這篇文章主要介紹了SpringBoot + Spring Security 簡單入門

Spring Security 基本介紹

這里就不對Spring Security進行過多的介紹了，具體的可以參考?官方文檔

我就只說下SpringSecurity核心功能:

認證（你是誰）

授權（你能干什么）

攻擊防護（防止偽造身份）

基本環(huán)境搭建

這里我們以SpringBoot作為項目的基本框架，我這里使用的是maven的方式來進行的包管理，所以這里先給出集成Spring Security的方式

<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><parent><artifactId>jeecg-boot-cloud-study</artifactId><groupId>com.jeecg.cloud</groupId><version>1.0.0</version></parent><modelVersion>4.0.0</modelVersion><artifactId>jeecg-boot-security</artifactId><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency></dependencies></project>

然后建立一個Web層請求接口

@RestController @RequestMapping("/user") public class UserController {@GetMappingpublic String getUsers() { return "Hello Jeecg Spring Security";} }

接下來可以直接進行項目的運行，并進行接口的調(diào)用看看效果了。

通過網(wǎng)頁的調(diào)用

我們首先通過瀏覽器進行接口的調(diào)用，直接訪問http://localhost:8080/user，如果接口能正常訪問，那么應該顯示“Hello Jeecg Spring Security”。

但是我們是沒法正常訪問的，出現(xiàn)了下圖的身份驗證輸入框

?

這是因為在SpringBoot中，引入的Spring Security依賴，權限控制自動生效了，此時的接口都是被保護的，我們需要通過驗證才能正常的訪問。 Spring Security提供了一個默認的用戶，用戶名是user，而密碼則是啟動項目的時候自動生成的。

我們查看項目啟動的日志，會發(fā)現(xiàn)如下的一段Log

Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c

當然你看到的password肯定和我是不一樣的，我們直接用user和啟動日志中的密碼進行登錄。

登錄成功后，就跳轉到了接口正常調(diào)用的頁面了。

如果不想一開始就使能Spring Security，可以在配置文件中做如下的配置：

# security 使能 security.basic.enabled = false

剛才看到的登錄框是SpringSecurity是框架自己提供的，被稱為httpBasicLogin。顯示它不是我們產(chǎn)品上想要的，我們前端一般是通過表單提交的方式進行用戶登錄驗證的，所以我們就需要自定義自己的認證邏輯了。

自定義用戶認證邏輯

每個系統(tǒng)肯定是有自己的一套用戶體系的，所以我們需要自定義自己的認證邏輯以及登錄界面。 這里我們需要先對SpringSecurity進行相應的配置

package org.jeecg.auth.config;import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.formLogin() // 定義當需要用戶登錄時候，轉到的登錄頁面。.loginProcessingUrl("/user/login") // 自定義的登錄接口.and().authorizeRequests() // 定義哪些URL需要被保護、哪些不需要被保護.anyRequest() // 任何請求,登錄后可以訪問.authenticated();} }

自定義密碼加密解密

package org.jeecg.auth.config;import org.springframework.context.annotation.Bean; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.stereotype.Component;@Component public class MyPasswordEncoder implements PasswordEncoder {@Overridepublic String encode(CharSequence charSequence) {return charSequence.toString();}@Overridepublic boolean matches(CharSequence charSequence, String s) {return s.equals(charSequence.toString());} }

接下來再配置用戶認證邏輯，因為我們是有自己的一套用戶體系的

package org.jeecg.auth.config;import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.authority.AuthorityUtils; import org.springframework.security.core.userdetails.User; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.security.crypto.factory.PasswordEncoderFactories; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.stereotype.Component;@Component public class MyUserDetailsService implements UserDetailsService {private Logger logger = LoggerFactory.getLogger(getClass());@Autowiredprivate PasswordEncoder passwordEncoder;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {logger.info("用戶的用戶名: {}", username);// TODO 根據(jù)用戶名，查找到對應的密碼，與權限// 封裝用戶信息，并返回。參數(shù)分別是：用戶名，密碼，用戶權限User user = new User(username, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));return user;} }

這里我們沒有進行過多的校驗，用戶名可以隨意的填寫，但是密碼必須得是“123456”，這樣才能登錄成功。

同時可以看到，這里User對象的第三個參數(shù)，它表示的是當前用戶的權限，我們將它設置為”admin”。

我們這里隨便填寫一個user，然后Password寫填寫一個錯誤的（非123456）的。這時會提示校驗錯誤：

?

同時在控制臺，也會打印出剛才登錄時填寫的user

現(xiàn)在我們再來使用正確的密碼進行登錄試試，可以發(fā)現(xiàn)就會通過校驗，跳轉到正確的接口調(diào)用頁面了。

UserDetails

剛剛我們在寫MyUserDetailsService的時候，里面實現(xiàn)了一個方法，并返回了一個UserDetails。這個UserDetails 就是封裝了用戶信息的對象，里面包含了七個方法

public interface UserDetails extends Serializable {// 封裝了權限信息Collection<? extends GrantedAuthority> getAuthorities();// 密碼信息String getPassword();// 登錄用戶名String getUsername();// 帳戶是否過期boolean isAccountNonExpired();// 帳戶是否被凍結boolean isAccountNonLocked();// 帳戶密碼是否過期，一般有的密碼要求性高的系統(tǒng)會使用到，比較每隔一段時間就要求用戶重置密碼boolean isCredentialsNonExpired();// 帳號是否可用boolean isEnabled(); }

我們在返回UserDetails的實現(xiàn)類User的時候，可以通過User的構造方法，設置對應的參數(shù)

密碼加密解密

SpringSecurity中有一個PasswordEncoder接口

public interface PasswordEncoder {// 對密碼進行加密String encode(CharSequence var1);// 對密碼進行判斷匹配boolean matches(CharSequence var1, String var2); }

我們只需要自己實現(xiàn)這個接口，并在配置文件中配置一下就可以了。

總結

以上是生活随笔為你收集整理的SpringBoot + Spring Security 简单入门的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。