這篇文章主要介紹“怎么使用Spring Security”,在日常操作中����,相信很多人在怎么使用Spring Security問題上存在疑惑����,小編查閱了各式資料,整理出簡單好用的操作方法�����,希望對大家解答”怎么使用Spring Security”的疑惑有所幫助�����!接下來�,請跟著小編一起來學(xué)習(xí)吧��!
從網(wǎng)站建設(shè)到定制行業(yè)解決方案����,為提供做網(wǎng)站����、網(wǎng)站制作服務(wù)體系,各種行業(yè)企業(yè)客戶提供網(wǎng)站建設(shè)解決方案�,助力業(yè)務(wù)快速發(fā)展。創(chuàng)新互聯(lián)建站將不斷加快創(chuàng)新步伐�����,提供優(yōu)質(zhì)的建站服務(wù)�。
SpringSecurity
安全簡介
在 Web 開發(fā)中,安全一直是非常重要的一個方面��。安全雖然屬于應(yīng)用的非功能性需求��,但是應(yīng)該在應(yīng)用開發(fā)的初期就考慮進(jìn)來�。如果在應(yīng)用開發(fā)的后期才考慮安全的問題�����,就可能陷入一個兩難的境地:
1、一方面�,應(yīng)用存在嚴(yán)重的安全漏洞,無法滿足用戶的要求���,并可能造成用戶的隱私數(shù)據(jù)被攻擊者竊?����?����;
2�、另一方面�����,應(yīng)用的基本架構(gòu)已經(jīng)確定����,要修復(fù)安全漏洞,可能需要對系統(tǒng)的架構(gòu)做出比較重大的調(diào)整�����,因而需要更多的開發(fā)時間,影響應(yīng)用的發(fā)布進(jìn)程���。因此����,從應(yīng)用開發(fā)的第一天就應(yīng)該把安全相關(guān)的因素考慮進(jìn)來�����,并在整個應(yīng)用的開發(fā)過程中�。
市面上存在比較有名的:Shiro,Spring Security�!
這里需要闡述一下的是,每一個框架的出現(xiàn)都是為了解決某一問題而產(chǎn)生了��,那么Spring Security 框架的出現(xiàn)是為了解決什么問題呢�����?
首先我們看下它的官網(wǎng)介紹:Spring Security官網(wǎng)地址
Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications.
Spring Security is a framework that focuses on providing both authentication and authorization to Java applications. Like all Spring projects, the real power of Spring Security is found in how easily it can be extended to meet custom requirements
Spring Security是一個功能強(qiáng)大且高度可定制的身份驗(yàn)證和訪問控制框架��。它實(shí)際上是保護(hù)基于spring的應(yīng)用程序的標(biāo)準(zhǔn)����。
Spring Security是一個框架,側(cè)重于為Java應(yīng)用程序提供身份驗(yàn)證和授權(quán)����。與所有Spring項(xiàng)目一樣,Spring安全性的真正強(qiáng)大之處在于它可以輕松地?cái)U(kuò)展以滿足定制需求
從官網(wǎng)的介紹中可以知道這是一個權(quán)限框架�。想我們之前做項(xiàng)目是沒有使用框架是怎么控制權(quán)限的?對于權(quán)限 一般會細(xì)分為
功能權(quán)限
訪問權(quán)限
菜單權(quán)限
各種權(quán)限寫起來用Filter來寫會導(dǎo)致代碼非常的繁瑣����,冗余。
怎么解決之前寫權(quán)限代碼繁瑣�,冗余的問題,一些主流框架就應(yīng)運(yùn)而生而Spring Scecurity就是其中的一種�。
Spring 是一個非常流行和成功的 Java 應(yīng)用開發(fā)框架。Spring Security 基于 Spring 框架���,提供了一套 Web 應(yīng)用安全性的完整解決方案�。一般來說���,Web 應(yīng)用的安全性包括用戶認(rèn)證(Authentication)和用戶授權(quán)(Authorization)兩個部分����。用戶認(rèn)證指的是驗(yàn)證某個用戶是否為系統(tǒng)中的合法主體,也就是說用戶能否訪問該系統(tǒng)���。用戶認(rèn)證一般要求用戶提供用戶名和密碼�����。系統(tǒng)通過校驗(yàn)用戶名和密碼來完成認(rèn)證過程�。用戶授權(quán)指的是驗(yàn)證某個用戶是否有權(quán)限執(zhí)行某個操作����。在一個系統(tǒng)中,不同用戶所具有的權(quán)限是不同的��。比如對一個文件來說���,有的用戶只能進(jìn)行讀取�����,而有的用戶可以進(jìn)行修改���。一般來說,系統(tǒng)會為不同的用戶分配不同的角色�����,而每個角色則對應(yīng)一系列的權(quán)限��。
對于上面提到的兩種應(yīng)用情景�,Spring Security 框架都有很好的支持。
1�����、 在用戶認(rèn)證方面���,Spring Security 框架支持主流的認(rèn)證方式����,包括 HTTP 基本認(rèn)證�����、HTTP 表單驗(yàn)證����、HTTP 摘要認(rèn)證、OpenID 和 LDAP 等����。
