前幾天寫了一個SpringBoot對攔截器的使用,在實際專案中,對一些情況需要做一些安全驗證,比如在沒有登入的情況下訪問特定的頁面應該解釋的攔截處理。這一篇介紹使用SpringSecurity來做簡單的安全控制,由於SpringSecurity比較複雜,如果有不對的地方可以大家一起學習。
新建專案,前端頁面使用thymeleaf,加入security依賴,pom檔案如下:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.dalaoyang</groupId>
<artifactId>springboot_security</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>jar</packaging>
<name>springboot_security</name>
<description>springboot_security</description>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>1.5.9.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<properties>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
<java.version>1.8</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-devtools</artifactId>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>net.sourceforge.nekohtml</groupId>
<artifactId>nekohtml</artifactId>
<version>1.9.15</version>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>
複製程式碼
配置檔案本文就是將之前整合thymeleaf的配置拿了過來,程式碼如下:
##埠號
server.port=8888
##去除thymeleaf的html嚴格校驗
spring.thymeleaf.mode=LEGACYHTML5
#設定thymeleaf檔案路徑 預設為src/main/resources/templates
spring.freemarker.template-loader-path=classpath:/templates
#設定靜態檔案路徑,js,css等
spring.mvc.static-path-pattern=/static/**
# 是否開啟模板快取,預設true
# 建議在開發時關閉快取,不然沒法看到實時頁面
spring.thymeleaf.cache=false
# 模板編碼
spring.freemarker.charset=UTF-8
複製程式碼
接下來是這篇文章重要的地方,新建一個SecurityConfig類,繼承WebSecurityConfigurerAdapter類,重寫configure(HttpSecurity httpSecurity)方法,其中/css/**和/index的資源不需要驗證,直接可以請求,/user/**的資源需要驗證,許可權是USER,/admin/**的資源需要驗證,許可權是ADMIN,登入地址是/login,登入失敗地址是/login_error,異常重定向到 /401,登出跳轉到/logout。
注入AuthenticationManagerBuilder,在記憶體中建立一個使用者dalaoyang,密碼123的使用者,許可權是USER,程式碼如下:
package com.dalaoyang.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
/**
* @author dalaoyang
* @Description
* @project springboot_learn
* @package com.dalaoyang.config
* @email yangyang@dalaoyang.cn
* @date 2018/4/28
*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// /css/**和/index的資源不需要驗證,直接可以請求
// /user/**的資源需要驗證,許可權是USER /admin/**的資源需要驗證,許可權是ADMIN
// 登入地址是/login 登入失敗地址是 /login_error
// 異常重定向到 /401
// 登出跳轉到 /logout
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception{
httpSecurity
.authorizeRequests()
.antMatchers("/css/**","/index").permitAll()
.antMatchers("/user/**").hasRole("USER")
.antMatchers("/admin/**").hasRole("ADMIN")
.and()
.formLogin().loginPage("/login").failureUrl("/login_error")
.and()
.exceptionHandling().accessDeniedPage("/401");
httpSecurity.logout().logoutSuccessUrl("/logout");
}
//記憶體中建立使用者,使用者名稱為dalaoyang,密碼123,許可權是USER
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("dalaoyang").password("123").roles("USER");
}
}
複製程式碼
建立一個TestController負責跳轉,程式碼如下:
package com.dalaoyang.controller;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
/**
* @author dalaoyang
* @Description
* @project springboot_learn
* @package com.dalaoyang.controller
* @email yangyang@dalaoyang.cn
* @date 2018/4/28
*/
@Controller
public class TestController {
@RequestMapping("/")
public String index(){
return "index";
}
@RequestMapping("/index")
public String index2(){
return "index";
}
@RequestMapping("/user")
public String user(){
return "user/index";
}
@RequestMapping("/admin")
public String admin(){
return "admin/index";
}
@RequestMapping("/login")
public String login(){
return "login";
}
@RequestMapping("/login_error")
public String login_error(Model model){
model.addAttribute("login_error", "使用者名稱或密碼錯誤");
return "login";
}
@RequestMapping("/logout")
public String logout(Model model){
model.addAttribute("login_error", "登出成功");
return "login";
}
@RequestMapping("/401")
public String error(){
return "401";
}
}
複製程式碼
建立一個user/index.html,用於校驗USER許可權,沒有登入的話不能直接訪問,程式碼如下:
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
<meta charset="UTF-8">
<title>user/index</title>
</head>
<body>
user/index
<form th:action="@{/logout}" method="post">
<input type="submit" value="登出"/>
</form>
</body>
</html>
複製程式碼
建立一個admin/index.html,只允許ADMIN許可權訪問,程式碼如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>admin</title>
</head>
<body>
admin/index
</body>
</html>
複製程式碼
401頁面,用於沒有許可權跳轉:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>401</title>
</head>
<body>
401
</body>
</html>
複製程式碼
index頁面,任何許可權都能訪問
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
<meta charset="UTF-8">
<title>index</title>
</head>
<body>
index
</body>
</html>
複製程式碼
login頁面,用於登入
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
<meta charset="UTF-8">
<title>login</title>
</head>
<body>
<h1>login</h1>
<form th:action="@{/login}" method="post">
<span th:text="${login_error}"></span>
<br/>
<input type="text" name="username">使用者名稱<br/>
<input type="password" name="password">密碼<br/>
<input type="submit" value="登入">
</form>
</body>
</html>
複製程式碼
到這裡就全部建立完成了,啟動專案,訪問http://localhost:8888/,如圖,可以直接訪問。
訪問http://localhost:8888/user被攔截到http://localhost:8888/login,如圖
先輸入錯誤的密碼,如圖
然後輸入使用者名稱dalaoyang密碼123,點選登入結果如圖
訪問http://localhost:8888/admin,如圖,沒有許可權
我們在回到http://localhost:8888/user點選登出,如圖
原始碼下載 :大老楊碼雲
個人網站:dalaoyang.cn