精通 Spring Boot 系列文(12)
程序IT圈
共 4632字,需浏览 10分钟
· 2020-07-29
阅读全文,约 18 分钟
Spring Boot 的安全管理
1、Spring Security 是啥?
Spring Security 是 Spring 的一个安全模块,它很强大,但使用特别复杂。在安全管理这个领域,之前还有一个 Shiro 是比较受欢迎的,对于大部分的应用,Shiro 用得也比较成熟。Spring Boot 现在为 Spring Security 提供了自动化配置方案,用起来非常方便,所以大家慢慢就选择使用了 Spring Security 了。
最近,很多安全管理技术栈的组合长这样的:Spring Boot/Spring Cloud + Spring Security。
安全框架有两大主要操作:认证(Authentication)和授权(Authorization)。
2、Spring Security 简单使用
如何配置 Spring Security?非常简单,我们直接在类上继承 WebSecurityConfigurerAdapter 适配器即可,然后再用 @EnableWebSecurity 注解,再重写
configure() 方法来配置对应的安全信息。
我们还需要了解两个事情:用户认证、用户授权
2.1 用户认证
主要通过在
configureGlobal(AuthenticationManagerBuilder amb) 方法完成用户认证,然后通过
AuthenticationManagerBuilder 的 inMemoryAuthentication() 方法来添加用户,和用户的权限。
2.2 用户授权
主要通过 configure(HttpSecurity hs) 方法,完成用户授权,然后 HttpSecurity 的 authorizeRequests() 方法能设置多个 macher 节点来声明执行顺序,这样用户就能够访问多个 URL 模式了。
当你匹配了对应的请求路径之后,然后再执行安全处理。
Spring Security 的安全处理方法:
anyRequest:匹配所有路径
access:可以访问,当 Spring EL 的结果为 ture
anonymous:匿名可访问
denyAll:用户不能访问
fullyAuthenticated:用户完全认证可访问
hasAnyAuthority:参数代表权限,列出来任何一个的可访问
hasAnyRole:参数代表角色,列出来任何一个的可访问
hasAuthority:参数代表权限,列出来的可访问
hasIpAddress:参数代表 IP 地址,匹配的可访问
hasRole:参数角色,列出来的可访问
permitAll:用户可以任意访问
rememberMe:允许通过 remember-me 登录的用户访问
authenticated:用户登录后可访问
3、Spring Security 简单案例
1)编辑 pom.xml 文件
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0modelVersion>
<groupId>com.nxgroupId>
<artifactId>springbootdataartifactId>
<version>1.0-SNAPSHOTversion>
<parent>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-parentartifactId>
<version>2.2.6.RELEASEversion>
<relativePath/>
parent>
<properties>
<project.build.sourceEncoding>UTF-8project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8project.reporting.outputEncoding>
<java.version>1.8java.version>
properties>
<dependencies>
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-webartifactId>
dependency>
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-thymeleafartifactId>
dependency>
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-securityartifactId>
dependency>
<dependency>
<groupId>junitgroupId>
<artifactId>junitartifactId>
<scope>testscope>
dependency>
dependencies>
project>
2)创建 NXPasswordEncoder 认证逻辑类
public class NXPasswordEncoder implements PasswordEncoder{
@Override
public String encode(CharSequence arg0) {
return arg0.toString();
}
@Override
public boolean matches(CharSequence arg0, String arg1) {
return arg1.equals(arg0.toString());
}
}
3)创建 AppSecurityConfigurer 密码器
目前,Spring Security 的密码存储格式为:{id}encodedPassword,其中 id 是用来找到对应的 PasswordEncoder,encodedPassword 用来指原始密码经过加密之后的密码。当我们想自定义密码器,必须实现 PasswordEncoder 接口。
@Configuration
public class AppSecurityConfigurer extends WebSecurityConfigurerAdapter{
// 注入认证处理类,处理不同用户跳转到不同的页面
@Autowired
AppAuthenticationSuccessHandler appAuthenticationSuccessHandler;
// 用户授权操作
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
