Springboot整合Security

2023-11-27 13:31:40 浏览数 (2)

Springboot整合Security

步骤

1. 创建maven项目

2.导入相关依赖

代码语言:javascript复制
<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.6.RELEASE</version>
    </parent>

    <dependencies>
        <!--web-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!--thymeleaf集成springsecurity4-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
            <version>3.0.2.RELEASE</version>
        </dependency>
        <!--thymeleaf-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
    </dependencies>

4. 创建一些简单的页面

5. 创建controller和启动类

代码语言:javascript复制
@Controller
public class routerController {
    @RequestMapping({"/","index"})
    public String index(){//跳转首页的方法
        return "index";
    }
    @RequestMapping("/add")
    public String add(){//跳转添加页的方法
        return  "add";
    }
    @RequestMapping("/delete")
    public String delete(){//跳转删除页的方法
        return  "delete";
    }
    @RequestMapping("/toLogin")
    public String toLogin(){//跳转登录页的方法
        return  "login";
    }
}

6. 配置授权信息

让添加和删除需要有对应的权限才可以访问

1. 导入Secuity依赖
代码语言:javascript复制
 <!--spring-security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
2. 编写配置类 继承WebSecurityConfigurerAdapter类 加上注解 @EnableWebSecurity 启动security

重写父类的configure方法 实现授权操作

3. 首页可以所有人访问 如下配置
代码语言:javascript复制
 @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可以访问 permitAll()所有/请求能通过
        http.authorizeRequests()
                .antMatchers("/").permitAll();

    }
4. 添加和删除请求需要有权限才能访问
代码语言:javascript复制
 @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可以访问 permitAll()所有/请求能通过
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/add").hasRole("addRole") //添加请求需要addRole权限
                .antMatchers("/delete").hasRole("deleteRole");//删除请求需要deleteRole权限

    }

访问发现 报错 403 权限不足

5. 配置没有权限自动跳到默认登录页

开启登录页面 formLogin()

重新访问add请求 发现跳进了security默认提供的登录页

6. 配置认证 添加虚拟用户
代码语言:javascript复制
@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())//必须开启加密验证 才能访问成功 不然登录失败
                //添加一个joker_dj用户 账号为joker_dj 密码为加密的密码new BCryptPasswordEncoder().encode("123456")  拥有的权限为 addRole
                .withUser("joker_dj").password(new BCryptPasswordEncoder().encode("123456")).roles("addRole");
    }

点击添加跳进登录页面 输入账号密码

访问成功

7. 开启注销功能
代码语言:javascript复制
//开启注销功能 默认的url:/logout
        http.logout();

前端页面访问/logout

点击注销

注销后自动跳进登录页面

配置注销后跳进指定地页面

代码语言:javascript复制
 //logoutSuccessUrl() 注销后跳进的url
        http.logout()
        .logoutSuccessUrl("/");
8. 控制页面的显示隐藏 (权限控制)

注意:springboot2.0.9版本以后的不支持security标签,我们需要下降版本才能看到效果

在index.html中控制链接的显示隐藏

代码语言:javascript复制
<!--获取登录的用户名 默认为:anonymousUser-->
<div>
    <span sec:authentication="name"></span>
</div>
<!--拥有addRole权限显示-->
<div sec:authorize="hasRole('addRole')">
    <a th:href="@{/add}">添加</a>
</div>
<!--拥有deleteRole权限显示-->
<div sec:authorize="hasRole('deleteRole')">
    <a th:href="@{/delete}">删除</a>
</div>
<!--未登录显示 登录后隐藏-->
<div sec:authorize="!isAuthenticated()">
    <a th:href="@{/toLogin}">登录</a>
</div>
<!--未登录隐藏 登录后显示-->
<div sec:authorize="isAuthenticated()">
    <a th:href="@{logout}">注销</a>
</div>

启动访问 只能看到登录页面

尝试登录· 注意:我们需要访问/login才能进行访问 还没有配置自己的登陆页面 由于版本过低 默认登录页面变成了这样

输入用户名密码

登录成功后 显示用户名和添加的链接 登录链接也隐藏了 删除链接没有权限也被隐藏

点击注销 会发现报错 原因 security怕收到csrf攻击 开启了csrf防御 需要手动关闭 什么是csrf攻击 可以看这篇文章 https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369

9. 关闭csrf
代码语言:javascript复制
 //关闭csrf
        http.csrf().disable();

再次注销可以成功了

10. 定制自己的登录页面
代码语言:javascript复制
//定制自己的登录页面
        http.formLogin()
                .loginPage("/toLogin");

输入用户名密码 点击登录按钮 会发现登陆失败 找不到 /login请求

解决: 第一种方式 把form表单的action改成和loginPage()的地址一样 注意:提交方式一定要是post

第二种方式: 配置登录请求的url

代码语言:javascript复制
//.loginProcessingUrl("/login"); 验证登录请求的url
        http.formLogin()
                .loginPage("/toLogin")
                .loginProcessingUrl("/login");

登录成功

11. 记住我功能的开启

配置类:

登录页:

代码语言:javascript复制
<form th:action="@{/login}" method="post">
    <input type="text" name="username">
    <input type="password" name="password">
    <input type="checkbox" name="remberme"> 记住我
    <input type="submit"value="登录">
</form>

再次登录 开启记住我 查看Cookeis 会发现Security把我们的用户信息存到了cookies中

ok到此结束 注意点:版本问题,csrf问题,post提交问题 少踩坑

0 人点赞