日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

一、什么是Spring Security？

Spring Security是一個(gè)功能強(qiáng)大且高度可定制的身份驗(yàn)證和訪問控制框架，它是用于保護(hù)基于Spring的應(yīng)用程序的實(shí)際標(biāo)準(zhǔn)。

Spring Security是一個(gè)框架，致力于為JAVA應(yīng)用程序提供身份驗(yàn)證和授權(quán)。與所有Spring項(xiàng)目一樣，Spring Security的真正強(qiáng)大之處在于可以輕松擴(kuò)展以滿足自定義要求。

更多信息可以查看官網(wǎng)：https://spring.io/projects/spring-security

二、Spring Security的主要功能

• 認(rèn)證：驗(yàn)證用戶名和密碼是否合法（是否系統(tǒng)中用戶）
• 授權(quán)：是系統(tǒng)用戶不代表你能使用某些功能，因?yàn)槟憧赡軟]有權(quán)限
• 防御會(huì)話固定，點(diǎn)擊劫持，跨站點(diǎn)請(qǐng)求偽造等攻擊
• Servlet API集成
• 與Spring Web MVC的可選集成

三、快速入門

新建一個(gè)SpringBoot的web項(xiàng)目spring-boot-security。

案例1：接口不添加保護(hù)

pom文件中不引入Spring Security，然后新建一個(gè)controller：

@RestController
public class AppController {

 @GetMapping("/hello")
 public String hello() {
 return "Hello,spring security!";
 }
}

然后打開瀏覽器訪問：http://localhost:8080/hello，成功后返回：

Hello,spring security!

案例2：接口添加保護(hù)

1. pom文件添加依賴

pom文件中引入Spring Security的starter：

<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-security</artifactId>
 </dependency>

1. 訪問接口

打開瀏覽器再次訪問http://localhost:8080/hello，會(huì)被重定向到登錄頁http://localhost:8080/login，截圖如下：

要登錄系統(tǒng)，我們需要知道用戶名和密碼，Spring Security默認(rèn)的用戶名是user，項(xiàng)目啟動(dòng)的時(shí)候會(huì)生成默認(rèn)密碼（在啟動(dòng)日志中可以看到），輸入用戶名和密碼后就可以訪問/hello接口了。

當(dāng)然也可以自定義用戶名密碼，在配置文件添加如下內(nèi)容即可：

spring.security.user.name=java_suisui
spring.security.user.password=123456

四、自定義認(rèn)證和授權(quán)

上面說過Spring Security的功能有“認(rèn)證”和“授權(quán)”，下面通過一個(gè)簡(jiǎn)單的例子實(shí)現(xiàn)下自定義的認(rèn)證和授權(quán)。

假設(shè)系統(tǒng)中有兩個(gè)角色：

• ADMIN 可以訪問/admin下的資源
• USER 可以訪問/user下的資源

按照下面步驟操作即可。

1. 新建一個(gè)配置類

對(duì)于用戶名、密碼、登錄頁面、訪問權(quán)限等都可以在 WebSecurityConfigurerAdapter 的實(shí)現(xiàn)類中配置。

WebSecurityConfig代碼如下：

/**
 * 配置類
 * @Author java_suisui
 *
 */
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

 @Override
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 //配置內(nèi)存中的 用戶名、密碼和角色
 auth.inMemoryAuthentication().passwordEncoder(new MyPasswordEncoder()).withUser("user").password("123456").roles("USER");
 auth.inMemoryAuthentication().passwordEncoder(new MyPasswordEncoder()).withUser("admin").password("123456").roles("ADMIN");
 }

 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http.authorizeRequests()
 .antMatchers("/login").permitAll()
 .antMatchers("/user").hasRole("USER") //訪問 /user這個(gè)接口，需要有USER角色
 .antMatchers("/admin").hasRole("ADMIN")
 .anyRequest().authenticated() //剩余的其他接口，登錄之后就能訪問
 .and()
 .formLogin().defaultSuccessUrl("/hello");
 }
}

1. 創(chuàng)建PasswordEncorder的實(shí)現(xiàn)類

內(nèi)存用戶驗(yàn)證時(shí)，Spring Boot 2.0以上版本引用的security 依賴是 spring security 5.X版本，此版本需要提供一個(gè)PasswordEncorder的實(shí)例。

MyPasswordEncoder代碼如下：

public class MyPasswordEncoder implements PasswordEncoder {
 @Override
 public String encode(CharSequence rawPassword) {
 return rawPassword.toString();
 }

 @Override
 public boolean matches(CharSequence rawPassword, String encodedPassword) {
 return encodedPassword.equals(rawPassword);
 }
}

1. 登錄驗(yàn)證

瀏覽器打開http://localhost:8080/login，

• 使用user登錄，可以訪問/user
• 使用admin登錄，可以訪問/admin

如果使用user登錄后訪問/admin，會(huì)報(bào)403錯(cuò)誤，具體錯(cuò)誤信息如下：

Whitelabel Error Page
This application has no explicit mapping for /error, so you are seeing this as a fallback.

There was an unexpected error (type=Forbidden, status=403).
Forbidden

結(jié)果和我們預(yù)期的一致，說明簡(jiǎn)單的自定義認(rèn)證和授權(quán)功能已經(jīng)實(shí)現(xiàn)了。