【Spring Boot】用 Spring Security 实现后台登录及权限认证功能
创始人
2024-11-10 03:13:31
0

用 Spring Security 实现后台登录及权限认证功能

  • 1.引入依赖
  • 2.创建权限开放的页面
  • 3.创建需要权限验证的页面
  • 4.配置 Spring Security
    • 4.1 配置 Spring MVC
    • 4.2 配置 Spring Security
  • 5.创建登录页面
  • 6.测试权限

1.引入依赖

使用前需要引入相关依赖,见以下代码:

 	 		org.springframework.boot 		spring-boot-starter-web 	 	 	 		org.springframework.boot 		spring-boot-starter-security 	 	 	 		org.springframework.boot 		spring-boot-starter-thymeleaf 	 	 	 		org.thymeleaf.extras 		thymeleaf-extras-springsecurity5

2.创建权限开放的页面

这个页面(welcome.html)是不需要鉴权即可访问的,以区别演示需要鉴权的页面,见以下代码:

  	Spring Security 案例 	 		
Welcome!
 		
会员中心

3.创建需要权限验证的页面

其实可以和不需要鉴权的页面一样,鉴权可以不在 HTML 页面中进行,见以下代码:

  	home 	 		
会员中心
 		
Hello

使用 Spring Security 5 之后,可以在模板中用 [[${#httpServletRequest.remoteUser}]] 来获取用户名。登岀请求将被发送到 /logout。成功注销后,会将用户重定向到 /login?logout

4.配置 Spring Security

4.1 配置 Spring MVC

可以继承 WebMvcConfigurer,具体使用见以下代码:

package com.example.demo.config;  import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.ViewControllerRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;  @Configuration public class WebMvcConfig implements WebMvcConfigurer {     @Override     public void addViewControllers(ViewControllerRegistry registry) {         //设置登录处理操作         registry.addViewController("/home").setViewName("springsecurity/home");         registry.addViewController("/").setViewName("springsecurity/welcome");         registry.addViewController("/login").setViewName("springsecurity/login");     } }

在这里插入图片描述

4.2 配置 Spring Security

Spring Security 的安全配置需要继承 WebSecurityConfigurerAdapter,然后重写其方法, 见以下代码:

package com.example.demo.config;  import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;  @Configuration // 指定为 Spring Security 配置类 @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter {      @Override     protected void configure(HttpSecurity http) throws Exception {         http.authorizeRequests()                 .antMatchers("/", "/welcome", "/login").permitAll()                 .anyRequest().authenticated()                 .and()             .formLogin()             	.loginPage("/login").defaultSuccessUrl("/home")                 .and()             .logout().permitAll();     }       @Autowired     public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {         auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())                 .withUser("admin").password("$2a$10$AlpMTGDkUfYJMnb3/uNT1.mLxLJng7Uplfzpv5yIqZTkYtYsiiYbO").roles("USER");     } }
  • @EnableWebSecurity 注解:集成了 Spring Security 的 Web 安全支持。
  • @WebSecurityConfig:在配置类的同时集成了 WebSecurityConfigurerAdapter,重写了其中的特定方法,用于自定义 Spring Security 配置。Spring Security 的工作量都集中在该配置类。
  • configure(HttpSecurity):定义了哪些 URL 路径应该被拦截。
  • configureGlobaI(AuthenticationManagerBuiIder):在内存中配置一个用户,admin / pipi,这个用户拥有 User 角色。
  • 确保 antMatchers(xxx).permitAll() 的配置在需要认证和授权的 URL 路径之前。因为 Spring Security 会按照配置文件的顺序来匹配 URL 路径,如果 antMatchers(xxx).permitAll() 在后面,那么前面的认证和授权规则会覆盖掉它。
  • .logout().permitAll() 表示在 Spring Security 配置中,‌无论用户是否经过身份验证,‌都可以访问注销(‌logout)‌页面。‌这意味着,‌即使是一个未经过身份验证的用户也可以访问注销功能,‌这在某些情况下可能是一个安全隐患。‌因此,‌这个配置通常用于开发环境或测试环境,‌以确保用户可以轻松地测试注销功能,‌而在生产环境中,‌出于安全考虑,‌通常会更加限制对注销页面的访问权限。‌

5.创建登录页面

登录页面要特别注意是否开启了 CSRF 功能。如果开启了,则需要提交 token 信息。创建的登录页面见以下代码:

  	Spring Security Example  	 		
 		    无效的用户名或者密码 		
 		
 		    你已经登出

6.测试权限

启动项目,访问首页 http://localhost:8080

在这里插入图片描述

单击 “会员中心”,尝试访问受限的页面 http://localhost:8080/home。由于未登录,结果被强制跳转到登录页面 http://localhost:8080/login

在这里插入图片描述

输入正确的用户名和密码 (admin, pipi) 之后,跳转到之前想要访问的 /home, 显示用户名 admin

在这里插入图片描述

单击 “登出” 按钮,回到登录页面。

在这里插入图片描述

上一篇:新2024版教程!WePoKer原来是真的有挂,wepoker俱乐部有挂的(有挂辅导)

下一篇:七分钟了解!wepoker软件透明挂黑科技(辅助挂)微扑克德州发牌规律(有挂手段)

相关内容

热门资讯

针对!微信新众游辅助(辅助)果... 针对!微信新众游辅助(辅助)果然是真的有辅助教程(有挂细节)1、游戏颠覆性的策略玩法,独创攻略技巧玩...
黑科技辅助挂!微信牵手跑的快辅... 黑科技辅助挂!微信牵手跑的快辅助(辅助)竟然真的是有辅助器(今日头条)小薇(辅助器软件下载)致您一封...
据公告内容!乐酷大厅怎么安装(... 据公告内容!乐酷大厅怎么安装(辅助)一直是有辅助软件(真是有挂)1、完成乐酷大厅怎么安装有辅助插件,...
今年以来!新超圣辅助靠谱不(辅... 今年以来!新超圣辅助靠谱不(辅助)好像是真的有辅助教程(有挂神器)1、全新机制【新超圣辅助靠谱不ai...
据权威媒体报道!老友赣州麻将破... 据权威媒体报道!老友赣州麻将破解版(辅助)果然是有辅助神器(有挂猫腻)1、玩家可以在老友赣州麻将破解...
此事引发网友热议!闲聚鱼虾蟹软... 此事引发网友热议!闲聚鱼虾蟹软件脚本(辅助)真是真的是有辅助挂(有挂技术)1、用户打开应用后不用登录...
事发当天!边锋干瞪眼辅助器(辅... 事发当天!边锋干瞪眼辅助器(辅助)真是存在有辅助方法(有挂实锤)1、边锋干瞪眼辅助器免费辅助多个强度...
为了进一步!欢乐联盟免费辅助(... 为了进一步!欢乐联盟免费辅助(辅助)一直是有辅助软件(有挂助手)运欢乐联盟免费辅助辅助工具,进入游戏...
复盘辅助挂!和和营口辅助(辅助... 复盘辅助挂!和和营口辅助(辅助)果然是真的有辅助器(今日头条)和和营口辅助是不是有人用挂微扑克wpk...
技巧辅助挂!极速摇一摇鱼虾蟹辅... 技巧辅助挂!极速摇一摇鱼虾蟹辅助(辅助)一贯确实有辅助软件(有挂神器)极速摇一摇鱼虾蟹辅助透视方法中...