// 需要过滤静态资源
.antMatchers("/login","/css/**","/js/**","/img/*").permitAll()
.antMatchers("/", "/home").hasRole("USER")
.antMatchers("/admin/**").hasAnyRole("ADMIN", "DBA")
.anyRequest().authenticated()
.and()
.formLogin().loginPage("/login").successHandler(appAuthenticationSuccessHandler)
.usernameParameter("loginName").passwordParameter("password")
.and()
.logout().permitAll()
.and()
.exceptionHandling().accessDeniedPage("/accessDenied");
}
// 用户认证操作
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
// 需要密码编码器
auth.inMemoryAuthentication().passwordEncoder(new NXPasswordEncoder()).withUser("nx").password("888888").roles("USER");
auth.inMemoryAuthentication().passwordEncoder(new NXPasswordEncoder()).withUser("admin").password("admin").roles("ADMIN","DBA");
}
}
4)创建 AppAuthenticationSuccessHandler 认证成功处理类
@Component
public class AppAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler{
// 通过 RedirectStrategy 对象负责所有重定向事务
private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
// 重写 handle 方法,通过 RedirectStrategy 对象重定向到指定的 url
@Override
protected void handle(HttpServletRequest request, HttpServletResponse response,
Authentication authentication)
throws IOException {
// 通过 determineTargetUrl 方法返回需要跳转的 url
String targetUrl = determineTargetUrl(authentication);
redirectStrategy.sendRedirect(request, response, targetUrl);
}
// 从 Authentication 对象中提取角色提取当前登录用户的角色,并根据其角色返回适当的 URL。
protected String determineTargetUrl(Authentication authentication) {
String url = "";
// 获取当前登录用户的角色权限集合
Collection authorities = authentication.getAuthorities();
List roles = new ArrayList();
for (GrantedAuthority a : authorities) {
roles.add(a.getAuthority());
}
// 判断不同角色跳转到不同的url
if (isAdmin(roles)) {
url = "/admin";
} else if (isUser(roles)) {
url = "/home";
} else {
url = "/accessDenied";
}
System.out.println("url = " + url);
return url;
}
private boolean isUser(List roles) {
if (roles.contains("ROLE_USER")) {
return true;
}
return false;
}
private boolean isAdmin(List roles) {
if (roles.contains("ROLE_ADMIN")) {
return true;
}
return false;
}
public void setRedirectStrategy(RedirectStrategy redirectStrategy) {
this.redirectStrategy = redirectStrategy;
}
protected RedirectStrategy getRedirectStrategy() {
return redirectStrategy;
}
}
5)创建 NXController 控制器
@Controller
public class NXController {
@RequestMapping("/")
public String index() {
return "index";
}
@RequestMapping(value = "/login")
public String login() {
return "login";
}
@RequestMapping("/home")
public String homePage(Model model) {
model.addAttribute("user", getUsername());
model.addAttribute("role", getAuthority());
return "home";
}
@RequestMapping(value = "/admin")
public String adminPage(Model model) {
model.addAttribute("user", getUsername());
model.addAttribute("role", getAuthority());
return "admin";
}
@RequestMapping(value = "/dba")
