zoukankan      html  css  js  c++  java
  • Spring Security 入门(一)

    当你看到这篇文章时,我猜你肯定是碰到令人苦恼的问题了,我希望本文能让你有所收获。

    本人几个月前还是 Spring 小白,几个月走来,看了 Spring,Spring boot,到这次的 Spring Security。

    为了避免大家踩坑,本人将入门的经验传授给那些和我一样正在学习 Spring Security 的小白。

    我们从官方例子学习起:

    1、我们先来创建一个 Spring Boot 的项目 HelloWorld:

      我用的开发工具是 eclipse,如果没装 STS 的话,请点击 Help -> Eclipse MarketPlace...

      

    2、点击 File -> New -> Spring Starter Project。

      然后我们根据需要进行选择,如图所示:

            

    3、项目创建好后的目录如图所示:

      

    4、接下来我们新建一个包,取名为 security.config,再在包下建一个类并使其继承 WebSecurityConfigurerAdapter。

    5、这样就已经可以生成 jar 啦,我们右键项目 Run as -> Maven Build...  然后 Debug,就会在 target 目录下生成 jar 。

    6、右键生成的 jar,点击属性后会看到它的文件位置,我们在控制台运行它:

      java -jar C:UsersAnonymouseclipse-workspaceHelloWorld argetHelloWorld-0.0.1-SNAPSHOT.jar

      再在浏览器输入 http://localhost:8080/ 就会出现一个登录页面。

      用户名为 user,密码在控制台可找到: Using generated security password: 254f14b9-a3e4-4dd5-9888-4c46b0c27e3f

      输入进去就会出现如下图片:

      

    7、让我们从头回顾一下,我们干了啥!我们仅仅在 security 包下创建了一个 config 子包。

       然后在该子包里创建了一个类并让它继承 WebSecurityConfigurerAdapter 类,并在类上加了一个注解 @EnableWebSecurity。

       我们打开 HelloWorldApplication 类,可以看到 main() 函数里只一行代码:

       SpringApplication.run(HelloWorldApplication.class, args);  其实这一行代码的作用总的来说是加载整个项目的意思。

       在这个类上方有个 @SpringBootApplication 注解,我们将鼠标放在上面可以看到该注解是由一系列注解组成的。

       我们可以把这个类比作一个树的根,所有其他的配置都需要以它为基础而展开,所以项目其他的包应该都是它的子包。

    8、我们再看看自己创建的类 WebSecurityConfig,这个类的 @EnableWebSecurity 注解会启用 Web 安全功能。

       但是它本身并没有什么用处,Spring Security 必须配置在一个实现了 WebSecurityConfigurer 的 bean 中,

       或者(简单起见)扩展 WebSecurityConfigurerAdapter。

    9、好啦,最基础的就是这些啦,让我们来实现一下让它打印 HelloWorld!

       在配置类中我们写上如下代码:

    package security.config;
    
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
    import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
    
    @EnableWebSecurity
    public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            // TODO Auto-generated method stub
            http.authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin().defaultSuccessUrl("/hello");
        }
    }

    10、再在控制器类中写上如下代码:

    package security.controller;
    
    import org.springframework.web.bind.annotation.GetMapping;
    import org.springframework.web.bind.annotation.RestController;
    
    @RestController
    public class HelloController {
        
        @GetMapping("/hello")
        public String hello() {
            return "Hello World";
        }
    }

    11、好啦,大功告成,代码已经可以运行啦。现在我们来了解一下它们。

      在 WebSecurityConfig 类中我们重写了 configure(HttpSecurity http) 方法,这个方法是完成用户授权的。

      还有另外一个 configure(AuthenticationManagerBuilder auth) 方法,这个方法是完成用户认证的。

      暂时我们只了解第一个,第二个我们在(二) 中了解。

      以下内容摘自 《Spring Boot2 企业应用实战》:HttpSecurity 的 authorizeRequests() 方法有多个子节点。

      其中每个 matcher 按照它们的声明顺序执行,指定用户可以访问的多个 URL 模式。

      Ⅰ、antMatchers 使用 Ant 风格匹配路径。

      Ⅱ、regexMatchers 使用正则表达式匹配路径。

      在匹配了请求路径后,可以针对当前用户的信息对请求路径进行安全处理。

    方法 用途
    anyRequest 匹配所有请求路径
    access(String) Spring EL 表达式结果为 true 时可以访问
    anonymous() 匿名可以访问
    denyAll() 用户不能访问
    fullyAuthenticated() 用户完全认证可以访问(非 remember-me 下自动登录)
    hasAnyAuthority(String...) 如果有参数,参数表示权限,则其中任何一个权限可以访问
    hasAnyRole(String...) 如果有参数,参数表示角色,则其中任何一个角色可以访问
    hasAuthority(String...) 如果有参数,参数表示权限,则其权限可以访问
    hasIpAdress(String...) 如果有参数,参数表示 IP 地址,如果用户 IP 和参数匹配,则可以访问
    hasRole(String...) 如果有参数,参数表示角色,则其角色可以访问
    permitAll() 用户可以任意访问
    rememberMe() 允许通过 remember-me 登录的用户访问
    authenticated() 用户登录后可访问

    12、现在我们读一下代码的意思:授权请求的路径为 "/login" 时,用户可以任意访问。

      其他匹配所有请求的路径都需要授权才能访问。.and() 是再从 http 参数开始。

      举个例子:.and().formLogin() 相当于 http.formLogin()。

      formLogin():开始设置登录操作。defaultSuccessUrl("/hello"): 指定登录成功后转向的页面。

      另外还有其他的方法,我们在(二)再了解。控制类中的代码是常见的代码,就不说了。

    13、代码写完了,我们在控制台运行一下,再在浏览器输入:http://localhost:8080/login:

      登录后,就可以看到 Hello World! 

    14、运行结果如上图所示,市面上有些书说输入 http://localhost:8080/ 就会自动跳转的 login 页面。

      这的确没错,但是当我们输入用户名密码后,会进入到 error 页面。这是为什么呢?

      这是因为 "/" (空)请求需要用户认证,而又没有设置 "/" (空)请求可以任意访问,所以跳转到 login 页面进行认证。

      认证成功后,控制类中并没有对 "/" 空请求的处理。所以这将导致出现错误页面。

      注意这是一个大坑,坑了我好几天了。

    15、最后,上面的例子仅仅是一个简单的入门例子,我们更常用的是自定义登录页面,并且用户名和密码都是从数据库读取来认证的。

      这一部分内容将在(二)中讲解。

    16、如果这篇文章帮助了你,请给我点个赞哦!方便的话关注一下哒!

  • 相关阅读:
    磁盘 inodes 不足 Free inodes is less than 20% on volume
    记录一次Nginx使用第三方模块fair导致的线上故障排错
    xml 特殊字符 导致的 solr 数据导入异常
    Jenkins 定时备份插件 ThinBackup
    Elasticsearch 节点磁盘使用率过高,导致ES集群索引无副本
    Elasticsearch定时删除索引第二版
    js for in 获得遍历数组索引和对象属性
    js函数作用域
    django 1.11.1 连接MySQL
    angular 4 和django 1.11.1 前后端交互 总结
  • 原文地址:https://www.cnblogs.com/M-Anonymous/p/11693862.html
Copyright © 2011-2022 走看看