• UID20909
  • 登录2018-02-12
  • 粉丝1
  • 关注0
  • 发帖63
  • 主页
  • 金币191枚
qq_FesfJyH15113 发布于2018-02-09 11:28
0/38

企业分布式微服务云SpringCloud SpringBoot mybatis (六)Spring Boot中使用Spring Security进行安全控制

楼层直达



准备工作


首先,构建一个简单的Web工程,以用于后续添加安全控制,也可以用之前Chapter3-1-2做为基础工程。若对如何使用Spring Boot构建Web应用,可以先阅读《Spring Boot开发Web应用》一文。

Web层实现请求映射
@Controller
public class HelloController {
 
    @RequestMapping("/")
    public String index() {
        return "index";
    }
 
    @RequestMapping("/hello")
    public String hello() {
        return "hello";
    }
 
}


  • /:映射到index.html
  • /hello:映射到hello.html


实现映射的页面

  • src/main/resources/templates/index.html
    <!DOCTYPE html>
    <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
        <head>
            <title>Spring Security入门</title>
        </head>
        <body>
            <h1>欢迎使用Spring Security!</h1>
            <p>点击 <a th:href="@{/hello}">这里</a> 打个招呼吧</p>
        </body>
    </html>

     
  • src/main/resources/templates/hello.html
    <!DOCTYPE html>
    <html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
          xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
        <head>
            <title>Hello World!</title>
        </head>
        <body>
            <h1>Hello world!</h1>
        </body>
    </html>

    可以看到在index.html中提供到/hello的链接,显然在这里没有任何安全控制,所以点击链接后就可以直接跳转到hello.html页面。

    整合Spring Security


    在这一节,我们将对/hello页面进行权限控制,必须是授权用户才能访问。当没有权限的用户访问后,跳转到登录页面。

    添加依赖


    在pom.xml中添加如下配置,引入对Spring Security的依赖。
    <dependencies>
        ...
            <dependency>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-security</artifactId>
            </dependency>
        ...
    </dependencies>


    Spring Security配置


    创建Spring Security的配置类WebSecurityConfig,具体如下:
    @Configuration
    @EnableWebSecurity
    public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
     
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                .authorizeRequests()
                    .antMatchers("/", "/home").permitAll()
                    .anyRequest().authenticated()
                    .and()
                .formLogin()
                    .loginPage("/login")
                    .permitAll()
                    .and()
                .logout()
                    .permitAll();
        }
     
        @Autowired
        public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
            auth
                .inMemoryAuthentication()
                    .withUser("user").password("password").roles("USER");
        }
     
    }

     
  • 通过@EnableWebSecurity注解开启Spring Security的功能
  • 继承WebSecurityConfigurerAdapter,并重写它的方法来设置一些web安全的细节
  • configure(HttpSecurity http)方法通过authorizeRequests()定义哪些URL需要被保护、哪些不需要被保护。例如以上代码指定了/和/home不需要任何认证就可以访问,其他的路径都必须通过身份验证。
  • 通过formLogin()定义当需要用户登录时候,转到的登录页面。
configureGlobal(AuthenticationManagerBuilder auth)方法,在内存中创建了一个用户,该用户的名称为user,密码为password,用户角色为USER。

新增登录请求与页面


在完成了Spring Security配置之后,我们还缺少登录的相关内容。
HelloController中新增/login请求映射至login.html
@Controller
public class HelloController {
 
    // 省略之前的内容...
 
    @RequestMapping("/login")
    public String login() {
        return "login";
    }
 
}

新增登录页面:src/main/resources/templates/login.html
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Spring Security Example </title>
    </head>
    <body>
        <div th:if="${param.error}">
            用户名或密码错
        </div>
        <div th:if="${param.logout}">
            您已注销成功
        </div>
        <form th:action="@{/login}" method="post">
            <div><label> 用户名 : <input type="text" name="username"/> </label></div>
            <div><label> 密  码 : <input type="password" name="password"/> </label></div>
            <div><input type="submit" value="登录"/></div>
        </form>
    </body>
</html>

可以看到,实现了一个简单的通过用户名和密码提交到/login的登录方式。
根据配置,Spring Security提供了一个过滤器来拦截请求并验证用户身份。如果用户身份认证失败,页面就重定向到/login?error,并且页面中会展现相应的错误信息。若用户想要注销登录,可以通过访问/login?logout请求,在完成注销之后,页面展现相应的成功消息。
到这里,我们启用应用,并访问http://localhost:8080/,可以正常访问。但是访问http://localhost:8080/hello的时候被重定向到了http://localhost:8080/login页面,因为没有登录,用户没有访问权限,通过输入用户名user和密码password进行登录后,跳转到了Hello World页面,再也通过访问http://localhost:8080/login?logout,就可以完成注销操作。
为了让整个过程更完成,我们可以修改hello.html,让它输出一些内容,并提供“注销”的链接。
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
        <form th:action="@{/logout}" method="post">
            <input type="submit" value="注销"/>
        </form>
    </body>
</html>