2��、 在用戶授權(quán)方面��,Spring Security 提供了基于角色的訪問控制和訪問控制列表(Access Control List���,ACL),可以對應(yīng)用中的領(lǐng)域?qū)ο筮M(jìn)行細(xì)粒度的控制���。
實(shí)戰(zhàn)測試
實(shí)驗(yàn)環(huán)境搭建
1���、新建一個初始的springboot項(xiàng)目web模塊,thymeleaf模塊
2���、導(dǎo)入靜態(tài)資源
welcome.html
|views
|level1
1.html
2.html
3.html
|level2
1.html
2.html
3.html
|level3
1.html
2.html
3.html
Login.html
3����、controller跳轉(zhuǎn)���!
package com.sowhat.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
public class RouterController {
@RequestMapping({"/","/index"})
public String index(){
return "index";
}
@RequestMapping("/toLogin")
public String toLogin(){
return "views/login";
}
@RequestMapping("/level1/{id}")
public String level1(@PathVariable("id") int id){
return "views/level1/"+id;
}
@RequestMapping("/level2/{id}")
public String level2(@PathVariable("id") int id){
return "views/level2/"+id;
}
@RequestMapping("/level3/{id}")
public String level3(@PathVariable("id") int id){
return "views/level3/"+id;
}
}4���、測試實(shí)驗(yàn)環(huán)境是否OK���!
認(rèn)識SpringSecurity
Spring Security 是針對Spring項(xiàng)目的安全框架,也是Spring Boot底層安全模塊默認(rèn)的技術(shù)選型��,他可以實(shí)現(xiàn)強(qiáng)大的Web安全控制�,對于安全控制�,我們僅需要引入 spring-boot-starter-security 模塊,進(jìn)行少量的配置�����,即可實(shí)現(xiàn)強(qiáng)大的安全管理����!
記住幾個類:
WebSecurityConfigurerAdapter:自定義Security策略
AuthenticationManagerBuilder:自定義認(rèn)證策略
@EnableWebSecurity:開啟WebSecurity模式
Spring Security的兩個主要目標(biāo)是 認(rèn)證 和 授權(quán)(訪問控制)。
認(rèn)證(Authentication)
身份驗(yàn)證是關(guān)于驗(yàn)證您的憑據(jù)��,如用戶名/用戶ID和密碼����,以驗(yàn)證您的身份。
身份驗(yàn)證通常通過用戶名和密碼完成�����,有時與身份驗(yàn)證因素結(jié)合使用。
授權(quán) (Authorization)
授權(quán)發(fā)生在系統(tǒng)成功驗(yàn)證您的身份后���,最終會授予您訪問資源(如信息���,文件,數(shù)據(jù)庫���,資金����,位置����,幾乎任何內(nèi)容)的完全權(quán)限。
這個概念是通用的����,而不是只在Spring Security 中存在。
認(rèn)證和授權(quán)
目前����,我們的測試環(huán)境,是誰都可以訪問的��,我們使用 Spring Security 增加上認(rèn)證和授權(quán)的功能
1、引入 Spring Security 模塊
org.springframework.boot
spring-boot-starter-security
2��、編寫 Spring Security 配置類
參考官網(wǎng):https://spring.io/projects/spring-security
查看我們自己項(xiàng)目中的版本�����,找到對應(yīng)的幫助文檔:文檔
3���、編寫基礎(chǔ)配置類
package com.sowhat.config;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
}
}4�����、定制請求的授權(quán)規(guī)則 configure方法內(nèi)容自定義。
@Override
protected void configure(HttpSecurity http) throws Exception {
// 定制請求的授權(quán)規(guī)則
// 首頁所有人可以訪問��,其余的需要有角色權(quán)限才可以訪問
http.authorizeRequests().antMatchers("/").permitAll()
.antMatchers("/level1/**").hasRole("vip1")
.antMatchers("/level2/**").hasRole("vip2")
.antMatchers("/level3/**").hasRole("vip3");
}5���、測試一下:發(fā)現(xiàn)除了首頁都進(jìn)不去了�!因?yàn)槲覀兡壳皼]有登錄的角色�����,因?yàn)檎埱笮枰卿浀慕巧珦碛袑?yīng)的權(quán)限才可以�!
