SpringBoot安全管理之Spring Security如何配置

这篇文章主要介绍了SpringBoot安全管理之SpringSecurity如何配置的相关知识，内容详细易懂，操作简单快捷，具有一定借鉴价值，相信大家阅读完这篇SpringBoot安全管理之SpringSecurity如何配置文章都会有所收获，下面我们一起来看看吧。在 Java 开发领域常见的安全框架有 Shiro 和 Spring Security。Shiro 是一个轻量级的安全管理框架，提供了认证、授权、会话管理、密码管理、缓存管理等功能。Spring Security 是一个相对复杂的安全管理框架，功能比 Shiro 更加强大，权限控制细粒度更高，对 OAuth 2 的支持也很友好，又因为 Spring Security 源自 Spring 家族，因此可以和 Spring 框架无缝整合，特别是 Spring Boot 中提供的自动化配置方案，可以让 Spring Security 的使用更加便捷。创建一个 Spring Boot 项目，然后添加 spring-boot-starter-security 依赖即可启动成功后，访问 /hello 接口就会自动跳转到登录页面，这个登录页面是由 Spring Security 提供的默认的用户名是 user ，默认的登录密码则在每次启动项目时随机生成，查看项目启动日志Using generated security password: 4f845a17-7b09-479c-8701-48000e89d364登录成功后，用户就可以访问 /hello 接口了如果开发者对默认的用户名和密码不满意，可以在 application.properties 中配置默认的用户名、密码以及用户角色spring.security.user.name=tangsan
spring.security.user.password=tangsan
spring.security.user.roles=admin开发者也可以自定义类继承自 WebSecurityConfigurer，进而实现对 Spring Security 更多的自定义配置，例如基于内存的认证，配置方式如下：代码解释：自定义 MyWebSecurityConfig 继承自 WebSecurityConfigurerAdapter ，并重写 configure(AuthenticationManagerBuilder auth) 方法，在该方法中配置两个用户，一个用户是 admin ，具备两个角色 ADMIN、USER；另一个用户是 tangsan ，具备一个角色 USER此处使用的 Spring Security 版本是 5.0.6 ，在 Spring Security 5.x 中引入了多种密码加密方式，开发者必须指定一种，此处使用 NoOpPasswordEncoder ，即不对密码进行加密注意：基于内存的用户配置，在配置角色时不需要添加 “ROLE_” 前缀，这点和后面 10.2 节中基于数据库的认证有差别。配置完成后，重启项目，就可以使用这里配置的两个用户进行登录了。虽然现在可以实现认证功能，但是受保护的资源都是默认的，而且不能根据实际情况进行角色管理，如果要实现这些功能，就需要重写 Web免费云主机域名SecurityConfigurerAdapter 中的另一个方法代码解释：首先配置了三个用户，root 用户具备 ADMIN 和 DBA 的角色，admin 用户具备 ADMIN 和 USER 角色，tangsan 用于具备 USER 角色调用 authorizeRequests() 方法开启 HttpSecurity 的配置，antMatchers() ，hasRole() ，access() 方法配置访问不同的路径需要不同的用户及角色anyRequest()，authenticated() 表示出了前面定义的之外，用户访问其他的 URL 都必须认证后访问formLogin()，loginProcessingUrl(“/login”)，permitAll()，表示开启表单登录，前面看到的登录页面，同时配置了登录接口为 /login 即可以直接调用 /login 接口，发起一个 POST 请求进行登录，登录参数中用户名必须命名为 username ，密码必须命名为 password，配置 loginProcessingUrl 接口主要是方便 Ajax 或者移动端调用登录接口。最后还配置了 permitAll，表示和登录相关的接口都不需要认证即可访问。配置完成后，在 Controller 中添加如下接口进行测试：根据上文配置，“/admin/hello” 接口 root 和 admin 用户具有访问权限；“/user/hello” 接口 admin 和 tangsan 用户具有访问权限；“/db/hello” 只有 root 用户有访问权限。浏览器中的测试很容易，这里不再赘述。目前为止，登录表单一直使用 Spring Security 提供的页面，登录成功后也是默认的页面跳转，但是，前后端分离已经成为企业级应用开发的主流，在前后端分离的开发方式中，前后端的数据交互通过 JSON 进行，这时，登录成功后就不是页面跳转了，而是一段 JSON 提示。要实现这些功能，只需要继续完善上文的配置代码解释：loginPage(“/login_page”) 表示如果用户未获授权就访问一个需要授权才能访问的接口，就会自动跳转到 login_page 页面让用户登录，这个 login_page 就是开发者自定义的登录页面，而不再是 Spring Security 提供的默认登录页loginProcessingUrl(“/login”) 表示登录请求处理接口，无论是自定义登录页面还是移动端登录，都需要使用该接口usernameParameter(“name”)，passwordParameter(“passwd”) 定义了认证所需要的用户名和密码的参数，默认用户名参数是 username，密码参数是 password，可以在这里定义successHandler() 方法定义了登录成功的处理逻辑。