1.Spring Security簡介
Spring Security是針對Spring專案的安全框架,也是Spring Boot底層安全模組預設的技術選型。他可以實現強大的web安全控制。對於安全控制,我們僅需引入spring-boot-starter-security模組,進行少量的配置,即可實現強大的安全管理。
WebSecurityConfigurerAdapter:自定義Security策略
AuthenticationManagerBuilder:自定義認證策略
@EnableWebSecurity:開啟WebSecurity模式
應用程式的兩個主要區域是'認證'和'授權'(或者訪問控制)。
'認證'和'授權'主要區域是Spring Security 的兩個目標。
認證(Authentication),是建立一個他宣告的主體的過程(一個'主體'一般是指使用者,裝置或一些可以在你的應用程式中執行動作的其他系統)
'授權'(Authorization)指確定一個主體是否允許在你的應用程式執行一個動作的過程。為了抵達需要授權的店,主體的身份已經有認證過程建立。
2.Spring Security使用
(1).建立工程
|
|
(2).引入SpringSecurity
|
<!--security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> |
(3).匯入檔案
(4).SpringSecurity配置類
HttpSecurity配置登陸、登出功能
|
package com.hosystem.security.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@EnableWebSecurity public class MySecurityConfig extends WebSecurityConfigurerAdapter{
//定義授權規則 @Override protected void configure(HttpSecurity http) throws Exception { // super.configure(http);
//定製請求的授權規則 http.authorizeRequests().antMatchers("/").permitAll() .antMatchers("/level1/**").hasRole("VIP1") .antMatchers("/level2/**").hasRole("VIP2") .antMatchers("/level3/**").hasRole("VIP3");
//開啟自動配置登入功能 http.formLogin(); //1. /login到登入頁 //2. 重定向到/login?error表示登入失敗 //3. 更多詳細規定 }
//定義認證規則 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // super.configure(auth);
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()) .withUser("tom").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP1","VIP2") .and() .withUser("jack").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP2","VIP3") .and() .withUser("lucy").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP1","VIP3");
} } |
注:如果出現There is no PasswordEncoder mapped for the id “null”
或者 Encoded password does not look like bcrypt(Bad credentials)基本都是springsecurity版本的問題。只需要使用passwordEncoder(new BCryptPasswordEncoder())替換原來的即可。
|
#老版本springsecurity auth.inMemoryAuthentication().withUser("user").password("123456").roles("VIP1");
#新版本springsecurity auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()) .withUser("tom").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP1","VIP2"); |
(5).Thymeleaf提供的SpringSecurity標籤支援
[1].引入thymeleaf-extras-springsecurity5
|
<!--springsecurity5--> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </dependency> |
[2].sec:authorize使用
|
<!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>Insert title here</title> </head> <body> <h1 align="center">歡迎光臨武林祕籍管理系統</h1> <div sec:authorize="!isAuthenticated()"> <h2 align="center">遊客您好,如果想檢視武林祕籍 <a th:href="@{/login}">請登入</a></h2> </div> <div sec:authorize="isAuthenticated()"> <h2><span sec:authentication="name"></span>,你好,你的角色有: <span sec:authentication="principal.authorities"></span></h2> <form th:action="@{/logout}" method="post"> <input type="submit" value="登出" |