6�、在configure()方法中加入以下配置��,如果沒有權(quán)限訪問若干網(wǎng)址則直接跳轉(zhuǎn)到登陸頁面�!formLogin
// 開啟自動配置的登錄功能
// /login 請求來到登錄頁
// /login?error 重定向到這里表示登錄失敗
http.formLogin();
7、測試一下:發(fā)現(xiàn)����,沒有權(quán)限的時候,會跳轉(zhuǎn)到登錄的頁面(SpringSecurity 自帶登陸頁面)�!
8、查看剛才登錄頁的注釋信息���;
我們可以定義認(rèn)證規(guī)則���,重寫configure(AuthenticationManagerBuilder auth)方法
//定義認(rèn)證規(guī)則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//在內(nèi)存中定義,也可以在jdbc中去拿....
auth.inMemoryAuthentication()
.withUser("sowhat").password("123456").roles("vip2","vip3")
.and()
.withUser("root").password("123456").roles("vip1","vip2","vip3")
.and()
.withUser("guest").password("123456").roles("vip1","vip2");
}9��、測試��,我們可以使用這些賬號登錄進(jìn)行測試���!發(fā)現(xiàn)會報(bào)錯�����!
There is no PasswordEncoder mapped for the id “null”
10��、原因��,我們要將前端傳過來的密碼進(jìn)行某種方式加密���,否則就無法登錄���,修改代碼
//定義認(rèn)證規(guī)則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//在內(nèi)存中定義,也可以在jdbc中去拿....
//Spring security 5.0中新增了多種加密方式��,也改變了密碼的格式����。
//要想我們的項(xiàng)目還能夠正常登陸�,需要修改一下configure中的代碼。我們要將前端傳過來的密碼進(jìn)行某種方式加密
//spring security 官方推薦的是使用bcrypt加密方式�����。
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
.withUser("sowhat").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
.and()
.withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
.and()
.withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2");
}11��、測試,發(fā)現(xiàn)��,登錄成功�����,并且每個角色只能訪問自己認(rèn)證下的規(guī)則�����!搞定
權(quán)限控制和注銷
1����、開啟自動配置的注銷的功能
//定制請求的授權(quán)規(guī)則
@Override
protected void configure(HttpSecurity http) throws Exception {
//....
//開啟自動配置的注銷的功能
// /logout 注銷請求
http.logout();
}2、我們在前端���,增加一個注銷的按鈕(系統(tǒng)自帶的登陸頁面)�,index.html 導(dǎo)航欄中
注銷
3��、我們可以去測試一下���,登錄成功后點(diǎn)擊注銷�,發(fā)現(xiàn)注銷完畢會跳轉(zhuǎn)到登錄頁面���!
4��、但是�,我們想讓他注銷成功后,依舊可以跳轉(zhuǎn)到首頁�����,該怎么處理呢���?
// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");5���、測試,注銷完畢后��,發(fā)現(xiàn)跳轉(zhuǎn)到自定義的首頁OK
6��、我們現(xiàn)在又來一個需求:用戶沒有登錄的時候���,導(dǎo)航欄上只顯示登錄按鈕,用戶登錄之后���,導(dǎo)航欄可以顯示登錄的用戶信息及注銷按鈕���!還有就是���,比如sowhat這個用戶,它只有 vip2��,vip3功能����,那么登錄則只顯示這兩個功能,而vip1的功能菜單不顯示��!這個就是真實(shí)的網(wǎng)站情況了���!該如何做呢��?
我們需要結(jié)合thymeleaf中的一些功能
sec:authorize="isAuthenticated()":是否認(rèn)證登錄�����!來顯示不同的頁面
Maven依賴:
org.thymeleaf.extras
thymeleaf-extras-springsecurity5
3.0.4.RELEASE
7����、修改我們的 前端頁面
導(dǎo)入命名空間
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"
修改導(dǎo)航欄�����,增加認(rèn)證判斷
登錄
重慶分公司
重慶分公司
