的资源,经过认证才可以访问呢
- 支持form表单认证,认证成功跳转/login-success
(2) 加载WebSecurityConfig
修改SpringApplicationInitializer的getRootConfigClasses()方法,添加WebSecutiryConfig.class
//spring容器
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[]{ApplicationConfig.class, WebSecurityConfig.class};
}
(3) Spring Security初始化
Spring Security 初始化,这里有两种情况:
- 若当前环境没有使用Spring或者SpringMVC,则需要将WebSecurity(Spring Secutiry配置类)传入超类,以确保获取配置,并创建spring context。
- 相反,若当前环境已经加载使用spring,则应该在现有的springcontext中注册Spring Security(上一步已经将WebSecurityConfig加载到 rootcontext),此方法可以什么都不做。
在init 包下定义SpringSecurityApplicationInitializer
public class SpringSecurityApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
public SpringSecurityApplicationInitializer() {
// super(WebSecurityConfig.class);
}
}
(4) 配置默认根路径跳登录
在WebConfig.java中添加默认请求根路径跳转到/login,此url为spring security提供
//指向登录页面
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/").setViewName("redirect:/login");//spring-security默认提供的登录页面
}
(5) 设置登录后跳转的页面
@RestController
@RestController
public class LoginController {
@RequestMapping(value = "/login-success", produces = "text/plain;charset=utf-8")
public String login() {
return "登录成功";
}
@RequestMapping(value = "/r/r1", produces = "text/plain;charset=utf-8")
public String resources1() {
return "r1资源";
}
@RequestMapping(value = "/r/r2", produces = "text/plain;charset=utf-8")
public String resources2() {
return "r2资源";
}
}
(6)配置启动参数,并启动服务
如果直接访问/r/r1资源,因为配置了拦截所有请求需要认证,所以它会跳到登录页面。
如果登录后,在访问/r/r1资源,则没有问题
到这里就登录成功了。
(7) 退出
spring security提供了退出的请求,访问/logout即可。
四、授权
实现授权需要对用户的访问进行拦截校验,校验用户的权限是否可以操作指定的资源,Spring Security默认提供授权实现方法。
签名我们在LoginController添加了/r/r1和/r/r2两个链接的请求资源。
@RequestMapping(value = "/r/r1", produces = "text/plain;charset=utf-8")
public String resources1() {
return "r1资源";
}
@RequestMapping(value = "/r/r2", produces = "text/plain;charset=utf-8")
public String resources2() {
return "r2资源";
}
分别配置/r/r1和/r/r2需要的权限
//定义用户信息服务
@Bean
public UserDetailsService userDetailsService() {
//这里示例使用内存的方式存储用户名、密码和权限
InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
inMemoryUserDetailsManager.createUser(User.withUsername("zhangsan").password("111").authorities("p1").build());
inMemoryUserDetailsManager.createUser(User.withUsername("lisi").password("222").authorities("p2").build());
return inMemoryUserDetailsManager;
}
//配置安全拦截机制
protected void configure(HttpSecurity security) throws Exception {
security.authorizeRequests()
.antMatchers("/r/r1").hasAnyAuthority("p1")
.antMatchers("/r/r2").hasAnyAuthority("p2")
.antMatchers("/r/**").authenticated() //所有/r/**的请求都必须认证通过
.anyRequest().permitAll() //除此之外的请求,都可以访问
.and()
.formLogin() //允许表单登录
.successForwardUrl("/login-success");//自定义登录成功后的页面地址
}
authorities(a,b,c) 拥有a,b,c的权限
.antMatchers(“/r/r1”).hasAnyAuthority(“p1”,“p3”,“p4”) 访问/r/r1需要p1/p3/p4权限之中任意一个。
启动服务器测试
登录了zhangsan后,分别访问/r/r1和/r/r2请求,可以看到zhangsan只能访问/r/r1,而访问r/r2时显示403 Forbidden,表示zhangsan没有/r/r2的权限。
![[管理与领导-6]:新任管理第1课:管理转身--从技术业务走向管理,角色的转变](https://img-blog.csdnimg.cn/img_convert/364b007896c005ee6aea73fa07841108.jpeg)
