2. 程式人生 > >Spring Boot中使用Spring Security進行安全控制

Spring Boot中使用Spring Security進行安全控制

阿新 發佈:2018-12-19

一 點睛

我們在編寫Web應用時,經常需要對頁面做一些安全控制,比如:對於沒有訪問許可權的使用者需要轉到登入表單頁面。要實現訪問控制的方法多種多樣,可以通過Aop、攔截器實現,也可以通過框架實現(如:Apache Shiro、Spring Security)。

本篇將具體介紹在Spring Boot中如何使用Spring Security進行安全控制。

二 實戰

1 引入相關依賴

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <!--引入security-->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
</dependencies>

2 新建控制器

package com.didispace.web;

import org.springframework.stereotype.Controller;
import org.springframework.ui.ModelMap;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;


@Controller
public class HelloController {

    @RequestMapping("/")
    public String index() {
        return "index";
    }

    @RequestMapping("/hello")
    public String hello() {
        return "hello";
    }

    @RequestMapping(value = "/login", method = RequestMethod.GET)
    public String login() {
        return "login";
    }

}

3 安全配置

package com.didispace;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
//通過@EnableWebSecurity註解開啟Spring Security的功能
@EnableWebSecurity
//必須繼承WebSecurityConfigurerAdapter
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    //重寫該方法來設定一些web安全的細節
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()    //通過authorizeRequests()定義哪些URL需要被保護、哪些不需要被保護。
                .antMatchers("/", "/home").permitAll()  //  /和/home不需要任何認證就可以訪問。
                .anyRequest().authenticated()  //其他的路徑都必須通過身份驗證
                .and()
            .formLogin()   //當需要使用者登入時候
                .loginPage("/login")   //轉到的登入頁面
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()   //在記憶體中建立了一個使用者,該使用者的名稱為user,密碼為password,使用者角色為USER。
                .withUser("user").password("password").roles("USER");
    }

}

4 啟動類

package com.didispace;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class Application {

    public static void main(String[] args) {

        SpringApplication.run(Application.class, args);

    }

}

5 hello.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
    <title>Hello World!</title>
</head>
<body>
<h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
<form th:action="@{/logout}" method="post">
    <input type="submit" value="登出"/>
</form>
</body>
</html>

6 index.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
    <title>Spring Security入門</title>
</head>
<body>
<h1>歡迎使用Spring Security!</h1>

<p>點選 <a th:href="@{/hello}">這裡</a> 打個招呼吧</p>
</body>
</html>

7 login.html

<!--
Spring Security提供了一個過濾器來攔截請求並驗證使用者身份。
如果使用者身份認證失敗,頁面就重定向到/login?error,並且頁面中會展現相應的錯誤資訊。
若使用者想要登出登入,可以通過訪問/login?logout請求,在完成登出之後,頁面展現相應的成功訊息。
-->
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
    <title>Spring Security Example </title>
</head>
<body>
<div th:if="${param.error}">
    使用者名稱或密碼錯
</div>
<div th:if="${param.logout}">
    您已登出成功
</div>
<form th:action="@{/login}" method="post">
    <div><label> 使用者名稱 : <input type="text" name="username"/> </label></div>
    <div><label> 密 碼 : <input type="password" name="password"/> </label></div>
    <div><input type="submit" value="登入"/></div>
</form>
</body>
</html>

三 測試

1 啟動應用程式

3 點選頁面中的“這裡”連結,彈出下面頁面

5 輸入一個錯誤的認證資訊,然後點選登入,彈出如下頁面

6 輸入正確的認證資訊,彈出如下頁面

8 點選登出,彈出頁面如下

相關推薦

企業分布式微服務雲SpringCloud SpringBoot mybatis (六)Spring Boot使用Spring Security進行安全控制

spring ron public 控制 應用 app ebs cloud 來源 準備工作 首先,構建一個簡單的Web工程,以用於後續添加安全控制,也可以用之前Chapter3-1-2做為基礎工程。若對如何使用Spring Boot構建Web應用,可以先閱讀《Spring

Spring Boot使用Spring Security進行安全控制

一 點睛 我們在編寫Web應用時,經常需要對頁面做一些安全控制,比如:對於沒有訪問許可權的使用者需要轉到登入表單頁面。要實現訪問控制的方法多種多樣,可以通過Aop、攔截器實現,也可以通過框架實現(如:Apache Shiro、Spring Security)。 本篇將具體

SpringBoot使用spring security進行安全控制

一、引入 在SpringBoot中引入SpringSecurity <!--spring boot security引入--> <dependency> <groupId>org.springframewo

Spring Boot如何使用Spring Security進行安全控制

包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-sta

《SpringBoot從入門到放棄》之第(六)篇——Spring Security進行安全控制

一個好的系統,幾乎都離不開許可權控制。要實現訪問許可權控制的方式有多種多樣,可以通過AOP、攔截器實現,也可以使用Shiro框架。現在研究使用Spring Security。 O的K,先建立一個無需許可權的Web小例子。(本篇部落格接著之前寫的系列,已忽略環境配置,如pom.xml 的依賴等

