Springboot-SpringSecurity知识点

Spring Security两个主要目标：认证（Authentication）、授权（Authorization）

1.导入依赖

   org.springframework.boot
   spring-boot-starter-security

2.配置一个Security的配置类

@EnableWebSecurity//开启security模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   //链式编程
    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/").permitAll()//权限请求，首页都可以允许访问
                .antMatchers("/leven1/**").hasRole("vip1");//用户角色为vip1才允许访问
        //读源码发现，登录默认登录页面/login，认证失败走login?error
        //自己的页面代替SpringSecurity的login页面， .loginPage("/tologin")
        //                     跳转真实的页面加上  .loginProcessingUrl("/login")
        http.formLogin().loginPage("/tologin");

        //开启注销功能，并跳到主页
        http.logout().logoutSuccessUrl("/");
        http.csrf().disable();//关闭csrf功能：跨站请求伪造,默认只能通过post方式提交logout请求  登出失败的原因
        http.rememberMe().rememberMeParameter("remember");//记住我功能， .rememberMeParameter("remember")自定义标签

    }
    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       //在内存中读，也可以在数据库中读
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())//加密方式
                .withUser("aa").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2")
                .and()
                .withUser("ww").password(new BCryptPasswordEncoder().encode("456")).roles("vip4");
    }
}

一般在thymeleaf中搭配：

1.引入启动类

 
        
            org.thymeleaf.extras
            thymeleaf-extras-springsecurity5
            3.0.4.RELEASE
        

2.常用标签

 


  
当前用户没有被认证/认证失败
  
当前用户认证成功
  
当前用户有vip1的权限的情况下