public String dbaPage(Model model) {
model.addAttribute("user", getUsername());
model.addAttribute("role", getAuthority());
return "dba";
}
@RequestMapping(value = "/accessDenied")
public String accessDeniedPage(Model model) {
model.addAttribute("user", getUsername());
model.addAttribute("role", getAuthority());
return "accessDenied";
}
@RequestMapping(value="/logout")
public String logoutPage (HttpServletRequest request, HttpServletResponse response) {
// Authentication是一个接口,表示用户认证信息
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
// 如果用户认知信息不为空,注销
if (auth != null){
new SecurityContextLogoutHandler().logout(request, response, auth);
}
// 重定向到login页面
return "redirect:/login?logout";
}
private String getUsername(){
// 从SecurityContex中获得Authentication对象代表当前用户的信息
String username = SecurityContextHolder.getContext().getAuthentication().getName();
System.out.println("username = " + username);
return username;
}
private String getAuthority(){
// 获得Authentication对象,表示用户认证信息。
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
List roles = new ArrayList();
for (GrantedAuthority a : authentication.getAuthorities()) {
roles.add(a.getAuthority());
}
System.out.println("role = " + roles);
return roles.toString();
}
}
最后,大家可以找一套前端页面,测试一下即可,非常简单的。
Java后端编程
更多Java推文,关注公众号
评论
文心一言 vs GPT-4 —— 全面横向比较
向AI转型的程序员都关注了这个号👇👇👇文章目录PK方法PK过程Round 1: 语义理解简单语义文言文理解孤立语理解上下文理解Round 2: 内容创作撰写邮件撰写影评撰写软文Round 3: 逻辑推理简单推理逻辑陷阱逻辑干扰多链条推理Round 4: 编码能力常见算法高级算法找bug代码理解Rou
机器学习AI算法工程
0
学一学 Spring Boot 3.x
在 Java 后端开发领域,功能强大的 Spring 开源框架不仅是首选,也是事实上的标准。但由于 Spring 存在配置烦琐、部署不易、依赖管理困难等问题,因此基于 Spring 的快速开发框架 Spring Boot 应运而生,它能大大简化 Spring 应用程序的配置和部署过程。2018 年,
小哈学Java
0
Go 1.22 的新增功能系列之二:reflect.TypeFor
Go 1.22 的第一个候选版本已经发布,这意味着最终版本即将发布,现在是我在博客中介绍我在这个周期中所做工作的时候了。像往常一样,我的贡献很小,但它们是我的,所以我将从幕后的角度来谈谈它们。首先是reflect.TypeFor。这是整个函数:// TypeFor returns the [Type
GoCN
0
有意思!一个关于 Spring 历史的在线小游戏
发现 Spring One 的官网上有个好玩的彩蛋,分享给大家!进到Spring One的官网,可以看到右下角有个类似马里奥游戏中的金币图标。点击该金币之后,会打开一个新的页面,进入下面这样一个名为:The History Of Spring 的在线小游戏你可以使用上下左右的方向键来控制Spring
公众号程序猿DD
1
Go 1.22 的新增功能系列之一:cmp.Or
截至撰写本文时,Go 1.22 已经发布几个月了。早就该结束我为 1.22 所做的工作的系列了。抱歉耽搁了这么久,我最近忙于生活事务。如果您错过了我关于reflect.TypeFor(https://blog.carlana.net/post/2024/golang-reflect-type-for
GoCN
1
全新 SOTA backbone | 2024年了,再见ViT系列Backbone,实数难得,不知道效果如何?
点击上方“小白学视觉”,选择加"星标"或“置顶”重磅干货,第一时间送达在构建用于精确匹配的深度固定长度表示时,确定指纹上的密集特征点,特别是在像素 Level 上,具有重大意义。为了探索指纹匹配的可解释性,作者提出了一种多阶段可解释的指纹匹配网络,名为通过视觉 Transformer 进行指纹匹配的
小白学视觉
10
Spring Boot + flowable 快速实现工作流
关注我们,设为星标,每天7:40不见不散,架构路上与您共享回复架构师获取资源大家好,我是你们的朋友架构君,一个会写代码吟诗的架构师。来源:blog.csdn.net/zhan107876/article/details/120815560总览一、flowable-ui部署运行二、绘制流程图绘图细节:
Java架构师社区
0
雷军回应被称爽文第一男主;Meta推出开源大模型Llama 3;特步就北京半程马拉松赛发布致歉声明
雷军:没模仿马斯克、乔布斯,卡里也没有冰冷的40亿,SU7正式版本开始交付4月18日,小米集团CEO雷军开播,与网友畅谈SU7开售这20天并带领大家参观小米交付中心。在直播中雷军称:”很多人都催我们快一点交付啊,雷总你能不能去工厂打螺丝啊。今天我们这个工厂是现代化工厂啊,主要的工艺都是全自动化生产的
亿欧网
0