Spring Boot對log4j進行多環境不同日誌級別的控制

之前介紹了在《Spring boot中使用log4j記錄日誌》,僅通過log4j.properties對日誌級別進行控制,對於需要多環境部署的環境不是很方便,可能我們在開發環境大部分模組需要採用DEBUG級別,在測試環境可能需要小部分採用DEBUG級別,而在生產環境時我們又希望採用INFO級別。這個時候

spring bootspring security實現單點登入,傳統模式(一)

單點登入是什麼? 一個系統中可能會引用別的很多系統。單點登入就是解決,一次登入,就可以訪問所有的系統。 每次瀏覽器向一個域名傳送http請求,會去查詢域名的cookie資訊拼接到http的header中傳送到伺服器。 cookie不能跨域。這個域是瀏覽器請求的域名,哪怕他們都是訪問一

spring boot spring security使用資料庫儲存許可權

WebSecurityConfig package com.maven; import javax.sql.DataSource; import org.springframework.beans.factory.annotation.Autowire

spring boot Spring data jpa數據庫表字段命名策略

_id -s ber data 駝峰命名 org body strategy 命名 spring boot 中Spring data jpa命名策略 數據庫,表字段命名是駝峰命名法(UserID),Spring data jpa 自動更新之後是 user_id, 表字段不對

spring-bootspring.jackson.date-format失效及解決辦法

spring-boot 版本 <parent> <groupId>org.sp

Spring Boot使用Spring Security實現權限控制

unicode then add sta spa 攔截器 nco throw views Spring Boot框架我們前面已經介紹了很多了,相信看了前面的博客的小夥伴對Spring Boot應該有一個大致的了解了吧,如果有小夥伴對Spring Boot尚不熟悉

spring bootsecurity安全退出如何跳轉指定頁面,iframe與安全器相容性問題

分享一下這這次專案中自己學到的一些東西(還沒學完,技術很菜,寫的有問題希望大家指出來,希望大家可以一起學習,一起努力)       在WebSecurityConfig中配置:        http.log

Spring Boot使用Spring Security實現許可權控制

Spring Boot框架我們前面已經介紹了很多了,相信看了前面的部落格的小夥伴對Spring Boot應該有一個大致的瞭解了吧,如果有小夥伴對Spring Boot尚不熟悉,可以先移步這裡從SpringMVC到Spring Boot,老司機請略過。OK,那我們

spring boot系列--spring security (基於數據庫)登錄和權限控制

and check ember pos 函數 gem int ida 是否 先說一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecur

spring bootmybatis使用註解進行模糊查詢

cat 遇到 google 使用註解 ring list bat prop ber 小白一枚,spring boot 2.0.5在使用mybatis進行註解模糊查詢時遇到一些低級的錯誤,現記錄下來錯誤示例:“select * from user where name lik

Spring Boot使用使用Spring Security和JWT

 目標 1.Token鑑權 2.Restful API 3.Spring Security+JWT 開始 自行新建Spring Boot工程 引入相關依賴 <dependency> <groupId>org.springfr

Spring Boot利用遞迴演算法查詢到所有下級使用者,並手動進行分頁

Spring Boot中利用遞迴演算法查詢到所有下級使用者,並手動進行分頁 前提:語言用的是kotlin(和Java一樣,但更簡潔),寫下這篇文章用來記錄程式設計過程中遇到的一些難點 1、功能需求 前端使用者A點選“我的推薦”後,呼叫後臺的介面,查詢到所有的下家(不僅包括直接下家) 如圖所示,當前使

Spring Boot整合Spring Security並自定義驗證程式碼

最終效果 1、實現頁面訪問許可權限制 2、使用者角色區分,並按照角色區分頁面許可權 3、實現在資料庫中儲存使用者資訊以及角色資訊 4、自定義驗證程式碼 效果如下: 1、免驗證頁面 2、登陸頁面 在使用者未登入時,訪問任意有

Spring Boot使用Spring Security自定義驗證

因為網上關於這個springboot+security自定義驗證有好多寫的有點雜亂,在仿寫的過程中總是出現莫名其妙的bug,所以專門寫一篇最基礎的出來。 本篇還是使用熟悉的springboot+mybatis+thymeleaf來搭最基礎的架構,當然不用資

Spring boot 整合Spring Security過程的出現的關於Session scope的異常排查及解決方案

背景介紹 最近做的一個專案,其一需要用到Spring 的oauth認證功能, 其二需要對spring 的ContextRefreshedEvent 這個事件進行監聽,實現一部分自定義註解的功能(具體功能不作贅述),本來以為毫不相關的兩個功能,卻出現了一些意料之