一、什么是Spring Security?

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它是用于保护基于Spring的应用程序的实际标准。

Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。

更多信息可以查看官网:https://spring.io/projects/spring-security

二、Spring Security的主要功能

  • 认证:验证用户名和密码是否合法(是否系统中用户)
  • 授权:是系统用户不代表你能使用某些功能,因为你可能没有权限
  • 防御会话固定,点击劫持,跨站点请求伪造等攻击
  • Servlet API集成
  • 与Spring Web MVC的可选集成

三、快速入门

新建一个SpringBoot的web项目spring-boot-security。

案例1:接口不添加保护

pom文件中不引入Spring Security,然后新建一个controller:

  1. @RestController
  2. public class AppController {
  4.     @GetMapping("/hello")
  5.     public String hello() {
  6.         return "Hello,spring security!";
  7.     }
  8. }

然后打开浏览器访问:http://localhost:8080/hello,成功后返回:

  1. Hello,spring security!

案例2:接口添加保护

  1. pom文件添加依赖

pom文件中引入Spring Security的starter:

  1. <dependency>
  2.             <groupId>org.springframework.boot</groupId>
  3.             <artifactId>spring-boot-starter-security</artifactId>
  4.         </dependency>
  1. 访问接口

打开浏览器再次访问http://localhost:8080/hello,会被重定向到登录页http://localhost:8080/login,截图如下:

要登录系统,我们需要知道用户名和密码,Spring Security默认的用户名是user,项目启动的时候会生成默认密码(在启动日志中可以看到),输入用户名和密码后就可以访问/hello接口了。

当然也可以自定义用户名密码,在配置文件添加如下内容即可:

  1. spring.security.user.name=java_suisui
  2. spring.security.user.password=123456

四、自定义认证和授权

上面说过Spring Security的功能有“认证”和“授权”,下面通过一个简单的例子实现下自定义的认证和授权。

假设系统中有两个角色:

  • ADMIN 可以访问/admin下的资源
  • USER 可以访问/user下的资源

按照下面步骤操作即可。

  1. 新建一个配置类

对于用户名、密码、登录页面、访问权限等都可以在 WebSecurityConfigurerAdapter 的实现类中配置。

WebSecurityConfig代码如下:

  1. /**
  2.  * 配置类
  3.  * @Author java_suisui
  4.  *
  5.  */
  6. @EnableWebSecurity
  7. @Configuration
  8. public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
  10.     @Override
  11.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  12.         //配置内存中的 用户名、密码和角色
  13.         auth.inMemoryAuthentication().passwordEncoder(new MyPasswordEncoder()).withUser("user").password("123456").roles("USER");
  14.         auth.inMemoryAuthentication().passwordEncoder(new MyPasswordEncoder()).withUser("admin").password("123456").roles("ADMIN");
  15.     }
  17.     @Override
  18.     protected void configure(HttpSecurity http) throws Exception {
  19.         http.authorizeRequests()
  20.                 .antMatchers("/login").permitAll()
  21.                 .antMatchers("/user").hasRole("USER") //访问 /user这个接口,需要有USER角色
  22.                 .antMatchers("/admin").hasRole("ADMIN")
  23.                 .anyRequest().authenticated() //剩余的其他接口,登录之后就能访问
  24.                 .and()
  25.                 .formLogin().defaultSuccessUrl("/hello");
  26.     }
  27. }
  1. 创建PasswordEncorder的实现类

内存用户验证时,Spring Boot 2.0以上版本引用的security 依赖是 spring security 5.X版本,此版本需要提供一个PasswordEncorder的实例。

MyPasswordEncoder代码如下:

  1. public class MyPasswordEncoder implements PasswordEncoder {
  2.     @Override
  3.     public String encode(CharSequence rawPassword) {
  4.         return rawPassword.toString();
  5.     }
  7.     @Override
  8.     public boolean matches(CharSequence rawPassword, String encodedPassword) {
  9.         return encodedPassword.equals(rawPassword);
  10.     }
  11. }
  1. 登录验证

浏览器打开http://localhost:8080/login,

  • 使用user登录,可以访问/user
  • 使用admin登录,可以访问/admin

如果使用user登录后访问/admin,会报403错误,具体错误信息如下:

  1. Whitelabel Error Page
  2. This application has no explicit mapping for /error, so you are seeing this as a fallback.
  4. Tue Nov 19 16:26:28 CST 2019
  5. There was an unexpected error (type=Forbidden, status=403).
  6. Forbidden

结果和我们预期的一致,说明简单的自定义认证和授权功能已经实现了。

完整源码地址: https://github.com/suisui2019/springboot-study

推荐阅读

1.一分钟带你学会利用mybatis-generator自动生成代码!

2.手把手带你实战下Spring的七种事务传播行为

3.SpringBoot系列-整合Mybatis(注解方式)

4.SpringBoot系列-整合Mybatis(XML配置方式)

5.Java中打印日志,这4点很重要!

Java碎碎念,一个坚持原创的公众号,为您提供一系列系统架构、微服务、Java、SpringBoot、SpringCloud等高质量技术文章。

如果觉得文章不错,希望可以随手转发或者”在看“哦,非常感谢哈!

关注下方公众号后回复「1024」,有惊喜哦!