源码来源
本文通过一个最简单的示例完成了对Web应用的安全控制,Spring Security提供的功能还远不止于此,更多Spring Security的使用可参见Spring Security Reference


0人打赏
您需要登录后才可以回帖
发表回复
极贡献
技术问答
专题荟萃
程序人生
视觉设计
Android开发
iOS开发
编程语言
前端开发
后端开发
服务器架构
软件测试
运维方案
创业路上



最热文章墙

  • 84644/384   【精品推荐】200多种Android动画效果的强悍框架,太全了,不看这个,再有动画的问题,不理你了^@^

  • 48394/191   情人节福利,程序员表白的正确姿势:改几行代码就变成自己的表白了

  • 46909/0   Python爬虫:常用浏览器的useragent

  • 44075/261   【精品推荐】Android版产品级的音乐播放器源码,功能太强大了,最好的产品原型有木有?

  • 40463/145   省时省力的Android组件群来了,非常棒的原型参考

  • 32138/143   2016抢红包软件及源码

  • 30466/71   原创表白APP,以程序员的姿势备战新年后的7夕,持续完善中!

  • 29809/2   超全!整理常用的iOS第三方资源

  • 26210/161   Android版类似UC浏览器:非常赞,产品级的源码

  • 23613/31   麻省理工的一帮疯子,真的实现了随意操控万物!(绝对黑科技)

  • 23370/27   2016程序员跳槽全攻略

  • 23346/26   Android工程师面试题大全

  • 22466/10   GitHub上排名前50的iOS项目:总有一款你用得着

  • 21581/21   码魂:程序员的牛B漫画

  • 20244/74   【持续更新中】Android福利贴(二):资料源码大放送

  • 20018/85   Android小而全的博客源码:非常适合全面掌握开发技巧

  • 19890/43   一个绚丽的loading动效分析与实现!

  • 19430/10   2016年最全的Android面试考题+答案 精编版

  • 19328/3   吐槽那些程序员的搞笑牛逼注释

  • 18859/104   Android带弹幕的视频播放器源码,来自大名鼎鼎的Bilibili弹幕网站

  • 18599/45   惊艳的App引导页:背景图片切换加各个页面动画效果

  • 18562/82   仿京东商城客户端Android最新版,不错的原型和学习资料

  • 18115/1   iOS 动画总结

  • 17999/25   个人收集的Android 各类功能源代码

  • 17765/23   Android福利第三波【Android电子书】

  • 17589/81   【精品推荐】类似360安全卫士安Android源码:非常赞的产品原型

  • 17480/5   新一代Android渠道打包工具:1000个渠道包只需要5秒

  • 17456/1   iOS中文版资源库,非常全

  • 17331/54   基于瀑布流的美女图片浏览App,有注释的源代码

  • 17039/18   用JavaScript 来开发iOS和Android 原生应用:React Native开源框架中文版来啦

  • 16830/10   女程序员的梦,众网友的神回复

  • 16797/23   珍藏多年的素材,灵感搜寻网站

  • 16669/19   65条最常用正则表达式,你要的都在这里了

  • 16659/11   年会上现场review代码是怎么样的体验!

  • 15383/16   基于Android支付宝支付设计和开发方案

  • 15033/18   什么是真正的黑客:收获12200+Stars,人气远超微软开源VS

  • 14903/11   有木有这样一张酷图帮你集齐所有git命令超实用

  • 14871/62   【技巧一】搭配Android Studio,如何实现App远程真机debug?

  • 14817/4   46 个非常有用的 PHP 代码片段

  • 14789/47   在线音乐播放器完整版(商用级的源码):非常赞,可听免费高品质专辑

  • 14187/0   GitHub iOS 库和框架Top100 

  • 14024/7   用程序员的姿势抢过年的火车票

  • 13987/7   一张图搞定iOS学习路线,非常全面

  • 13625/10   成为Java顶尖程序员 ,看这11本书就够了

  • 13593/10   微信支付终于成功了(安卓,iOS),在此分享

  • 13497/18   一张图搞定Android学习路线,非常全面

  • 13439/29   【持续更新中】Android福利贴(一):资料源码

  • 13259/4   基于Node.js的强大爬虫,能直接发布抓取的文章哦

  • 12508/3   即时通信第三方库

  • 12408/1   基于node-webkit跨平台应用案例集之(一)

  • 11988/9   流媒体视频直播方案

  • 11980/18   八个最优秀的Android Studio插件

  • 11746/9   B站建开源工作组:APP想支持炫酷弹幕的看过来

  • 11724/2   【精品推荐】高质量PHP代码的50个实用技巧:非常值得收藏

  • 11457/9   烧了5亿美金,这家神秘的公司即将颠覆人类未来!

  • 11421/12   中国黑客的隐秘江湖:攻守对立,顶尖高手月入千万美元

  • 10841/0   过上惬意生活的精华资源:创业、工作、生活成长

  • 10673/6   开箱即用!Android四款系统架构工具

  • 10570/2   Android性能优化视频,文档以及工具

  • 10468/4   10款GitHub上最火爆的国产开源项目——可以媲美西半球

  • 返回顶部