devbox
天景科技苑
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

SpringBoot整合SpringSecurity详细教程(实战开发讲解)_springboot+springsecurity

作者:天景科技苑 | 2024-07-05 16:04:05

springboot+springsecurity

今天小编使用到了SpringBoot+SpringSecurity进行公司项目开发,之前使用到项目都是采用xml配置来整合SpringSecurity,对于第一次使用SpringBoot整合SpringSecurity也是比较陌生,过程中也是遇到各种各样的问题,在CSDN的知识海洋中遗留的相关的整合教程也是五花八门,找一篇完整的教程简直像是大海捞针,so,小编决定亲自挥笔,整顿这种低质量博文

首先、我们创建一个SpringBoot项目工程,SpringBoot项目工程的搭建,小编这里就不做演示,比较简单 ,目前已经搭建并成功启动

接下来、对于SpringBoot整合SpringSecurity最重要的一步,毫无疑问必然是SpringSecurity依赖导入,这里导入的是spring-boot-starter-security依赖

  1. <!--springSecurity-->
  2. <dependency>
  3.      <groupId>org.springframework.boot</groupId>
  4.      <artifactId>spring-boot-starter-security</artifactId>
  5. </dependency>

 依赖已经成功导入,此时你访问SpringBoot项目地址:http://localhost:8080/,你将会跳转到SpringSecurity默认的登录页面,由于小编这里只是讲解操作,所以就没有设置自定义的登陆页面,默认登陆页面如下:

 SpringSecurity其实设置的有默认的登录账号和密码,默认的账号是user,默认的登录密码在SpringBoot项目启动的时候会自动生成,图中红框部分就是SpringSecurity生成的初始密码,大家可以自行测试登陆

 接下来的知识和操作就比较重要了,大家一定要收藏、关注加点赞,拿出自己的小本本记录下来,下面即将讲述SpringSecurity相关的配置操作

首先,建立一个config文件包,用来存储相关的SpringSecurity的配置文件类

第二、新建一个SpringSecurity的配置类SecurityConfig,继承于WebSecurityConfigurerAdapter,代码块如图所示,大家可以直接复制,下面会对其中存疑的代码进行解释

