SpringBoot SpringSecurity 介紹（基於記憶體的驗證）

-Advertisement-

SpringBoot 集成 SpringSecurity + MySQL + JWT 附源碼，廢話不多直接盤 SpringBoot已經為用戶採用預設配置，只需要引入pom依賴就能快速啟動Spring Security。目的：驗證請求用戶的身份，提供安全訪問優勢：基於Spring，配置方便，減少大 ...

SpringBoot 集成 SpringSecurity + MySQL + JWT 附源碼，廢話不多直接盤
SpringBoot已經為用戶採用預設配置，只需要引入pom依賴就能快速啟動Spring Security。
目的：驗證請求用戶的身份，提供安全訪問
優勢：基於Spring，配置方便，減少大量代碼

內置訪問控制方法

permitAll() 表示所匹配的 URL 任何人都允許訪問。
authenticated() 表示所匹配的 URL 都需要被認證才能訪問。
anonymous() 表示可以匿名訪問匹配的 URL 。和 permitAll() 效果類似，只是設置為 anonymous() 的 url 會執行 filter 鏈中
denyAll() 表示所匹配的 URL 都不允許被訪問。
rememberMe() 被“remember me”的用戶允許訪問這個有點類似於很多網站的十天內免登錄，登陸一次即可記住你，然後未來一段時間不用登錄。
fullyAuthenticated() 如果用戶不是被 remember me 的，才可以訪問。也就是必須一步一步按部就班的登錄才行。

角色許可權判斷

hasAuthority(String) 判斷用戶是否具有特定的許可權，用戶的許可權是在自定義登錄邏輯
hasAnyAuthority(String ...) 如果用戶具備給定許可權中某一個，就允許訪問
hasRole(String) 如果用戶具備給定角色就允許訪問。否則出現 403
hasAnyRole(String ...) 如果用戶具備給定角色的任意一個，就允許被訪問
hasIpAddress(String) 如果請求是指定的 IP 就運行訪問。可以通過 request.getRemoteAddr() 獲取 ip 地址

引用 Spring Security

Pom 文件中添加

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

點擊查看POM代碼

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>vipsoft-parent</artifactId>
        <groupId>com.vipsoft.boot</groupId>
        <version>1.0-SNAPSHOT</version>
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <artifactId>vipsoft-security</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>
  
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.3.7</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

運行後會自動生成 password 預設用戶名為： user

預設配置每次都啟動項目都會重新生成密碼，同時用戶名和攔截請求也不能自定義，在實際應用中往往需要自定義配置，因此接下來對Spring Security進行自定義配置。

配置 Spring Security (入門)

在記憶體中（簡化環節，瞭解邏輯）配置兩個用戶角色（admin和user），設置不同密碼；
同時設置角色訪問許可權，其中admin可以訪問所有路徑（即/*），user只能訪問/user下的所有路徑。

自定義配置類，實現WebSecurityConfigurerAdapter介面，WebSecurityConfigurerAdapter介面中有兩個用到的 configure()方法，其中一個配置用戶身份，另一個配置用戶許可權：

配置用戶身份的configure()方法：

SecurityConfig

package com.vipsoft.web.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 配置用戶身份的configure()方法
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        //簡化操作，將用戶名和密碼存在記憶體中，後期會存放在資料庫、Redis中
        auth.inMemoryAuthentication()
                .passwordEncoder(passwordEncoder)
                .withUser("admin")
                .password(passwordEncoder.encode("888"))
                .roles("ADMIN")
                .and()
                .withUser("user")
                .password(passwordEncoder.encode("666"))
                .roles("USER");
    }

    /**
     * 配置用戶許可權的configure()方法
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //配置攔截的路徑、配置哪類角色可以訪問該路徑
                .antMatchers("/user").hasAnyRole("USER")
                .antMatchers("/*").hasAnyRole("ADMIN")
                //配置登錄界面，可以添加自定義界面， 沒添加則用系統預設的界面
                .and().formLogin();

