当前位置: 开发笔记 > 前端 > 正文

SpringSecurity在SpringBoot中的使用详解【集中式】

作者：冬日暖光816 | 来源：互联网 | 2022-01-12 18:43

这篇文章主要介绍了SpringSecurity在SpringBoot中的使用【集中式】,本文通过图文并茂的形式给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下

1.1 准备

1.1.1 创建 Spring Boot 项目

&＃8195;&＃8195;创建好一个空的 Spring Boot 项目之后，写一个 controller 验证此时是可以直接访问到该控制器的。

在这里插入图片描述

1.1.2 引入 Spring Security

&＃8195;&＃8195;在 Spring Boot 中引入 Spring Security 是相当简单的，可以在用脚手架创建项目的时候勾选，也可以创建完毕后在 pom 文件中加入相关依赖。

在这里插入图片描述


 org.springframework.boot
 spring-boot-starter-security

&＃8195;&＃8195;引入 Spring Security 后再次访问会发现直接被弹到了登录页面，此时我们还什么都没有配置，为什么 Security 会生效呢，这是因为 Spring Boot 帮我们完成了在 Spring 中需要完成的诸多配置【&＃9758;Spring Security 基础入门】。也正是因为 Spring Boot 提供了自动化配置方案，让我们可以“零配置”的使用 Spring Security，所以在 Spring Boot 项目中我们通常使用的安全框架是 Spring Security 而在 Spring 中一般使用 Shiro。

在这里插入图片描述

&＃8195;&＃8195;我们并没有配置静态的用户那么该如何登录呢，Spring Boot 为我们提供了一个默认的用户，用户名为：user，密码则是在启动 Spring Boot 项目是随机生成的，我们可以在控制台找到他。

在这里插入图片描述

1.2 配置认证

1.2.1 添加静态用户

&＃8195;&＃8195;Spring Boot 除了一些信息写道 yml 配置文件中，其他配置都使用配置类，Spring Security 需要继承 WebSecurityConfigurerAdapter，配置用户信息需要重写 configure(AuthenticationManagerBuilder auth) 方法。配置完毕后，将不会再使用 user 用户。

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description Spring Security 配置类
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 @Override
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 // 配置静态用户
 auth.inMemoryAuthentication()
 .withUser("admin")
 .password("{noop}123") // 此处需要加 {noop} 表示该密码为明文
 .roles("USER");
 }
}

1.2.2 添加数据库认证 &＃9758; 添加用户实体类

&＃8195;&＃8195;Spring Security 中使用的用户是 UserDetails，我们要么让自定义用户类实现 UserDetails，要么使用时将自定义用户类转换为 UserDetails。建议实现 UserDetails。因为该类中涉及到角色信息所以我们还需要创建角色类。我们在以后的操作中可能会将对象转为 json 或者将 json 转为对象，所以我们重写的方法需要加上 @JsonIgnore 将其忽略(该类本来就需要的不用忽略)。

/**
 * Created with IntelliJ IDEA.
 *
 * @author gaohu9712@163.com
 * @date 2020/10/18
 * @description 用户实体类
 */
public class SysUser implements UserDetails {

 private Long id;
 private String username;
 private String passwrod;
 private List roleList = new ArrayList<>();


 public Long getId() {
 return id;
 }

 public void setId(Long id) {
 this.id = id;
 }


 public void setUsername(String username) {
 this.username = username;
 }


 public void setPasswrod(String passwrod) {
 this.passwrod = passwrod;
 }

 public List getRoleList() {
 return roleList;
 }

 public void setRoleList(List roleList) {
 this.roleList = roleList;
 }

 @Override
 public Collection<&＃63; extends GrantedAuthority> getAuthorities() {
 return roleList;
 }

 @Override
 public String getPassword() {
 return passwrod;
 }

 @Override
 public String getUsername() {
 return username;
 }

 @Override
 @JsonIgnore
 public boolean isAccountNonExpired() {
 return false;
 }

 @Override
 @JsonIgnore
 public boolean isAccountNonLocked() {
 return false;
 }

 @Override
 @JsonIgnore
 public boolean isCredentialsNonExpired() {
 return false;
 }

