文章詳情頁

Spring Security 在 Spring Boot 中的使用詳解【集中式】

瀏覽：97日期：2023-08-07 18:30:50

1.1 準備

1.1.1 創建 Spring Boot 項目

創建好一個空的 Spring Boot 項目之后，寫一個 controller 驗證此時是可以直接訪問到該控制器的。

1.1.2 引入 Spring Security

在 Spring Boot 中引入 Spring Security 是相當簡單的，可以在用腳手架創建項目的時候勾選，也可以創建完畢后在 pom 文件中加入相關依賴。

Spring Security 在 Spring Boot 中的使用詳解【集中式】

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId></dependency>

引入 Spring Security 后再次訪問會發現直接被彈到了登錄頁面，此時我們還什么都沒有配置，為什么 Security 會生效呢，這是因為 Spring Boot 幫我們完成了在 Spring 中需要完成的諸多配置【☞ Spring Security 基礎入門】。也正是因為 Spring Boot 提供了自動化配置方案，讓我們可以“零配置”的使用 Spring Security，所以在 Spring Boot 項目中我們通常使用的安全框架是 Spring Security 而在 Spring 中一般使用 Shiro。

Spring Security 在 Spring Boot 中的使用詳解【集中式】

我們并沒有配置靜態的用戶那么該如何登錄呢，Spring Boot 為我們提供了一個默認的用戶，用戶名為：user，密碼則是在啟動 Spring Boot 項目是隨機生成的，我們可以在控制臺找到他。

Spring Security 在 Spring Boot 中的使用詳解【集中式】

1.2 配置認證

1.2.1 添加靜態用戶

Spring Boot 除了一些信息寫道 yml 配置文件中，其他配置都使用配置類，Spring Security 需要繼承 WebSecurityConfigurerAdapter，配置用戶信息需要重寫 configure(AuthenticationManagerBuilder auth) 方法。配置完畢后，將不會再使用 user 用戶。

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description Spring Security 配置類 */@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 配置靜態用戶 auth.inMemoryAuthentication() .withUser('admin') .password('{noop}123') // 此處需要加 {noop} 表示該密碼為明文 .roles('USER'); }}

1.2.2 添加數據庫認證 ☞ 添加用戶實體類

Spring Security 中使用的用戶是 UserDetails，我們要么讓自定義用戶類實現 UserDetails，要么使用時將自定義用戶類轉換為 UserDetails。建議實現 UserDetails。因為該類中涉及到角色信息所以我們還需要創建角色類。我們在以后的操作中可能會將對象轉為 json 或者將 json 轉為對象，所以我們重寫的方法需要加上 @JsonIgnore 將其忽略(該類本來就需要的不用忽略)。

/** * Created with IntelliJ IDEA. * * @author gaohu9712@163.com * @date 2020/10/18 * @description 用戶實體類 */public class SysUser implements UserDetails { private Long id; private String username; private String passwrod; private List<SysRole> roleList = new ArrayList<>(); public Long getId() { return id; } public void setId(Long id) { this.id = id; } public void setUsername(String username) { this.username = username; } public void setPasswrod(String passwrod) { this.passwrod = passwrod; } public List<SysRole> getRoleList() { return roleList; } public void setRoleList(List<SysRole> roleList) { this.roleList = roleList; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { return roleList; } @Override public String getPassword() { return passwrod; } @Override public String getUsername() { return username; } @Override @JsonIgnore public boolean isAccountNonExpired() { return false; } @Override @JsonIgnore public boolean isAccountNonLocked() { return false; } @Override @JsonIgnore public boolean isCredentialsNonExpired() { return false; } @Override @JsonIgnore public boolean isEnabled() { return false; }}

☞ 創建角色類

Spring Security 中使用的角色信息使用的是 GrantedAuthority 所以我們的角色類也需要實現 GrantedAuthority。

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description 角色類 */public class SysRole implements GrantedAuthority { private Long id; private String roleName; private String roleDesc; public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getRoleName() { return roleName; } public void setRoleName(String roleName) { this.roleName = roleName; } public String getRoleDesc() { return roleDesc; } public void setRoleDesc(String roleDesc) { this.roleDesc = roleDesc; } @Override @JsonIgnore public String getAuthority() { return roleName; }}