用户登录成功后可以跳转到某一个页面，也可以返回一段 JSON ，这个要看具体业务逻辑，此处假设是第二种，用户登录成功后，返回一段登录成功的 JSON 。onAuthenticationSuccess 方法的第三个参数一般用来获取当前登录用户的信息，在登录后，可以获取当前登录用户的信息一起返回给客户端failureHandler 方法定义了登录失败的处理逻辑，和登录成功类似，不同的是，登录失败的回调方法里有一个 AuthenticationException 参数，通过这个异常参数可以获取登录失败的原因，进而给用户一个明确的提示配置完成后，使用 Postman 进行测试如果登录失败也会有相应的提示如果想要注销登录，也只需要提供简单的配置即可代码解释：logout() 表示开启注销登录的配置logoutUrl(“/logout”) 表示注销登录请求 URL 为 /logout ，默认也是 /logoutclearAuthentication(true) 表示是否清楚身份认证信息，默认为 trueinvalidateHttpSession(true) 表示是否使 Session 失效，默认为 trueaddLogoutHandler 方法中完成一些数据清楚工作，例如 Cookie 的清楚logoutSuccessHandler 方法用于处理注销成功后的业务逻辑，例如返回一段 JSON 提示或者跳转到登录页面等如果业务比较复杂，也可以配置多个 HttpSecurity ，实现对 WebSecurityConfigurerAdapter 的多次扩展代码解释：配置多个 HttpSecurity 时，MultiHttpSecurityConfig 不需要继承 WebSecurityConfigurerAdapter ，在 MultiHttpSecurityConfig 中创建静态内部类继承 WebSecurityConfigurerAdapter 即可，静态内部类上添加 @Configuration 注解和 @Order注解，数字越大优先级越高，未加 @Order 注解的配置优先级最低AdminSecurityConfig 类表示该类主要用来处理 “/admin/**” 模式的 URL ，其它 URL 将在 OtherSecurityConfig 类中处理略Spring Security 提供了多种密码加密方案，官方推荐使用 BCryptPasswordEncoder，BCryptPasswordEncoder 使用 BCrypt 强哈希函数，开发者在使用时可以选择提供 strength 和 SecureRandom 实例。strength 越大，密码的迭代次数越多，密钥迭代次数为 2^strength 。strength 取值在 4~31 之间，默认为 10 。只需要修改上文配置的 PasswordEncoder 这个 Bean 的实现即可参数 10 就是 strength ，即密钥的迭代次数（也可以不配置，默认为 10）。使用以下方式获取加密后的密码。修改配置的内存用户的密码虽然 admin 和 tangsan 加密后的密码不一样，但是明文都是 123123 配置完成后，使用 admin/123123，或 tangsan/123123 就可以实现登录，一般情况下，用户信息是存储在数据库中的，因此需要用户注册时对密码进行加密处理用户将密码从前端传来之后，通过 BCryptPasswordEncoder 实例中的 encode 方法对密码进行加密处理，加密完成后将密文存入数据库。上文介绍的认证和授权都是基于 URL 的，开发者也可通过注解来灵活配置方法安全，使用相关注解，首先要通过 @EnableGlobalMethodSecurity 注解开启基于注解的安全配置代码解释：prePostEnabled = true 会解锁 @PreAuthorize 和 @PostAuthorize 两个注解， @PreAuthorize 注解会在方法执行前进行验证，而 @PostAuthorize 注解在方法执行后进行验证securedEnabled = true 会解锁 @Secured 注解开启注解安全后，创建一个 MethodService 进行测试代码解释：@Secured(“ROLE_ADMIN”) 注解表示访问该方法需要 ADMIN 角色，注意这里需要在角色前加一个前缀 ROLE_@PreAuthorize(“hasRole(‘ADMIN’) and hasRole(‘DBA’)”) 注解表示访问该方法既需要 ADMIN 角色又需要 DBA 角色@PreAuthorize(“hasAnyRole(‘ADMIN’,‘DBA’,‘USER’)”) 表示访问该方法需要 ADMIN 、DBA 或 USER 角色中至少一个@PostAuthorize 和 @PreAuthorize 中都可以使用基于表达式的语法最后在 Controller 中注入 Service 并调用 Service 中的方法进行测试admin 访问 helloadmin 访问 hello2admin 访问 hello3关于“SpringBoot安全管理之SpringSecurity如何配置”这篇文章的内容就介绍到这里，感谢各位的阅读！相信大家对“SpringBoot安全管理之SpringSecurity如何配置”知识都有一定的了解，大家如果还想学习更多知识，欢迎关注百云主机行业资讯频道。

相关推荐: VB.NET纸张规格枚举值的含义是什么

这篇文章主要讲解了“VB.NET纸张规格枚举值的含义是什么”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习“VB.NET纸张规格枚举值的含义是什么”吧！位于System.Drawing.Printing命名空间下的…