 @Override
 @JsonIgnore
 public boolean isEnabled() {
 return false;
 }
}

&＃9758; 创建角色类

&＃8195;&＃8195;Spring Security 中使用的角色信息使用的是 GrantedAuthority 所以我们的角色类也需要实现 GrantedAuthority。

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description 角色类
 */
public class SysRole implements GrantedAuthority {

 private Long id;
 private String roleName;
 private String roleDesc;

 public Long getId() {
 return id;
 }

 public void setId(Long id) {
 this.id = id;
 }

 public String getRoleName() {
 return roleName;
 }

 public void setRoleName(String roleName) {
 this.roleName = roleName;
 }

 public String getRoleDesc() {
 return roleDesc;
 }

 public void setRoleDesc(String roleDesc) {
 this.roleDesc = roleDesc;
 }

 @Override
 @JsonIgnore
 public String getAuthority() {
 return roleName;
 }
}

&＃9758; 添加持久层

此处省略使用通用 mapper 操作数据库的内容【&＃9758; Mybatis 使用通用 mapper】，jpa 等其他操作数据库的方法亦可。

&＃9758; 认证类

&＃8195;&＃8195;Spring Boot 中 Spring Security 的认证类与 Spring 中的并无区别，都需要实现 UserDetailsService 接口，然后重写 loadUserByUsername(String s) 方法并返回一个 UserDetails。

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description 认证类
 */ 
public class UserDetailsServiceImpl implements UserDetailsService {
 
 @Autowired
 private UserMapper userMapper;
 
 @Override
 public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
 return userMapper.findByName(s);
 }
}

&＃9758; 配置类

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description Spring Security 配置类
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

 @Autowired
 private UserDetailsService userDetailsService;

 @Bean
 // BCrypt 交由 Ioc 容器管理
 public BCryptPasswordEncoder passwordEncoder() {
 return new BCryptPasswordEncoder();
 }

 @Override
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 // 认证类
 auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
 }
}

1.3 授权

1.3.1 开启方法级授权

&＃8195;&＃8195;在启动类上使用 @EnableGlobalMethodSecurity 注解开启方法级授权。参数 prePostEnabled 代表 Spring 中的权限控制注解；securedEnabled 代表 Spring Security 中的权限控制注解； jsr250Enabled 代表 jsr250 的权限控制注解
。

@SpringBootApplication
@MapperScan("com.software.springsecurity.mapper")
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SpringSecurityApplication {

 public static void main(String[] args) {
 SpringApplication.run(SpringSecurityApplication.class, args);
 }

}

1.3.2 添加方法权限

&＃8195;&＃8195;当用户仅有 ROLE_USER 权限时仅能访问 findStr 方法而不能访问 get 方法；要想访问 get 方法用户必须具有 ROLE_ADMIN 权限。

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description
 */
@RestController
@RequestMapping("/demo")
public class DemoController {

 @GetMapping("/find")
 @Secured("ROLE_USER")
 public String findStr() {
 return "请求成功";
 }

 @GetMapping("/get")
 @Secured("ROLE_ADMIN")
 public String get() {
 return "get";
 }
}

在这里插入图片描述

1.3.3 异常拦截页面

@ControllerAdvice
public class HandlerControllerAdvice {

 @ExceptionHandler(AccessDeniedException.class)
 public String handlerException(){
 return "redirect:/403.html";
 }

 @ExceptionHandler(RuntimeException.class)
 public String runtimeHandlerException(){
 return "redirect:/500.html";
 }
}

总结

到此这篇关于Spring Security 在 Spring Boot 中的使用详解【集中式】的文章就介绍到这了,更多相关Spring Security 在 Spring Boot使用内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持！

推荐阅读

html
Docker的安全基准

nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd ... [详细]

蜡笔小新 2024-12-28 13:00:24
json
FastJSON解析与数据提取技巧

探讨如何高效使用FastJSON进行JSON数据解析，特别是从复杂嵌套结构中提取特定字段值的方法。 ... [详细]

蜡笔小新 2024-12-27 19:49:07
json
使用 Azure Service Principal 和 Microsoft Graph API 获取 AAD 用户列表

本文介绍了一段通用代码示例，该代码不仅能够操作 Azure Active Directory (AAD)，还可以通过 Azure Service Principal 的授权访问和管理 Azure 订阅资源。Azure 的架构可以分为两个层级：AAD 和 Subscription。 ... [详细]

