## SpringBoot整合springSecurity初体验##
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录 (2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。
通俗的理解::
其实springSecurity就是用来进行角色权限管理的,就好比买家和卖家,买家的账号只能进行简单的购物之类的,不能进入管理员的后台,这就牵扯到了权限管理
1.1在我看来用springboot来实现springSecurity是真的简单,我虽然没有用过ssm框架来实现springSecurity,但用ssm肯定麻烦,因为会有很多配置文件等你去配置,但是springboot不同,它这个框架给你整合了好多ssm的东西,你不用再花很多时间去配置一些其他的东西。
引入springSecurity的第一步肯定是引入相关的依赖了:
org.springframework.boot spring-boot-starter-security
1.2:
接下来就是写配置类了:
首先写一个配置类来继承WebSecurityConfigurerAdapter:这个类在我看来就是实现对用户提供安全校验的
里边有两个重要的方法:
1. protected void configure(HttpSecurity http) throws Exception :这个就是在里边可以自定义登录界面,表单提交地址,验证成功后跳转的链接,哪一些地址可以不用进行认证等等具体代码参考;
//自定义403界面
http.exceptionHandling().accessDeniedPage("/Default.html");
http.formLogin()
.loginPage("/login")//自定义登录界面
.loginProcessingUrl("/user/login")//表单提交地址
.defaultSuccessUrl("/success")//登录成功后跳转的链接
.and().authorizeRequests()
.antMatchers("/user/login","/login").permitAll()//哪些地址是可以不用认证,一定要放行自定义登录的链接
.anyRequest().authenticated()//authenticated() 允许认证的用户进行访问
.and().rememberMe().tokenRepository(persistentTokenRepository())//操作数据库的对象
.tokenValiditySeconds(120)//以秒为单位,设置记住我的有效时间
.userDetailsService(userDetailService)
.and().csrf().disable();//关闭csrf防护
- protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailService).passwordEncoder(password1());
} :这个呢通俗来讲就是用于验证用户名密码是否正确。
.userDetailsService(userDetailService):这里边传入一个userDetailService,
userDetailService是一个类,它就是实现了一个接口叫:UserDetailsService,这个接口就是对用户信息进行验证的,举例:
@Autowired
UserMapper userMapper;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User login = userMapper.login(username);
if(login==null){
throw new UsernameNotFoundException("用户名和密码不正确");
}
//设置用户权限对应的角色
List authorities = AuthorityUtils.commaSeparatedStringToAuthorityList(login.getRole());
return new org.springframework.security.core.userdetails.User(login.getUsername(),new BCryptPasswordEncoder().encode(login.getPassword()),authorities);
里边写的注释也能理解。
configure(AuthenticationManagerBuilder auth) 代码:
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailService).passwordEncoder(password1());
}
@Bean
PasswordEncoder password1(){
return new BCryptPasswordEncoder();
}
}
最后就是调用数据库进行密码校验了,
还有一个注解就是 @Secured("ROLE_admin")
@Secured("ROLE_admin")
@ResponseBody
@RequestMapping("/test")
public String test(){
return "Security";
}
通过代码可以知道,就是要想访问/test的链接,用户就必须要有admin的角色才可以。
暂时就介绍到这里
