Java Spring Security认证与授权及注销和权限控制篇综合解析
spring security简介:
spring security 是针对spring项目的安全框架,也是spring boot底层安全模块默认的技术选型,它可以实现强大的web安全控制,对于安全控制,我们只需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!
记住几个类:
- websecurityconfigureradapter:自定义security策略
- authenticationmanagerbuilder:自定义认证策略
- @enablewebsecurity:开启websecurity模式
spring security的两个主要目标是 “认证” 和 “授权”(访问控制)。
“认证”(authentication)
身份验证是关于验证您的凭据,如用户名/用户id和密码,以验证您的身份。
身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。
“授权” (authorization)
授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。
这个概念是通用的,而不是只在spring security 中存在。
spring security 框架对于认证和授权很好的支持。在用户认证方面,spring security 框架支持主流的认证方式,包括 http 基本认证、http 表单验证、http 摘要认证、openid 和 ldap 等。在用户授权方面,spring security 提供了基于角色的访问控制和访问控制列表(access control list,acl),可以对应用中的领域对象进行细粒度的控制。
下面是spring security官网:spring security 找到对应的官方文档:spring security reference
实验环境搭建:
1.新建一个初始的springboot项目web模块,thymeleaf模块
2.导入静态资源
3、controller跳转!
4、测试实验环境是否成功
认证和授权
我们测试的环境,是谁都可以访问,现在我们使用 spring security 增加上认证和授权的功能
1、引入 spring security 模块
<dependency> <groupid>org.springframework.boot</groupid> <artifactid>spring-boot-starter-security</artifactid> </dependency>
2、编写 spring security 配置类
参考对应的官方文档:spring security reference
3、编写基础配置类
@enablewebsecurity // 开启websecurity模式 public class securityconfig extends websecurityconfigureradapter { @override protected void configure(httpsecurity http) throws exception { } }
4.定义授权的规则:
在配置类中看授权的源码:
5、测试,发现除了首页都进不去了!因为我们目前没有登录的角色,因为请求需要登录的角色拥有对应的权限才可以!
6、在configure()方法中加入以下配置,开启自动配置的登录功能!
从源码解释中看
// 开启自动配置的登录功能 // /login 请求来到登录页 // /login?error 重定向到这里表示登录失败 http.formlogin();
7、测试一下:发现,没有权限的时候,会跳转到登录的页面!
8、查看刚才登录页的注释信息;
我们可以定义认证规则,从源码中查看
重写configure(authenticationmanagerbuilder auth)方法
//定义认证规则 @override protected void configure(authenticationmanagerbuilder auth) throws exception { //在内存中定义,也可以在jdbc中去拿.... auth.inmemoryauthentication() .withuser("kuangshen").password("123456").roles("vip2","vip3") .and() .withuser("root").password("123456").roles("vip1","vip2","vip3") .and() .withuser("guest").password("123456").roles("vip1","vip2"); }
9、测试,我们可以使用这些账号登录进行测试!发现会报错!
there is no passwordencoder mapped for the id “null”
10、原因,我们要将前端传过来的密码进行某种方式加密,否则就无法登录,修改代码
11、测试,登录成功,并且每个角色只能访问自己认证下的规则
权限控制和注销
1、开启自动配置的注销的功能
2、在前端,增加一个注销的按钮,index.html 导航栏中
<a class="item" th:href="@{/logout}" rel="external nofollow" > <i class="sign-out icon"></i> 注销 </a>
3、可以去测试一下,登录成功后点击注销,发现注销完毕会跳转到登录页面!
4、但是,我们想让他注销成功后,依旧可以跳转到首页,该怎么处理呢?
// .logoutsuccessurl("/"); 注销成功来到首页 http.logout().logoutsuccessurl("/");
5、测试,注销完毕后,发现跳转到首页ok
6、现在来一个需求:用户没有登录的时候,导航栏上只显示登录按钮,用户登录之后,导航栏可以显示登录的用户信息及注销按钮!还有就是,比如longdi这个用户,它只有 vip2,vip3功能,那么登录则只显示这两个功能,而vip1的功能菜单不显示!这个就是真实的网站情况了!
我们需要结合thymeleaf中的一些功能
sec:authorize="isauthenticated()":是否认证登录!来显示不同的页面
maven依赖:
<dependency> <groupid>org.thymeleaf.extras</groupid> <artifactid>thymeleaf-extras-springsecurity5</artifactid> <version>3.0.4.release</version> </dependency>
7、修改我们的 前端页面
导入命名空间 xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"
修改导航栏,增加认证判断
8、重启测试,可以登录试试看,登录成功后确实,显示了我们想要的页面;
9、如果注销404了,就是因为它默认防止csrf跨站请求伪造,因为会产生安全问题,可以将请求改为post表单提交,或者在spring security中关闭csrf功能;试试在 配置中增加
10、继续将下面的角色功能块认证完成!测试成功!
到此这篇关于java spring security认证与授权及注销和权限控制篇综合解析的文章就介绍到这了,更多相关java spring security内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持!