当你看到这篇文章时,我猜你肯定是碰到令人苦恼的问题了,我希望本文能让你有所收获。

本人几个月前还是 Spring 小白,几个月走来,看了 Spring,Spring boot,到这次的 Spring Security。

为了避免大家踩坑,本人将入门的经验传授给那些和我一样正在学习 Spring Security 的小白。

我们从官方例子学习起:

1、我们先来创建一个 Spring Boot 的项目 HelloWorld:

  我用的开发工具是 eclipse,如果没装 STS 的话,请点击 Help -> Eclipse MarketPlace...

  

2、点击 File -> New -> Spring Starter Project。

  然后我们根据需要进行选择,如图所示:

        

3、项目创建好后的目录如图所示:

  

4、接下来我们新建一个包,取名为 security.config,再在包下建一个类并使其继承 WebSecurityConfigurerAdapter。

5、这样就已经可以生成 jar 啦,我们右键项目 Run as -> Maven Build...  然后 Debug,就会在 target 目录下生成 jar 。

6、右键生成的 jar,点击属性后会看到它的文件位置,我们在控制台运行它:

  java -jar C:\Users\Anonymous\eclipse-workspace\HelloWorld\target\HelloWorld-0.0.1-SNAPSHOT.jar

  再在浏览器输入 http://localhost:8080/ 就会出现一个登录页面。

  用户名为 user,密码在控制台可找到: Using generated security password: 254f14b9-a3e4-4dd5-9888-4c46b0c27e3f

  输入进去就会出现如下图片:

  

7、让我们从头回顾一下,我们干了啥!我们仅仅在 security 包下创建了一个 config 子包。

   然后在该子包里创建了一个类并让它继承 WebSecurityConfigurerAdapter 类,并在类上加了一个注解 @EnableWebSecurity。

   我们打开 HelloWorldApplication 类,可以看到 main() 函数里只一行代码:

   SpringApplication.run(HelloWorldApplication.class, args);  其实这一行代码的作用总的来说是加载整个项目的意思。

   在这个类上方有个 @SpringBootApplication 注解,我们将鼠标放在上面可以看到该注解是由一系列注解组成的。

   我们可以把这个类比作一个树的根,所有其他的配置都需要以它为基础而展开,所以项目其他的包应该都是它的子包。

8、我们再看看自己创建的类 WebSecurityConfig,这个类的 @EnableWebSecurity 注解会启用 Web 安全功能。

   但是它本身并没有什么用处,Spring Security 必须配置在一个实现了 WebSecurityConfigurer 的 bean 中,

   或者(简单起见)扩展 WebSecurityConfigurerAdapter。

9、好啦,最基础的就是这些啦,让我们来实现一下让它打印 HelloWorld!

   在配置类中我们写上如下代码:

package security.config;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // TODO Auto-generated method stub

        http.authorizeRequests()

        .antMatchers("/login").permitAll()

        .anyRequest().authenticated()

        .and()

        .formLogin().defaultSuccessUrl("/hello");

    }

}

10、再在控制器类中写上如下代码:

package security.controller;

import org.springframework.web.bind.annotation.GetMapping;

import org.springframework.web.bind.annotation.RestController;

@RestController

public class HelloController {

    @GetMapping("/hello")

    public String hello() {

        return "Hello World";

    }

}

11、好啦,大功告成,代码已经可以运行啦。现在我们来了解一下它们。

  在 WebSecurityConfig 类中我们重写了 configure(HttpSecurity http) 方法,这个方法是完成用户授权的。

  还有另外一个 configure(AuthenticationManagerBuilder auth) 方法,这个方法是完成用户认证的。

  暂时我们只了解第一个,第二个我们在(二) 中了解。

  以下内容摘自 《Spring Boot2 企业应用实战》:HttpSecurity 的 authorizeRequests() 方法有多个子节点。

  其中每个 matcher 按照它们的声明顺序执行,指定用户可以访问的多个 URL 模式。

  Ⅰ、antMatchers 使用 Ant 风格匹配路径。

  Ⅱ、regexMatchers 使用正则表达式匹配路径。

  在匹配了请求路径后,可以针对当前用户的信息对请求路径进行安全处理。

方法 用途
anyRequest 匹配所有请求路径
access(String) Spring EL 表达式结果为 true 时可以访问
anonymous() 匿名可以访问
denyAll() 用户不能访问
fullyAuthenticated() 用户完全认证可以访问(非 remember-me 下自动登录)
hasAnyAuthority(String...) 如果有参数,参数表示权限,则其中任何一个权限可以访问
hasAnyRole(String...) 如果有参数,参数表示角色,则其中任何一个角色可以访问
hasAuthority(String...) 如果有参数,参数表示权限,则其权限可以访问
hasIpAdress(String...) 如果有参数,参数表示 IP 地址,如果用户 IP 和参数匹配,则可以访问
hasRole(String...) 如果有参数,参数表示角色,则其角色可以访问
permitAll() 用户可以任意访问
rememberMe() 允许通过 remember-me 登录的用户访问
authenticated() 用户登录后可访问

12、现在我们读一下代码的意思:授权请求的路径为 "/login" 时,用户可以任意访问。

  其他匹配所有请求的路径都需要授权才能访问。.and() 是再从 http 参数开始。

  举个例子:.and().formLogin() 相当于 http.formLogin()。

  formLogin():开始设置登录操作。defaultSuccessUrl("/hello"): 指定登录成功后转向的页面。

  另外还有其他的方法,我们在(二)再了解。控制类中的代码是常见的代码,就不说了。

13、代码写完了,我们在控制台运行一下,再在浏览器输入:http://localhost:8080/login:

  登录后,就可以看到 Hello World!

