知识储备:
关于SpringSecurity的详细学习可以查看SpringSecurity的官方文档。
Spring Security概览
应用程序的两个主要区域是"认证"和"授权"(访问控制)。这两个主要区域是Spring Security的两个目标。
"认证"(Authentication),是建立一个他声明的主体的过程(一个"主体"一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统)。
"授权"(Authorization)指确定一个主体是否允许在你的应用程序执行一个动作的过程。为了抵达需要授权的点, 主体的身份已经有认证过程建立。
一.Spring Security快速入门
1.1 导入spring-boot-starter-security
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
1.2 编写SpringSecurity的配置类,该类需要继承WebSecurityConfigurerAdapter
这边需要开启基于WebSecurity的注解,由于这个注解内部以及有了@Configuration,所以不需要再加上@Configuration了。
@EnableWebSecurity //开启基于WebSecurity的注解(已经开启了@Configuration)
public class MySecurityConfig extends WebSecurityConfigurerAdapter { }
1.3 在配置类中定制授权规则
@Override
protected void configure(HttpSecurity http) throws Exception {
//super.configure(http);
//定制请求的授权规则
http.authorizeRequests().antMatchers("/").permitAll() //让所有人可以访问首页
.antMatchers("/level1/**").hasRole("VIP1")
.antMatchers("/level2/**").hasRole("VIP2")
.antMatchers("/level3/**").hasRole("VIP3");
//访问测试 //开启自动配置的登陆功能,如果没有登录,则会来到登录页面
http.formLogin();
//该功能开启之后的效果:SpringSecurity自动处理的请求
//1、/login 来到登录页
//2、重定向到 /login?error 表示登录失败
//3、更多信息 }
1.4 定义认证规则
这边需要注意的是如果不用PasswordEncoder去验证密码会报错误,这里是解决方案
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//super.configure(auth);
//auth.jdbcAuthentication()
//内存用户验证
/* auth.inMemoryAuthentication().withUser("wang").password("123456").roles("VIP1","VIP2").and()
.withUser("xia").password("654321").roles("VIP2","VIP3"); //表单提交的时候密码是以密文匹配,会报错*/
auth.inMemoryAuthentication()
.passwordEncoder(new MyPasswordEncoder())
.withUser("wang").password("123456").roles("VIP1","VIP2").and()
.withUser("yun").password("123456").roles("VIP3"); //表单提交的时候密码是以明文匹配 }
二.注销
在protected void configure(HttpSecurity http) throws Exception(){}方法中开启自动配置的注销功能:
http.logout()
开启后默认规则:
1.访问/logout表示用户注销,清空session
2.注销成功会返回/login?logout页面
配置注销以后直接来到首页;
http.logout().logoutSuccessUrl("/"); //注销以后来到首页
完整代码:
@Override
protected void configure(HttpSecurity http) throws Exception {
//super.configure(http);
//定制请求的授权规则
http.authorizeRequests().antMatchers("/").permitAll() //让所有人可以访问首页
.antMatchers("/level1/**").hasRole("VIP1")
.antMatchers("/level2/**").hasRole("VIP2")
.antMatchers("/level3/**").hasRole("VIP3");
//访问测试 //开启自动配置的登陆功能,如果没有登录,则会来到登录页面
//SpringSecurity自动处理的请求
//默认规则
//1、/login 来到登录页
//2、重定向到 /login?error 表示登录失败
//3、更多信息
http.formLogin(); //开启自动配置的注销功能
//默认规则
//1.访问/logout表示用户注销,清空session
//2.注销成功会返回/login?logout页面 http.logout().logoutSuccessUrl("/"); //注销以后来到首页
}
三.权限控制
3.1 版本依赖
使用这项功能前需要先将SpringBoot版本切换为1.5.6.RELEASE,SpringBoot2.x的版本使用时遇到了一些问题所以我将SpringBoot版本降级了。如果有Springboot2.x整合Spring Security成功使用权限控制的可以教教我。。。
将SpringBoot版本变为1.5.6.RELEASE后需要将thymeleaf的版本也切换一下:
<properties>
<java.version>1.8</java.version>
<thymeleaf.version>3.0.9.RELEASE</thymeleaf.version>
<thymeleaf-layout-dialect.version>2.3.0</thymeleaf-layout-dialect.version>
<thymeleaf-extras-springsecurity4.version>3.0.2.RELEASE</thymeleaf-extras-springsecurity4.version>
</properties>
在html使用spring security标签还需要导入thymeleaf-extra-springsecurity4包,版本为上面的版本3.0.2.RELEASE
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity4</artifactId>
</dependency>
3.2 权限控制
首先引入标签库
<html xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
如果没有认证则显示下面内容:
<div sec:authorize="!isAuthenticated()">
<h2 align="center">游客您好,如果想查看武林秘籍 <a th:href="@{/login}">请登录</a></h2>
</div>
如果角色认证了显示出角色的信息:
<!--如果认证了-->
<div sec:authorize="isAuthenticated()">
<h2><span sec:authentication="name"></span>,您好,您的角色有<span sec:authentication="principal.authorities"></span></h2>
<form th:action="@{/logout}" method="post">
<input type="submit" value="注销"/>
</form>
</div>
控制只有拥有某个权限时才能显示该内容
<div sec:authorize="hasRole('VIP1')">
<h3>普通武功秘籍</h3>
<ul>
<li><a th:href="@{/level1/1}">罗汉拳</a></li>
<li><a th:href="@{/level1/2}">武当长拳</a></li>
<li><a th:href="@{/level1/3}">全真剑法</a></li>
</ul>
</div>
四.记住我
在protected void configure(HttpSecurity http) throws Exception(){}方法中开启记住我功能:
//开启记住我功能
http.rememberMe();
开启该功能后,登陆页面会自动多一个记住我的复选框按钮。
勾选登陆后,会自动生成cookie,下次访问时无需登陆即可访问。
五.自定义登陆页
上述功能都是基于默认规则的登录功能,那么如何制定自己的登录页呢?
5.1 定制Controller登录页
/*
* 登陆页
* @return
*/
@GetMapping("/userlogin")
public String loginPage() {
return PREFIX+"login";
}
5.2 在protected void configure(HttpSecurity http) throws Exception(){}中配置:
http.formLogin().usernameParameter("user").passwordParameter("pwd").loginPage("/userlogin");
一旦定制loginPage,那么loginPage的post请求就是登录。
5.3 登录的表单
<div align="center">
<form th:action="@{/userlogin}" method="post">
用户名:<input name="user"/><br>
密码:<input name="pwd"><br/>
<input type="checkbox" name="remeber"/>记住我 <br/>
<input type="submit" value="登陆">
</form>
</div>
5.4 自定义记住我功能
//开启记住我功能
http.rememberMe().rememberMeParameter("remeber");