  1. package com.geli.config;
  2.  
  3. import com.geli.service.impl.LoginUserDetailsService;
  4. import org.springframework.beans.factory.annotation.Autowired;
  5. import org.springframework.context.annotation.Bean;
  6. import org.springframework.context.annotation.Configuration;
  7. import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  8. import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  9. import org.springframework.security.config.annotation.web.builders.WebSecurity;
  10. import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  11. import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  12. import org.springframework.security.crypto.password.PasswordEncoder;
  13.  
  14. @Configuration
  15. public class SecurityConfig extends WebSecurityConfigurerAdapter {
  16.     @Autowired
  17.     private LoginUserDetailsService loginUserDetailsService;
  18.     
  19.     @Override
  20.     protected void configure(AuthenticationManagerBuilder auth) throws Exception {
  21.         auth.userDetailsService(loginUserDetailsService)// 设置自定义的userDetailsService
  22.                 .passwordEncoder(passwordEncoder());
  23.     }
  24.  
  25.     @Override
  26.     public void configure(WebSecurity web) throws Exception {
  27.         web.ignoring().antMatchers("/css/**","/fonts/**","/images/**","/js/**");
  28.     }
  29.  
  30.     @Bean
  31.     public PasswordEncoder passwordEncoder(){
  32.         // 使用BCrypt加密密码
  33.         return new BCryptPasswordEncoder();
  34.     }
  35.  
  36.  
  37.     @Override
  38.     protected void configure(HttpSecurity http) throws Exception {
  39.         http.headers().frameOptions().disable();//开启运行iframe嵌套页面
  40.         http//1、配置权限认证
  41.                 .authorizeRequests()
  42.                 //配置不拦截路由
  43.                 .antMatchers("/500").permitAll()
  44.                 .antMatchers("/403").permitAll()
  45.                 .antMatchers("/404").permitAll()
  46.                 .antMatchers("/goLogin.do").permitAll()
  47.                 .antMatchers("/login.do").permitAll()
  48.                 .anyRequest() //任何其它请求
  49.                 .authenticated() //都需要身份认证
  50.                 .and()
  51.                 //2、登录配置表单认证方式
  52.                 .formLogin()
  53.                 .loginPage("/goLogin.do")//自定义登录页面的url
  54.                 .usernameParameter("username")//设置登录账号参数,与表单参数一致
  55.                 .passwordParameter("password")//设置登录密码参数,与表单参数一致
  56.                 // 告诉Spring Security在发送指定路径时处理提交的凭证,默认情况下,将用户重定向回用户来自的页面。登录表单form中action的地址,也就是处理认证请求的路径,
  57.                 // 只要保持表单中action和HttpSecurity里配置的loginProcessingUrl一致就可以了,也不用自己去处理,它不会将请求传递给Spring MVC和您的控制器,所以我们就不需要自己再去写一个/user/login的控制器接口了
  58.                 .loginProcessingUrl("/login.do")//配置默认登录入口
  59.                 .defaultSuccessUrl("/goIndex.do")//登录成功后默认的跳转页面路径
  60.                 .failureUrl("/goLogin.do?error=true")
  61.                 .and()
  62.                 //3、注销
  63.                 .logout()
  64.                 .logoutUrl("/logout.do")
  65.                 .permitAll()
  66.                 .and()
  67.                 //4、session管理
  68.                 .sessionManagement()
  69.                 .invalidSessionUrl("/login.html") //失效后跳转到登陆页面
  70.                 //单用户登录,如果有一个登录了,同一个用户在其他地方登录将前一个剔除下线
  71.                 //.maximumSessions(1).expiredSessionStrategy(expiredSessionStrategy())
  72.                 //单用户登录,如果有一个登录了,同一个用户在其他地方不能登录
  73.                 //.maximumSessions(1).maxSessionsPreventsLogin(true) ;
  74.                 .and()
  75.                 //5、禁用跨站csrf攻击防御
  76.                 .csrf()
  77.                 .disable();
  78.     }
  79.  
  80. }

1、对于注入的loginUserDetailsService对象,马上就会讲到,后面会创建,大家不用着急

2、第二部分代码是认证管理器的,大家自行复制就行

 3、第三部分是用来放行静态资源文件的,SpringSecurity会默认拦截静态资源文件

4、第四部分代码是用来设置加密方式的

 5、最后一部分是用来设置权限认证配置

第三、新建上面缺少的LoginUserDetailsService类,该类需要添加@Service注解,所以小编放置在service包下面在,该类实现UserDetailsService接口,其中注入的是查询数据库的UserService,没有注入dao,只是为了方便测试,打开根据自己需要进行修改就是,目的只是为了查询数据库数据

  1. package com.geli.service.impl;
  2.  
  3. import com.geli.domain.Permission;
  4. import com.geli.domain.User;
  5. import org.springframework.security.core.GrantedAuthority;
  6. import org.springframework.security.core.authority.SimpleGrantedAuthority;
  7. import org.springframework.security.core.userdetails.UserDetails;
  8. import org.springframework.security.core.userdetails.UserDetailsService;
  9. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  10. import org.springframework.stereotype.Service;
  11.  
  12. import javax.annotation.Resource;
  13. import java.util.ArrayList;
  14. import java.util.List;
  15.  
  16.  
  17. @Service
  18. public class LoginUserDetailsService implements UserDetailsService {
  19.     @Resource
  20.     private UserServiceImpl userService;
  21.     
  22.  
  23.  
  24.     @Override
  25.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  26.         User user = userService.findUserByUserName(username);
  27.         if (user == null){
  28.             throw new UsernameNotFoundException("not found");
  29.         }
  30.         //定义权限列表.
  31.         List<GrantedAuthority> authorities = new ArrayList<>();
  32.         // 用户可以访问的资源名称(或者说用户所拥有的权限) 注意:必须"ROLE_"开头
  33.         if (user.getRole()!=null){
  34.             authorities.add(new SimpleGrantedAuthority(user.getRole().getKeyWord()));
  35.             if (user.getRole().getPermissionList() !=null && user.getRole().getPermissionList().size()>0){
  36.                 for (Permission permission : user.getRole().getPermissionList()) {
  37.                     authorities.add(new SimpleGrantedAuthority(permission.getKeyWord()));
  38.                 }
  39.             }
  40.         }
  41.  
  42.         org.springframework.security.core.userdetails.User user1 = new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), authorities);
  43.         return user1;
  44.     }
  45. }