蜡笔小新 2024-12-27 16:07:12
webkit
分页插件3指定到某一页

前言--页数多了以后需要指定到某一页（只做了功能，样式没有细调）html ... [详细]

蜡笔小新 2024-12-27 15:19:01
html
DNN Community 和 Professional 版本的主要差异

本文详细解析了 DotNetNuke (DNN) 的两种主要版本：Community 和 Professional。通过对比两者的功能和附加组件，帮助用户选择最适合其需求的版本。 ... [详细]

蜡笔小新 2024-12-27 13:14:08
html
2023年全球运营商网络设备市场预计突破202亿美元

尽管某些细分市场如WAN优化表现不佳，但全球运营商路由器和交换机市场持续增长。根据最新研究，该市场预计在2023年达到202亿美元的规模。 ... [详细]

蜡笔小新 2024-12-27 12:44:44
html
360SRC安全应急响应：从漏洞提交到修复的全过程

本文详细介绍了360SRC平台处理一起关键安全事件的过程，涵盖从漏洞提交、验证、排查到最终修复的各个环节。通过这一案例，展示了360在安全应急响应方面的专业能力和严谨态度。 ... [详细]

蜡笔小新 2024-12-27 11:10:05
html
2021年G3锅炉水处理报名考试及G3锅炉水处理模拟考试

题库来源：安全生产模拟考试一点通公众号小程序G3锅炉水处理报名考试是安全生产模拟考试一点通生成的，G3锅炉水处理证模拟考试题库是根据G3锅炉水处理最新 ... [详细]

蜡笔小新 2024-12-27 11:05:05
json
Git 分布式版本控制系统：远程仓库的深入探讨

本文详细介绍了Git分布式版本控制系统中远程仓库的概念和操作方法。通过具体案例，帮助读者更好地理解和掌握如何高效管理代码库。 ... [详细]

蜡笔小新 2024-12-25 18:30:21
json
DLP数据泄露检测原理浅析

最近团队在部署DLP，作为一个技术人员对于黑盒看不到的地方还是充满了好奇心。多次咨询乙方人员DLP的算法原理是什么，他们都以商业秘密为由避而不谈，不得已只能自己查资料学习，于是有了下面的浅见。身为甲方，虽然不需要开发DLP产品，但是也有必要弄明白DLP基本的原理。俗话说工欲善其事必先利其器，只有在懂这个工具的原理之后才能更加灵活地使用这个工具，即使出现意外情况也能快速排错，越接近底层，越接近真相。根据DLP的实际用途，本文将DLP检测分为2部分，泄露关键字检测和近似重复文档检测。 ... [详细]

蜡笔小新 2024-12-25 18:19:32
react
使用npm脚本同时启动多个监听服务的技巧

本文介绍了如何利用npm脚本和concurrently工具，实现本地开发环境中多个监听服务的同时启动，包括HTTP服务、自动刷新、Sass和ES6支持。 ... [详细]

蜡笔小新 2024-12-25 18:10:18
view
解析猫鼬 findOne 方法返回 null 的原因

本文探讨了在通过 API 端点调用时，使用猫鼬（Mongoose）的 findOne 方法总是返回 null 的问题，并提供了详细的解决方案和建议。 ... [详细]

蜡笔小新 2024-12-25 17:40:33
json
VSCode 自定义代码片段配置：实现类似IDEA的快捷代码段（如sout或psvm）

本文详细介绍如何在VSCode中配置自定义代码片段，使其具备与IDEA相似的代码生成快捷键功能。通过具体的Java和HTML代码片段示例，展示配置步骤及效果。 ... [详细]

蜡笔小新 2024-12-25 17:10:13
json
优化页面加载性能

在网页开发中，页面加载速度是一个关键的用户体验因素。为了提升加载效率，避免在PageLoad事件中进行大量数据绑定操作，可以采用异步加载和特定控件来优化页面加载过程。 ... [详细]

蜡笔小新 2024-12-25 16:57:49
json
深入解析JMeter中的JSON提取器及其应用

本文详细介绍了如何在JMeter中使用JSON提取器来获取和处理API响应中的数据。特别是在需要将一个接口返回的数据作为下一个接口的输入时，JSON提取器是一个非常有用的工具。 ... [详细]

蜡笔小新 2024-12-25 16:34:37

冬日暖光816

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章