概念:

  • 安全
      Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。

几个类:

WebSecurityConfigurerAdapter:自定义Security策略

AuthenticationManagerBuilder:自定义认证策略

@EnableWebSecurity:开启WebSecurity模式

  1. 应用程序的两个主要区域是“认证”和“授权”(或者访问控制)。这两个主要区域是Spring Security 的两个目标。

  2. 认证”(Authentication),是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统)。

  3. “授权”(Authorization)指确定一个主体是否允许在你的应用程序执行一个动作的过程。为了抵达需要授权的店,主体的身份已经有认证过程建立。

  4. 这个概念是通用的而不只在Spring Security中。

  • Web&安全

  1. 登陆/注销 HttpSecurity配置登陆、注销功能

  2. Thymeleaf提供的SpringSecurity标签支持

    1. 需要引入thymeleaf-extras-springsecurity4

    2. sec:authentication=“name”获得当前用户的用户名

    3. sec:authorize=“hasRole(‘ADMIN’)”当前用户必须拥有ADMIN权限时才会显示标签内容

  3. remember me

    1. 表单添加remember-me的checkbox

    2. 配置启用remember-me功能

  4. CSRF(Cross-site request forgery)跨站请求伪造:HttpSecurity启用csrf功能,会为表单添加_csrf的值,提交携带来预防CSRF;

pom文件引入规则:

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <parent>

        <groupId>org.springframework.boot</groupId>

        <artifactId>spring-boot-starter-parent</artifactId>

       <!-- 这里springbooot必须是2.0.7版本,否则sec:authorize="isAuthenticated()"不起作用-->

        <version>2.0.7.RELEASE</version>

        <relativePath/> <!-- lookup parent from repository -->

    </parent>

    <groupId>com.springbootTest</groupId>

    <artifactId>springboot05-security</artifactId>

    <version>0.0.1-SNAPSHOT</version>

    <name>springboot05-security</name>

    <description>Demo project for Spring Boot</description>

    <properties>

        <java.version>1.8</java.version>

        <thymeleaf.version>3.0.11.RELEASE</thymeleaf.version>

        <thymeleaf-layout-dialect.version>2.3.0</thymeleaf-layout-dialect.version>

        <thymeleaf-extras-springsecurity4.version>3.0.4.RELEASE</thymeleaf-extras-springsecurity4.version>

    </properties>

    <dependencies>

        <!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->

        <!--thmeleaf和springsecurity的依赖-->

        <dependency>

            <groupId>org.thymeleaf.extras</groupId>

            <artifactId>thymeleaf-extras-springsecurity4</artifactId>

            <version>3.0.4.RELEASE</version>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-thymeleaf</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-web</artifactId>

        </dependency>

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-test</artifactId>

            <scope>test</scope>

        </dependency>

    </dependencies>

    <build>

        <plugins>

            <plugin>

                <groupId>org.springframework.boot</groupId>

                <artifactId>spring-boot-maven-plugin</artifactId>

            </plugin>

        </plugins>

    </build>

</project>

自定义Security策略类写法:

package com.springboottest.security.config;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity

public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        //super.configure(http);

        //定制请求的授权规则

        http.authorizeRequests().antMatchers("/").permitAll()

                .antMatchers("/level1/**").hasRole("VIP1")

                .antMatchers("/level2/**").hasRole("VIP2")

                .antMatchers("/level3/**").hasRole("VIP3");

        //开启自动配置的登陆功能,效果:如果没有登陆,没有权限就会来到登陆页面

        http.formLogin().usernameParameter("user").passwordParameter("pwd")

                .loginPage("/userlogin");//告诉登录页发送什么请求

        //1.  /login来到登录页

        //2.   /login?error表示登陆失败

        //3.   用户名密码等等更多详细规则

        //4.   默认post形式的/login代表处理登陆

        //5.   一但定制LoginPage;那么LoginPage的post请求就是登陆

        //开启自动配置的注销功能

        http.logout().logoutSuccessUrl("/");//注销成功以后来到首页

        //1.  访问/logout 表示用户注销,清空session

        //2.  注销成功会返回 /login?logout  页面

        //开启记住我功能

        http.rememberMe().rememberMeParameter("remember");

        //登陆成功以后,将cookie发给浏览器,以后登陆带上这个cookie,只要通过检查就可以免登陆



        //点击注销会删除cookie

    }

    //定义认证规则

    @Override

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //super.configure(auth);