其中比较重要的就是添加用户角色和权限的部分,大家根据自己的实际需求进行修改就可以 ,就是图中这部分代码

 第四,小编这里贴一下自己的实体类代码,大家可以方便理解

用户实体类

  1. package com.geli.domain;
  2.  
  3. import lombok.AllArgsConstructor;
  4. import lombok.Data;
  5. import lombok.NoArgsConstructor;
  6. import java.io.Serializable;
  7. import java.util.Date;
  8.  
  9. @NoArgsConstructor
  10. @AllArgsConstructor
  11. @Data
  12. public class User implements Serializable {
  13.     private Integer id; //用户id
  14.     private String username;    //用户账号
  15.     private String password;    //用户密码
  16.     private String addUser;     //添加用户人员账号
  17.     private String editUser;  //编辑用户人员账号
  18.     private Date addDate;   //添加账号时间
  19.     private Date updateDate;    //更新账号时间
  20.     private Role role;  //用户角色
  21.  
  22. }

角色实体类

  1. package com.geli.domain;
  2.  
  3. import lombok.AllArgsConstructor;
  4. import lombok.Data;
  5. import lombok.NoArgsConstructor;
  6. import java.io.Serializable;
  7. import java.util.Set;
  8.  
  9. @Data
  10. @NoArgsConstructor
  11. @AllArgsConstructor
  12. public class Role implements Serializable {
  13.     private Integer id;     //角色id
  14.     private String name;    //角色名称
  15.     private String keyWord; //角色关键字
  16.     private String description; //角色描述
  17.     private Set<Permission> permissionList;    //用户权限集合
  18. }

权限实体类

  1. package com.geli.domain;
  2.  
  3. import lombok.AllArgsConstructor;
  4. import lombok.Data;
  5. import lombok.NoArgsConstructor;
  6. import java.io.Serializable;
  7.  
  8. @Data
  9. @NoArgsConstructor
  10. @AllArgsConstructor
  11. public class Permission implements Serializable {
  12.     private Integer id;     //权限id
  13.     private String name;    //权限名称
  14.     private String keyWord; //权限关键字
  15.     private String description; //权限描述
  16.  
  17. }

第四、就下来就是测试SpringSecurity,小编在UserServiceImpl里面添加了一个用户账号,代码如图所示:

  1. import com.geli.service.UserService;
  2. import org.springframework.stereotype.Service;
  3.  
  4. @Service
  5. public class UserServiceImpl implements UserService {
  6.     @Override
  7.     public User findUserByUserName(String username) {
  8.         User user = new User();
  9.         user.setId(1);
  10.         user.setUsername("D46033");
  11.   user.setPassword("$2a$10$Pgs46f8LzTjOvA5Sg6qDkOBbUoAtWQQdHFoEbbmWPak.34/NwJQrW");
  12.         return user;
  13.     }
  14. }

进入登陆页面 

 登陆成功之后自动跳转到自定义的index页面

 以上就是SpringBoot整合SpringSecurity的所有内容,中间测试过程中缺少了相关配置,与SpringSecurity无关,小编就不进行展示了,一篇小小的文章耗费的是作者众多实验的心血,希望大家多多支持,一键三连!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/天景科技苑/article/detail/790467
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号