14、运行结果如上图所示,市面上有些书说输入 http://localhost:8080/ 就会自动跳转的 login 页面。

  这的确没错,但是当我们输入用户名密码后,会进入到 error 页面。这是为什么呢?

  这是因为 "/" (空)请求需要用户认证,而又没有设置 "/" (空)请求可以任意访问,所以跳转到 login 页面进行认证。

  认证成功后,控制类中并没有对 "/" 空请求的处理。所以这将导致出现错误页面。

  注意这是一个大坑,坑了我好几天了。

15、最后,上面的例子仅仅是一个简单的入门例子,我们更常用的是自定义登录页面,并且用户名和密码都是从数据库读取来认证的。

  这一部分内容将在(二)中讲解。

16、如果这篇文章帮助了你,请给我点个赞哦!方便的话关注一下哒!

Spring Security 入门(一)的更多相关文章

  1. SpringBoot集成Spring Security入门体验

    一.前言 Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权. 二者区别 Spring Security:重量级安全框架 Apache S ...

  2. Spring Security 入门(基本使用)

    Spring Security 入门(基本使用) 这几天看了下b站关于 spring security 的学习视频,不得不说 spring security 有点复杂,脑袋有点懵懵的,在此整理下学习内 ...

  3. Spring Security 入门(1-1)Spring Security是什么?

    1.Spring Security是什么? Spring Security 是一个安全框架,前身是 Acegi Security , 能够为 Spring企业应用系统提供声明式的安全访问控制. Spr ...

  4. Spring Security 入门

    一.Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配 ...

  5. Spring Security 入门 (二)

    我们在篇(一)中已经谈到了默认的登录页面以及默认的登录账号和密码. 在这一篇中我们将自己定义登录页面及账号密码. 我们先从简单的开始吧:设置自定义的账号和密码(并非从数据库读取),虽然意义不大. 上一 ...

  6. Spring Security 入门—内存用户验证

    简介 作为 Spring 全家桶组件之一,Spring Security 是一个提供安全机制的组件,它主要解决两个问题: 认证:验证用户名和密码: 授权:对于不同的 URL 权限不一样,只有当认证的用 ...

  7. 030 SSM综合练习06--数据后台管理系统--SSM权限操作及Spring Security入门

    1.权限操作涉及的三张表 (1)用户表信息描述users sql语句: CREATE TABLE users ( id ) DEFAULT SYS_GUID () PRIMARY KEY, email ...

  8. Spring Security 入门详解(转)

    1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别 处理 ...

  9. Spring Security入门(1-13)Spring Security的投票机制和投票器

    1.三种表决方式,默认是 一票制AffirmativeBased public interface AccessDecisionManager { /** * 通过传递的参数来决定用户是否有访问对应受 ...

随机推荐

  1. dubbo 的 spi 思想是什么?

    面试题 dubbo 的 spi 思想是什么? 面试官心理分析 继续深入问呗,前面一些基础性的东西问完了,确定你应该都 ok,了解 dubbo 的一些基本东西,那么问个稍微难一点点的问题,就是 spi, ...

  2. 调整linux系统时间和硬件时间

    1.yum -y install ntp 2.cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime(如果拷贝失败,可以  mv /etc/localt ...

  3. CentOS7 小技巧总结

    1.CentOS7 解决无法使用tab自动补全 原因:CentOS在最小化安装时,没有安装自动补全的包,需要手动安装. yum -y install bash-completion 安装好后,重新登陆 ...

  4. maven下载jar包源码配置

    两个依赖,就想下mail的源码包,因该怎么 <dependencies> <dependency> <groupId>javax.mail</groupId& ...

  5. 即时聊天APP(六) - 消息的接收以及EventBus使用

    通常我们在接收消息的时候会有声音和震动的提示,因此我也加了代码达到这样的效果,这就要用到EventBus了,当然这里我也用到了自定义的广播,所以首先在Mainfests文件中加入以下代码: <r ...

  6. fslove - Matlab求解多元多次方程组

    fslove - Matlab求解多元多次方程组 简介: 之前看到网上的一些资料良莠不齐,各种转载之类的,根本无法解决实际问题,所以我打算把自己的学到的总结一下,以实例出发讲解fsolve. 示例如下 ...

  7. 回顾TCP的三次握手过程

    在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接.第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认: SYN:同 ...

  8. Angular 常用命令行

    1. ng -v 查看angular-cli是否安装成功.angular-cli的版本号 2. ng new 项目名称 新建angular项目 3. ng g class 类名 动态生成类文件: 4. ...

  9. .net core 3.0 Signalr - 实现一个业务推送系统

    ## 介绍 ASP.NET Core SignalR 是一个开源代码库,它简化了向应用添加实时 Web 功能的过程. 实时 Web 功能使服务器端代码能够即时将内容推送到客户端. SignalR 的适 ...

  10. MariaDB简单操作

    RHEL7之后操作系统带的数据库都是mariadb,跟mysql一样用 1.安装客户端和服务端 [root@localhost ~]# yum install mariadb mariadb-serv ...