        //   //.passwordEncoder(new MyPasswordEncoder())。

        //这样,页面提交时候,密码以明文的方式进行匹配。看下面解释。

        auth.inMemoryAuthentication().passwordEncoder(new MyPasswordEncoder()).withUser("zhangsan").password("123456").roles("VIP1","VIP2")

                .and()

                .withUser("lisi").password("123456").roles("VIP2","VIP3")

                .and()

                .withUser("wangwu").password("123456").roles("VIP1","VIP3");

    }

}

密码不文明方式报错:

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

解决方法:

这是因为Spring boot 2.0.3引用的security 依赖是 spring security 5.X版本,此版本需要提供一个PasswordEncorder的实例,否则后台汇报错误:
java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
并且页面毫无响应。
因此,需要创建PasswordEncorder的实现类。
MyPasswordEncoder.class:

@Component

public class MyPasswordEncoder implements PasswordEncoder {

    @Override

    public String encode(CharSequence charSequence) {

        return charSequence.toString();

    }

    @Override

    public boolean matches(CharSequence charSequence, String s) {

        return s.equals(charSequence.toString());

    }

}

welcome.html:

<!DOCTYPE html>

<html xmlns:th="http://www.thymeleaf.org"

      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

<title>Insert title here</title>

</head>

<body>

<h1 align="center">欢迎光临武林秘籍管理系统</h1>

<div sec:authorize="!isAuthenticated()">

    <h2 align="center">游客您好,如果想查看武林秘籍 <a th:href="@{/userlogin}">请登录</a></h2>

</div>

<div sec:authorize="isAuthenticated()">

    <h2><span sec:authentication="name"></span>,您好,您的角色有:

        <span sec:authentication="principal.authorities"></span></h2>

    <form th:action="@{/logout}" method="post">

        <input type="submit" value="注销"/>

    </form>

</div>

<hr>

<div sec:authorize="hasRole('VIP1')">

<h3>普通武功秘籍</h3>

<ul>

    <li><a th:href="@{/level1/1}">罗汉拳</a></li>

    <li><a th:href="@{/level1/2}">武当长拳</a></li>

    <li><a th:href="@{/level1/3}">全真剑法</a></li>

</ul>

</div>

<div sec:authorize="hasRole('VIP2')">

<h3>高级武功秘籍</h3>

<ul>

    <li><a th:href="@{/level2/1}">太极拳</a></li>

    <li><a th:href="@{/level2/2}">七伤拳</a></li>

    <li><a th:href="@{/level2/3}">梯云纵</a></li>

</ul>

</div>

<div sec:authorize="hasRole('VIP3')">

<h3>绝世武功秘籍</h3>

<ul>

    <li><a th:href="@{/level3/1}">葵花宝典</a></li>

    <li><a th:href="@{/level3/2}">龟派气功</a></li>

    <li><a th:href="@{/level3/3}">独孤九剑</a></li>

</ul>

</div>

</body>

</html>

login.html:

<!DOCTYPE html>

<html xmlns:th="http://www.thymeleaf.org">

<head>

<meta charset="UTF-8">

<title>Insert title here</title>

</head>

<body>

    <h1 align="center">欢迎登陆武林秘籍管理系统</h1>

    <hr>

    <div align="center">

        <form th:action="@{/userlogin}" method="post">

            用户名:<input name="user"/><br>

            密码:<input name="pwd"><br/>

            <input type="checkbox" name="remember"> 记住我

            <br/>

            <input type="submit" value="登陆">

        </form>

    </div>

</body>

</html>

完整代码见资源(Spring Security框架)

springboot与安全的更多相关文章

  1. 解决 Springboot Unable to build Hibernate SessionFactory @Column命名不起作用

    问题: Springboot启动报错: Caused by: org.springframework.beans.factory.BeanCreationException: Error creati ...

  2. 【微框架】Maven +SpringBoot 集成 阿里大鱼 短信接口详解与Demo

    Maven+springboot+阿里大于短信验证服务 纠结点:Maven库没有sdk,需要解决 Maven打包找不到相关类,需要解决 ps:最近好久没有写点东西了,项目太紧,今天来一篇 一.本文简介 ...

  3. Springboot搭建web项目

    最近因为项目需要接触了springboot,然后被其快速零配置的特点惊呆了.关于springboot相关的介绍我就不赘述了,大家自行百度google. 一.pom配置 首先,建立一个maven项目,修 ...

