SpringSecurity学习

Springboot整合SpringSecurity

导入security的依赖，关于security的配置

@EnableWebSecurity
public class MyConfig  extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
        //登陆页面
        http.formLogin();
        //注销页面------logoutSuccessUrl是配置注销后去的页面，也可以配置注销后的清除cookies或者session，在源码中都有写
        http.logout().logoutSuccessUrl("/");

    }
configure----http是授权，配置权限，设置登录页面和注销页面，注销页面可以看源码，请求是/logout,http的登录（POST的请求）要设置http.csrf.disease();
因为security默认开启的跨域保护，要关闭掉，要不会报403没有权限的错误。

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
            .withUser("chao").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1")
            .and()
            .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3");
}
关于认证的配置，以上是在内存中设置用户.
--------------------------------------------------------------------------
因为每个用户的限权都不一样，所以登陆每个不同的页面，应该也都显示不同，用thymleaf和security的整合

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
    <version>3.0.4.RELEASE</version>
</dependency>
index页面代码如下

<!--如果已经登陆======显示 用户名，注销-->
<div sec:authorize="isAuthenticated()">
    用户名：<span sec:authentication="name"></span>
    <a href="/logout">注销</a>
</div>
<!--如果未登录======显示 登录-->
<div sec:authorize="!isAuthenticated()">

    <a href="/toLogin">登录</a>
</div>

导入以上依赖，使用sec:标签的话，springboot高版本不支持，把版本降到2.0.9------------设置好之后，在注销的时候又出现问题了，就是csrf保护，因为我是用a标签注销的，是不安全的，所以csrf会开启保护，
得把这个关了，要不然注销显示404，或者用post方式注销

可以用

<div style="float: left" sec:authorize="hasRole('vip2')">来根据限权动态显示div
---------------------------------------------------------------------------------------------
关于记住我 这个功能要去配置文件中

http.rememberMe();开启，之后会保存在cookies中，可以去浏览器的application中查看
----------------------------------------------------------------------------------
配置自定义登录页

http.formLogin().loginPage("/toLogin");

http.formLogin().loginPage("/toLogin").loginProcessingUrl("/login");//设置默认登陆页面和登录url

对应的login页面代码

<form action="/login" method="post">
    用户名:<input type="text" name="username">
    密码：<input type="text" name="password">
    <input type="submit" value="登录">
</form>
看源码可以知道默认的参数名是username和password,可以用方法改，
自己的登录页面的记住我配置如下：

http.rememberMe().rememberMeParameter("remenber");

---------------------------------------------------------------------------
认证连接数据库，配置中如下

auth.userDetailsService(adminServiceimpl)
        .passwordEncoder(new BCryptPasswordEncoder());//password必须设置加密的格式
bean类要

class Admin implements UserDetails；

@Override
public Collection<? extends GrantedAuthority> getAuthorities() {   //重写这个方法，自己定义一个类实现GrantedAuthoritiy
    List<GrantedAuthority> auths = new LinkedList<>();
    auths.add(new SimpleGrantedAuthority(this.getGrade()));
    return auths;
}

service类要

AdminServiceimpl implements UserDetailsService；
@override

public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    Admin admin = adminMapper.selectByUsername(s);
    String passEnc = admin.getPassword();
    String encode = new BCryptPasswordEncoder().encode(passEnc);
    admin.setPassword(encode);
    return admin;

一个重点：数据库设置权限等级时，级别的格式是ROLE_
不加的话就不会起作用