☞ 添加持久層

此處省略使用通用 mapper 操作數據庫的內容【☞ Mybatis 使用通用 mapper】，jpa 等其他操作數據庫的方法亦可。

☞ 認證類

Spring Boot 中 Spring Security 的認證類與 Spring 中的并無區別，都需要實現 UserDetailsService 接口，然后重寫 loadUserByUsername(String s) 方法并返回一個 UserDetails。

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description 認證類 */ public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserMapper userMapper; @Override public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { return userMapper.findByName(s); }}

☞ 配置類

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description Spring Security 配置類 */@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Bean // BCrypt 交由 Ioc 容器管理 public BCryptPasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 認證類 auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); }}

1.3 授權

1.3.1 開啟方法級授權

在啟動類上使用 @EnableGlobalMethodSecurity 注解開啟方法級授權。參數 prePostEnabled 代表 Spring 中的權限控制注解；securedEnabled 代表 Spring Security 中的權限控制注解； jsr250Enabled 代表 jsr250 的權限控制注解。

@SpringBootApplication@MapperScan('com.software.springsecurity.mapper')@EnableGlobalMethodSecurity(securedEnabled = true)public class SpringSecurityApplication { public static void main(String[] args) { SpringApplication.run(SpringSecurityApplication.class, args); }}

1.3.2 添加方法權限

當用戶僅有 ROLE_USER 權限時僅能訪問 findStr 方法而不能訪問 get 方法；要想訪問 get 方法用戶必須具有 ROLE_ADMIN 權限。

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description */@RestController@RequestMapping('/demo')public class DemoController { @GetMapping('/find') @Secured('ROLE_USER') public String findStr() { return '請求成功'; } @GetMapping('/get') @Secured('ROLE_ADMIN') public String get() { return 'get'; }}

Spring Security 在 Spring Boot 中的使用詳解【集中式】

1.3.3 異常攔截頁面

@ControllerAdvicepublic class HandlerControllerAdvice { @ExceptionHandler(AccessDeniedException.class) public String handlerException(){ return 'redirect:/403.html'; } @ExceptionHandler(RuntimeException.class) public String runtimeHandlerException(){ return 'redirect:/500.html'; }}

總結

到此這篇關于Spring Security 在 Spring Boot 中的使用詳解【集中式】的文章就介紹到這了,更多相關Spring Security 在 Spring Boot使用內容請搜索好吧啦網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持好吧啦網！

Spring

上一條：Spring 配置文件字段注入到List、Map下一條：詳解Spring與Mybatis整合方法（基于IDEA中的Maven整合）

相關文章：

1. ASP.NET MVC把數據庫中枚舉項的數字轉換成文字2. 用xslt+css讓RSS顯示的跟網頁一樣漂亮3. 《CSS3實戰》筆記--漸變設計（一)4. .NET擴展方法使用實例詳解5. 測試模式 - XSL教程 - 56. 讓chatgpt將html中的圖片轉為base64方法示例7. html5手機觸屏touch事件介紹8. CSS3實現動態翻牌效果仿百度貼吧3D翻牌一次動畫特效9. ASP.NET Core自定義中間件的方式詳解10. ASP.NET泛型三之使用協變和逆變實現類型轉換

排行榜

					
					解決python打開https出現certificate verify failed的問題
IntelliJ IDEA創建web項目的方法
Sun討論修改Java許可證 新CEO可能開放源碼
在Android中使用WebSocket實現消息通信的方法詳解
idea2020.1最新版永久破解/pycharm也可用(步驟詳解)
Python生成六萬個隨機,唯一的8位數字和數字組成的隨機字符串實例
讓chatgpt將html中的圖片轉為base64方法示例
php strncmp函數原型源碼分析
java設計模式之Interpreter
html5手機觸屏touch事件介紹
ASP.NET泛型三之使用協變和逆變實現類型轉換
				