本文由博客一文多发平台 OpenWrite 发布!

一分钟带你了解下Spring Security!的更多相关文章

  1. 一分钟带你了解下MyBatis的动态SQL!

    MyBatis的强大特性之一便是它的动态SQL,以前拼接的时候需要注意的空格.列表最后的逗号等,现在都可以不用手动处理了,MyBatis采用功能强大的基于OGNL的表达式来实现,下面主要介绍下. 一. ...

  2. 手把手带你实战下Spring的七种事务传播行为

    目录 本文目录 一.什么是事务传播行为? 二.事务的7种传播行为 三.7种传播行为实战 本文介绍Spring的七种事务传播行为并通过代码演示下. 本文目录 一.什么是事务传播行为? 事务传播行为(pr ...

  3. 【项目实践】一文带你搞定Spring Security + JWT

    以项目驱动学习,以实践检验真知 前言 关于认证和授权,R之前已经写了两篇文章: [项目实践]在用安全框架前,我想先让你手撸一个登陆认证 [项目实践]一文带你搞定页面权限.按钮权限以及数据权限 在这两篇 ...

  4. spring boot 下 spring security 自定义登录配置与form-login属性详解

    package zhet.sprintBoot; import org.springframework.beans.factory.annotation.Autowired;import org.sp ...

  5. Spring Security笔记:登录尝试次数限制

    今天在前面一节的基础之上,再增加一点新内容,默认情况下Spring Security不会对登录错误的尝试次数做限制,也就是说允许暴力尝试,这显然不够安全,下面的内容将带着大家一起学习如何限制登录尝试次 ...

  6. spring security之httpSecurity使用示例

    如果在HttpSecurity中配置需要authenticate(),则如果没有登陆,或没有相关权限,则会无法访问 2017-01-02 23:39:32.027 DEBUG 10396 --- [n ...

  7. Spring Security Oauth2 的配置

    使用oauth2保护你的应用,可以分为简易的分为三个步骤 配置资源服务器 配置认证服务器 配置spring security 前两点是oauth2的主体内容,但前面我已经描述过了,spring sec ...

  8. spring boot 之 spring security 配置

    Spring Security简介 之前项目都是用shiro,但是时过境迁,spring security变得越来越流行.spring security的前身是Acegi, acegi 我也玩过,那都 ...

  9. Re:从零开始的Spring Security Oauth2(一)

    前言 今天来聊聊一个接口对接的场景,A厂家有一套HTTP接口需要提供给B厂家使用,由于是外网环境,所以需要有一套安全机制保障,这个时候oauth2就可以作为一个方案. 关于oauth2,其实是一个规范 ...

随机推荐

  1. MySQL生僻函数

    0X01 字符串函数 STRCMP STRCMP(expr1,expr2) 若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回  -1,其它情况返回 1 . ...

  2. Async,Await和ConfigureAwait的关系

    [转自]https://mp.weixin.qq.com/s/h10V-FshGoaQUWFPfy-azg 在.NET Framework 4.5中,async / await关键字已添加到该版本中, ...

  3. grunt前端自动构建工具初级使用

    好啦,今天来和大家谈谈grunt 害怕与社会脱轨,所以自己研究了一下,简单说说我梳理完的grunt 首先要知道为什么使用grunt 1.grunt可以检测js.css文件内部是否有错误 2. grun ...

  4. pytest中unicode编码问题(如test_fix.py::Test1::test_s1[\u6d4b\u8bd5-\u6d4b\u8bd5])

    现象: 采用如下方式可将其正确显示为中文 ss = r"test_fix.py::Test1::test_s1[\u6d4b\u8bd5-\u6d4b\u8bd5]" print( ...

  5. 5.Linux文件管理相关命令(下)

    1.文件管理之:联网下载文件(wget.curl).文件上传与下载(rz.sz) 1.wget命令 1.CentOS7 系统最小化安装默认没有wget命令,需要进行安装 [root@oldboyedu ...

  6. 使用zepto中animate报错“Uncaught TypeError: this.bind is not a function”的解决办法

    在使用zepto时,我先引入zepto.min.js,然后引入fx.js,但是在使用animate函数时,控制台却报如下错误: Uncaught TypeError: this.bind is not ...

  7. ANSI最全介绍linux终端字体改变颜色等

    ANSI转义序列 维基百科,自由的百科全书 由于国内不能访问wiki而且国内关于ANSI的介绍都是简短的不能达到,不够完整所以转wiki到此博客,方便国内用户参考,原地址(https://zh.wik ...

  8. MyBatis 示例-简介

    简介 为了全面熟悉 MyBatis 的使用,整理一个 MyBatis 的例子,案例中包含了映射器.动态 SQL 的使用.本章先介绍项目结构和配置. 项目地址:链接 数据库表的模型关系:链接 项目结构 ...

  9. Textbox输入状态提示

    前: <DockPanel Margin="> <TextBox SelectionChanged="TextBox_SelectionChanged" ...

  10. javascript单线程,异步与执行机制

    js的单线程模型与游览器的进程/线程息息相关,在了解js单线程与异步的时候,建议先看看这篇文章 为什么是单线程 由于js是可操作dom的,如果js是多线程,在多线程的交互下,处于界面中的dom节点就可 ...