初探Spring Security

Spring Security

简介

Spring Security是Spring家族中的一个组成框架,具有强大且高度可定制的身份验证和访问控制功能,致力于为Java应用程序提供身份的验证和授权

(先来一个小案例叭)

本人的环境如下

IDEA:2019.3.5

Maven: 3.6.3

JDK: 1.8

1.创建一个Maven项目

2.引入依赖

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-parent</artifactId>
        <version>2.0.6.RELEASE</version>
    </parent>

    <dependencies>
        <!--spring boot web-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!--Spring Security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    </dependencies>

3.创建启动类

@SpringBootApplication
public class SecurityApplication {
    public static void main(String[] args) {
        SpringApplication.run(SecurityApplication.class, args);
    }
}

4.写一个测试方法(Controller层)

@RestController
@RequestMapping("/test")
public class SecurityController {

    @RequestMapping("sayHello")
    public String sayHello() {
        return "Hello Spring Security";
    }
}

然后我们就可以启动我们的小demo啦,启动的时候输出控制台会打印Spring Security的登录密码(每次启动都会重新初始化),是由UUID生成的,用户名默认是user,输入用户名和密码,登录就成功啦。

5.修改登录的用户名和密码

在resources目录下创建一个配置文件application.properties(application.yml),

# 自定义 spring security用户名和密码
spring.security.user.name=huang
spring.security.user.password=123456

不想要Spring Security的登录也是可以去掉的(关闭验证),只要把Security的自动配置去掉就可以啦,在启动类的@SpringBootApplication注解中添加就好。

@SpringBootApplication(exclude = SecurityAutoConfiguration.class)

6.基于内存的用户信息

有时候我们的用户名和密码太多,写在配置文件中不好,可以把用户名和密码保存到内存中进行管理。

1)要写一个配置类

一个继承了 WebSecurityConfigurerAdapter抽象类的类,重写它的 config 方法,在方法里面添加用户

//添加为配置类(相当于spring的xml文件)
@Configuration
//开启Spring Security功能
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //加密
         PasswordEncoder pe = passwordEncoder();
        
        auth.inMemoryAuthentication()
                .withUser("huangxc")
                .password(pe.encode("123456"))
                .roles();
        auth.inMemoryAuthentication()
                .withUser("xian")
                .password(pe.encode("654321"))
                .roles();
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password(pe.encode("admin"))
                .roles();
    }
}

这样当我们启动项目时,就可以使用config方法里面配置的用户名和密码了。如果你的Spring Security版本是5(现在只出到5)的话,是会报错的(java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null”),原因是密码不能使用明文的方式,要进行加密。

配置类中加如下代码进行加密就好,PasswordEncoder是一个接口,有很多加密算法的子类,而 new BCryptPasswordEncoder就是其中一个。

    //把方法添加到spring容器中
	@Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
2)对用户添加角色

在项目中,一个用户往往可以具有多个角色的权限,可以在添加用户的时候进行设置,在roles方法中添加角色(可以添加多个),我这里以添加两个为例。

配置类上面添加一个注解

//开启方法级别的认证
@EnableGlobalMethodSecurity(prePostEnabled = true)

控制器中写两个方法来测试一下

    @RequestMapping("commonUser")
	//表示这个方法有两个角色
   @PreAuthorize(value = "hasAnyRole('admin','normal')")
    public String commonUser() {
        return "Hello 只用户normal角色";
    }

    @RequestMapping("adminUser")
	//表示这个方法只拥有 admin 这个角色
    @PreAuthorize(value = "hasAnyRole('admin'")
    public String adminUser() {
        return "Hello 用户 admin 和 normal两个角色";
    }

@PreAuthorize:进行方法前的验证,比如我admin这个用户去进行登录,两个方法都可以访问,如果是 huangxc或者是xian这两个用户去访问,只能访问commonUser()这个方法(温馨提示:每次测试的时候记得要轻触缓存)。

Tags: