Spring Security系列之入門應用(二)

文章來源
上一篇文章Spring Security系列之體系結構概述(一)，我們介紹了Spring Security的基礎架構，這一節我們通過Spring官方給出的一個guides例子，來了解Spring Security是如何保護我們的應用的，之後會對進行一個解讀。

引入依賴

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
</dependencies>
複製程式碼

由於我們整合了springboot，所以不需要顯示的引入Spring Security文件中描述core，config依賴，只需要引入spring-boot-starter-security即可。

建立一個不受安全限制的web應用

這是一個首頁，不受安全限制
src/main/resources/templates/home.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Spring Security Example</title>
    </head>
    <body>
        <h1>Welcome!</h1>

        <p>Click <a th:href="@{/hello}">here</a> to see a greeting.</p>
    </body>
</html>
複製程式碼

這個簡單的頁面上包含了一個連結，跳轉到”/hello”。對應如下的頁面
src/main/resources/templates/hello.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1>Hello world!</h1>
    </body>
</html>
複製程式碼

接下來配置Spring MVC，使得我們能夠訪問到頁面。

@Configuration
public class MvcConfig extends WebMvcConfigurerAdapter {

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/home").setViewName("home");
        registry.addViewController("/").setViewName("home");
        registry.addViewController("/hello").setViewName("hello");
        registry.addViewController("/login").setViewName("login");
    }

}
複製程式碼

配置Spring Security

一個典型的安全配置如下所示：

@Configuration
@EnableWebSecurity #<1>
public class WebSecurityConfig extends WebSecurityConfigurerAdapter { <1>
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http #<2>
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth #<3>
            .inMemoryAuthentication()
                .withUser("admin").password("admin").roles("USER");
    }
}
複製程式碼

1. <1> @EnableWebSecurity註解使得SpringMVC整合了Spring Security的web安全支援。另外，WebSecurityConfig配置類同時整合了WebSecurityConfigurerAdapter，重寫了其中的特定方法，用於自定義Spring Security配置。整個Spring Security的工作量，其實都是集中在該配置類，不僅僅是這個入門應用，實際專案中也是如此。
2. <2> configure(HttpSecurity)定義了哪些URL路徑應該被攔截，如字面意思所描述：”/“, “/home”允許所有人訪問，”/login”作為登入入口，也被允許訪問，而剩下的”/hello”則需要登陸後才可以訪問。
3. <3> configureGlobal(AuthenticationManagerBuilder)在記憶體中配置一個使用者，admin/admin分別是使用者名稱和密碼，這個使用者擁有USER角色。

我們目前還沒有登入頁面，下面建立登入頁面：

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Spring Security Example </title>
    </head>
    <body>
        <div th:if="${param.error}">
            Invalid username and password.
        </div>
        <div th:if="${param.logout}">
            You have been logged out.
        </div>
        <form th:action="@{/login}" method="post">
            <div><label> User Name : <input type="text" name="username"/> </label></div>
            <div><label> Password: <input type="password" name="password"/> </label></div>
            <div><input type="submit" value="Sign In"/></div>
        </form>
    </body>
</html>
複製程式碼

這個Thymeleaf模板提供了一個用於提交使用者名稱和密碼的表單,其中name=”username”，name=”password”是預設的表單值，併傳送到“/ login”。 在預設配置中，Spring Security提供了一個攔截該請求並驗證使用者的過濾器。 如果驗證失敗，該頁面將重定向到“/ login?error”，並顯示相應的錯誤訊息。 當使用者選擇登出，請求會被髮送到“/ login?logout”。

最後，我們為hello.html新增一些內容，用於展示使用者資訊。

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
        <form th:action="@{/logout}" method="post">
            <input type="submit" value="Sign Out"/>
        </form>
    </body>
</html>
複製程式碼

我們使用Spring Security之後，HttpServletRequest#getRemoteUser()可以用來獲取使用者名稱。 登出請求將被髮送到“/ logout”。 成功登出後，會將使用者重定向到“/ login?logout”。

新增啟動類

@SpringBootApplication
public class Application {

    public static void main(String[] args) throws Throwable {
        SpringApplication.run(Application.class, args);
    }

}
複製程式碼

測試

訪問首頁http://localhost:8080/:

點選here，嘗試訪問受限的頁面：/hello,由於未登入，結果被強制跳轉到登入也/login：

輸入正確的使用者名稱和密碼之後，跳轉到之前想要訪問的/hello:

點選Sign out退出按鈕，訪問:/logout,回到登入頁面:

總結

本篇文章沒有什麼乾貨，基本算是翻譯了Spring Security Guides的內容，稍微瞭解Spring Security的朋友都不會對這個翻譯感到陌生。考慮到受眾的問題，一個入門的例子是必須得有的，方便後續對Spring Security的自定義配置進行講解。下一節，以此為例，講解這些最簡化的配置背後，Spring Security都幫我們做了什麼工作。

本節所有的程式碼，可以直接在Spring的官方倉庫下載得到， git clone。不過，建議初學者根據文章先一步步配置，出了問題，再與demo進行對比。