  4. Java——搭建自己的RESTful API服务器(SpringBoot、Groovy)

    这又是一篇JavaWeb相关的博客,内容涉及: SpringBoot:微框架,提供快速构建服务的功能 SpringMVC:Struts的替代者 MyBatis:数据库操作库 Groovy:能与Java ...

  5. 解决 SpringBoot 没有主清单属性

    问题:SpringBoot打包成jar后运行提示没有主清单属性 解决:补全maven中的bulid信息 <plugin> <groupId>org.springframewor ...

  6. SpringBoot中yaml配置对象

    转载请在页首注明作者与出处 一:前言 YAML可以代替传统的xx.properties文件,但是它支持声明map,数组,list,字符串,boolean值,数值,NULL,日期,基本满足开发过程中的所 ...

  7. springboot 学习资源推荐

    springboot 是什么?对于构建生产就绪的Spring应用程序有一个看法. Spring Boot优先于配置的惯例,旨在让您尽快启动和运行.(这是springboot的官方介绍) 我们为什么要学 ...

  8. Springboot框架

    本片文章主要分享一下,Springboot框架为什么那么受欢迎以及如何搭建一个Springboot框架. 我们先了解一下Springboot是个什么东西,它是干什么用的.我是刚开始接触,查了很多资料, ...

  9. 如何在SpringBoot中使用JSP ?但强烈不推荐,果断改Themeleaf吧

    做WEB项目,一定都用过JSP这个大牌.Spring MVC里面也可以很方便的将JSP与一个View关联起来,使用还是非常方便的.当你从一个传统的Spring MVC项目转入一个Spring Boot ...

  10. 5分钟创建一个SpringBoot + Themeleaf的HelloWord应用

    第一步:用IDE创建一个普通maven工程,我用的eclipse. 第二步:修改pom.xml,加入支持SpringBoot和Themeleaf的依赖,文件内容如下: <?xml version ...

随机推荐

  1. 利用IK分词器,自定义分词规则

    IK分词源码下载地址:https://code.google.com/p/ik-analyzer/downloads/list lucene源码下载地址:http://www.eu.apache.or ...

  2. linux 下 CDH4.5编译

    1.安装JDK JDK:我这里 安装的是jdk1.6.0_23 1.1:给文件执行的权限chmod u+x jdk-6u23-linux-x64.bin 1.2: ./jdk-6u23-linux-x ...

  3. 安装mysql时,服务无法启动的问题

    1.下载mysql镜像文件:mysql-installer-community-8.0.17.0.msi 2.点击镜像进行安装,一直next即可 3.cmd以管理员身份,进入到安装的mysql安装目录 ...

  4. RHEL7中网卡绑定team和bond的区别

    red hat 官方给出的team和bond特性对比 A Comparison of Features in Bonding and Team Feature Bonding Team broadca ...

  5. LeetCode 31. Next Permutation【Medium】

    Implement next permutation, which rearranges numbers into the lexicographically next greater permuta ...

  6. 使用neo4j图数据库的import工具导入数据 -方法和注意事项

    背景 最近我在尝试存储知识图谱的过程中,接触到了Neo4j图数据库,这里我摘取了一段Neo4j的简介: Neo4j是一个高性能的,NOSQL图形数据库,它将结构化数据存储在网络上而不是表中.它是一个嵌 ...

  7. linux段位进阶

    1.青铜: 1.Linux基础知识.基本命令(起源.组成.常用命令如cp.ls.file.mkdir等常见操作命令) 2.Linux用户及权限基础 3.Linux系统进程管理进阶 4.linux高效文 ...

  8. smb中继攻击

    一.NTLM hash 和 Net-NTLM hash 1.客户端向服务器发送一个请求,请求中包含明文的登录用户名.服务器会提前保存登录用户名和对应的密码 hash 2.服务器接收到请求后,生成一个 ...

  9. vue SyntaxError: Block-scoped declarations (let, const, function, class) not yet supported outside strict mode

    在使用vue_cli时出现如下错误: 原因是  node  版本太低 应该升级

  10. Erlang学习记录:转义

    转义 转义序列 含义 整数编码 \b 退格符 8 \d 删除符 127 \e 换码符 27 \f 换页符 12 \n 换行符 10 \r 回车符 13 \s 空格符 32 \t 制表符 9 \v 垂直 ...