    }
}

添加介面測試用


package com.vipsoft.web.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class DefaultController {

    @GetMapping("/")
    @PreAuthorize("hasRole('ADMIN')")
    public String demo() {
        return "Welcome";
    }

    @GetMapping("/user/list")
    @PreAuthorize("hasAnyRole('ADMIN','USER')")
    public String getUserList() {
        return "User List";
    }

    @GetMapping("/article/list")
    @PreAuthorize("hasRole('ADMIN')")
    public String getArticleList() {
        return "Article List";
    }
}

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

luogu_P1040 [NOIP2003 提高組] 加分二叉樹

P1040 [NOIP2003 提高組] 加分二叉樹 - 洛谷 | 電腦科學教育新生態 (luogu.com.cn) 題意：給你一顆中序遍歷為1到n的二叉樹，和每個節點的val。樹的值=左子樹的值×右子樹的值+根的val，空樹值為1，求整個樹最大值和這個值樹的前序遍歷。題解：區間dp。dp[l] ...
MySQL用的在溜，不知道業務如何設計也白搭！！！

MySQL業務設計作者: 博學谷狂野架構師 GitHub：GitHub地址（有我精心準備的130本電子書PDF）只分享乾貨、不吹水，讓我們一起加油！😄 邏輯設計範式設計範式概述 **第一範式：**當關係模式R的所有屬性都不能在分解為更基本的數據單位時，稱R是滿足第一範式的，簡記為1NF。 ...
用C++編寫一個簡單的發佈者和訂閱者

摘要：節點（Node）是通過 ROS 圖進行通信的可執行進程。本文分享自華為雲社區《編寫一個簡單的發佈者和訂閱者》，作者： MAVER1CK 。 @[toc] 參考官方文檔：Writing a simple publisher and subscriber (C++) 背景節點（Node）是通過 ...
go slice使用

1. 簡介在go中，slice是一種動態數組類型，其底層實現中使用了數組。slice有以下特點： *slice本身並不是數組，它只是一個引用類型，包含了一個指向底層數組的指針，以及長度和容量。 *slice的長度可以動態擴展或縮減，通過append和copy操作可以增加或刪除slice中的元素。 ...
Java的初始化塊

三種初始化數據域的方法：在構造器中設置值在聲明中賦值初始化塊（initialization block）初始化塊在一個類的聲明中，可以包含多個代碼塊。只要構造類的對象，這些塊就會被執行。 class Employee { private static int nextId; private ...
從原理聊JVM（三）：詳解現代垃圾回收器Shenandoah和ZGC

現代的垃圾回收器為了低停頓的目標可謂將“併發”二字玩到極致，Shenandoah在G1基礎上做了非常多的優化來使回收階段並行，而ZGC直接採用了染色指針、NUMA等黑科技，目的都是為了讓Java開發者可以更多的將精力放在如何使用對象讓程式更好的運行，剩下的一切交給GC，我們所做的只需享受現代化GC技... ...
Word教程_編程入門自學教程_菜鳥教程-免費教程分享

教程簡介 Word 2010入門教程 - 從簡單的步驟入門Microsoft Office 2010，從基本到高級概念，包括探索視窗，後臺視圖，輸入文本，移動，打開，關閉文檔，上下文幫助，插入，選擇，刪除，移動測試，複製和粘貼，查找和替換，拼寫檢查，特殊符號，撤消更改，設置文本字體，文本修飾，更改測 ...
WPF教程_編程入門自學教程_菜鳥教程-免費教程分享

教程簡介 WPF（Windows Presentation Foundation）是微軟推出的基於Windows 的用戶界面框架，屬於.NET Framework的一部分。它提供了統一的編程模型、語言和框架，真正做到了分離界面設計人員與開發人員的工作；同時它提供了全新的多媒體交互用戶圖形界面。 WP ...