Spring學習日誌之Spring Security配置
依賴引入
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-core</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
</dependency>
啓用Spring Security
- 首先建立一個繼承
AbstractSecurityWebApplicationInitializer的類。這個操做會致使一個名爲DelegatingFilterProxy的Filter被註冊,它會攔截髮往應用中的請求,並將請求委託給ID爲SpringSecurityFilterChain的bean
public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer
{
}
- 再建立一個配置類
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
}
至此Spring Security就被啓用了,目前全部的請求都會被攔截。web
配置
WebSecurityConfigurerAdapter中有三個名爲configure的方法提供重載,三個方法的描述以下:spring
| 方法 | 描述 |
|---|---|
| configure(HttpSecurity) | 配置攔截模式 |
| configure(AuthenticationManagerBuilder) | 配置用戶信息 |
| configure(WebSecurity) | 配置Spring Security的Filter鏈 |
配置用戶信息
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception
{
auth.inMemoryAuthentication() // 基於內存的用戶存儲
.withUser("admin")
.password("password")
.roles("USER", "ADMIN");
}
配置攔截路徑
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
@Override
protected void configure(HttpSecurity http) throws Exception
{
http.authorizeRequests()
.antMatchers("/info").authenticated()
.antMatchers(HttpMethod.GET, "/health").hasAnyAuthority("ADMIN")
.anyRequest().permitAll();
}
}
啓用HTTPS
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
@Override
protected void configure(HttpSecurity http) throws Exception
{
http.authorizeRequests()
.anyRequest().permitAll()
.and()
.requiresChannel()
.antMatchers("/bankInfo").requiresSecure() // enable HTTPS
.antMatchers("/").requiresInsecure(); // disable HTTPS
}
}
禁用CSRF
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
@Override
protected void configure(HttpSecurity http) throws Exception
{
http.authorizeRequests()
.anyRequest().permitAll()
.and()
.csrf().disable();
}
}
登陸與註銷
- 在重寫
configure(HttpSecurity)以前會有一個默認的登陸頁面,須要登陸時會自動跳轉到這個位於/login下的頁面,但一旦重寫此方法後就會失去這個簡單的登陸頁面。
啓用默認登陸頁
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
@Override
protected void configure(HttpSecurity http) throws Exception
{
http.authorizeRequests()
.anyRequest().permitAll()
.and()
.formLogin();
}
}
自定義登陸頁面
若是不想作多餘的配置,那麼自定義的頁面裏:ide
form的action應該提交到/login- 包含
username的輸入域且name屬性爲username - 包含
password的輸入域且name屬性爲password
指定URL
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
@Override
protected void configure(HttpSecurity http) throws Exception
{
http.authorizeRequests()
.anyRequest().permitAll()
.and()
.formLogin().loginPage("/login");
}
}
指定自定義頁面
@Configuration
@EnableWebMvc
@ComponentScan
public class WebConfig extends WebMvcConfigurerAdapter {
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/login").setViewName("login");
}
}
ViewControllerRegistry能夠用來直接轉發請求到一個視圖而無需編寫控制器類。ui
註銷
- 若是沒有啓用
CSRF,直接訪問\logout就可實現登出 - 若是啓用
CSRF,用POST方法訪問\logout並帶上CSRF Token
相關文章
- 1. spring boot 之 spring security 配置
- 2. spring security配置
- 3. Spring Security 配置
- 4. spring security 配置
- 5. Spring boot學習(七)Spring boot配置slf4j+logback日誌框架
- 6. [spring-boot] logback日誌配置
- 7. spring boot 日誌配置
- 8. Spring Boot日誌配置:logback
- 9. Spring Boot 日誌配置
- 10. Spring學習日誌(1)
- 更多相關文章...
- • Spring Bean的配置及常用屬性 - Spring教程
- • Spring基於Annotation裝配Bean - Spring教程
- • Tomcat學習筆記(史上最全tomcat學習筆記)
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
