企業分佈式微服務雲SpringCloud SpringBoot mybatis (六)Spring Boot中使用Spring Security進行安全控制

時間  2019-11-12
標籤 企業 分佈 式微 服務 springcloud springboot mybatis spring boot 使用 security 進行 安全 控制 欄目 Spring 简体版
原文   原文鏈接

準備工做

首先,構建一個簡單的Web工程,以用於後續添加安全控制,也能夠用以前Chapter3-1-2作爲基礎工程。若對如何使用Spring Boot構建Web應用,能夠先閱讀《Spring Boot開發Web應用》一文。html

Web層實現請求映射

@Controller
public class HelloController {

    @RequestMapping("/")
    public String index() {
        return "index";
    }

    @RequestMapping("/hello")
    public String hello() {
        return "hello";
    }

}

  

  • /:映射到index.html
  • /hello:映射到hello.html

實現映射的頁面

  • src/main/resources/templates/index.html 
    <!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Spring Security入門</title>
    </head>
    <body>
        <h1>歡迎使用Spring Security!</h1>
        <p>點擊 <a th:href="@{/hello}">這裏</a> 打個招呼吧</p>
    </body>
</html>

      

     

  • src/main/resources/templates/hello.html 
    <!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1>Hello world!</h1>
    </body>
</html>

      

    能夠看到在index.html中提供到/hello的連接,顯然在這裏沒有任何安全控制,因此點擊連接後就能夠直接跳轉到hello.html頁面。java

    整合Spring Security

    在這一節,咱們將對/hello頁面進行權限控制,必須是受權用戶才能訪問。當沒有權限的用戶訪問後,跳轉到登陸頁面。git

    添加依賴

    在pom.xml中添加以下配置,引入對Spring Security的依賴。web

    <dependencies>
    ...
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    ...
</dependencies>

      

    Spring Security配置

    建立Spring Security的配置類WebSecurityConfig,具體以下:spring

    @Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }

}

      

  • 經過@EnableWebSecurity註解開啓Spring Security的功能
  • 繼承WebSecurityConfigurerAdapter,並重寫它的方法來設置一些web安全的細節
  • configure(HttpSecurity http)方法
    • 經過authorizeRequests()定義哪些URL須要被保護、哪些不須要被保護。例如以上代碼指定了//home不須要任何認證就能夠訪問,其餘的路徑都必須經過身份驗證。
    • 經過formLogin()定義當須要用戶登陸時候,轉到的登陸頁面。
  • configureGlobal(AuthenticationManagerBuilder auth)方法,在內存中建立了一個用戶,該用戶的名稱爲user,密碼爲password,用戶角色爲USER。

  • 新增登陸請求與頁面

    在完成了Spring Security配置以後,咱們還缺乏登陸的相關內容。安全

    HelloController中新增/login請求映射至login.htmlspringboot

@Controller
public class HelloController {

    // 省略以前的內容...

    @RequestMapping("/login")
    public String login() {
        return "login";
    }

}

  

新增登陸頁面:src/main/resources/templates/login.htmlapp

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Spring Security Example </title>
    </head>
    <body>
        <div th:if="${param.error}">
            用戶名或密碼錯
        </div>
        <div th:if="${param.logout}">
            您已註銷成功
        </div>
        <form th:action="@{/login}" method="post">
            <div><label> 用戶名 : <input type="text" name="username"/> </label></div>
            <div><label> 密  碼 : <input type="password" name="password"/> </label></div>
            <div><input type="submit" value="登陸"/></div>
        </form>
    </body>
</html>

  

能夠看到,實現了一個簡單的經過用戶名和密碼提交到/login的登陸方式。ide

根據配置,Spring Security提供了一個過濾器來攔截請求並驗證用戶身份。若是用戶身份認證失敗,頁面就重定向到/login?error,而且頁面中會展示相應的錯誤信息。若用戶想要註銷登陸,能夠經過訪問/login?logout請求,在完成註銷以後,頁面展示相應的成功消息。spring-boot

到這裏,咱們啓用應用,並訪問http://localhost:8080/,能夠正常訪問。可是訪問http://localhost:8080/hello的時候被重定向到了http://localhost:8080/login頁面,由於沒有登陸,用戶沒有訪問權限,經過輸入用戶名user和密碼password進行登陸後,跳轉到了Hello World頁面,再也經過訪問http://localhost:8080/login?logout,就能夠完成註銷操做。

爲了讓整個過程更完成,咱們能夠修改hello.html,讓它輸出一些內容,並提供「註銷」的連接。

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
        <form th:action="@{/logout}" method="post">
            <input type="submit" value="註銷"/>
        </form>
    </body>
</html>

  

源碼來源

本文經過一個最簡單的示例完成了對Web應用的安全控制,Spring Security提供的功能還遠不止於此,更多Spring Security的使用可參見Spring Security Reference

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程