怎样进行添加Spring-Security支持
怎样进行添加Spring-Security支持,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。
添加maven依赖:
添加配置:
新建包config: 类SecurityConfig继承于WebSecurityConfigurerAdapter.
configure(HttpSecurity http)方法: 在该方法内配置web路径和对应的权限
http.authorizeRequests().antMatchers(...): 配置web路径
permitAll(),.hasRole(),.hasAnyRole等: 配置web路径对应的权限.
例如: .antMatchers("/manage/**").hasRole("ADMIN")
表示路径/manage下的所有地址和资源,需要具有ROLE_ADMIN角色的用户才能访问.
.formLogin().loginPage("/login") // 指定了登录页面
.successForwardUrl("/sign_in").failureUrl("/sign_in")
指定spring-security认证完成(成功/失败)后回调的路径(GET),该路径通常是我们自己的controller方法,方法里可以定义登录反馈,具体见项目代码.
.logout().logoutRequestMatcher(new AntPathRequestMatcher("/logout")).logoutSuccessUrl("/").permitAll(): 定义注销的路径,并且所有用户都可访问该方法.
configure(AuthenticationManagerBuilder auth): 在该方法内配置自定义的安全认证类
auth.authenticationProvider(securityEncrypt): 自定义认证
auth.userDetailsService(customUserService): 自定义认证用户信息服务
至此,路径已经具备安全特性了.下面介绍登录认证和用户角色资源管理
登录认证流程:
SecurityConfig.configure: 查找用户认证提供者->SecurityEncrypt
SecurityEncrypt.authenticate: 认证用户凭证
CustomUserService.loadUserByUsername: 加载用户数据库用户信息
密码匹配:
失败: 抛出认证异常
成功: 返回认证用户信息
实际项目中的密码是经过加密的,所以需要自定义认证方案,本项目使用BCrypt加密方式,具体代码见EncryptUtil工具类.
创建类: SecurityEncrypt,自定义认证
authenticate(Authentication authentication): 该方法将对用户输入信息进行匹配
authentication.getName(): 用户输入的用户名
authentication.getCredentials(): 用户输入的密码
UserDetails user = userService.loadUserByUsername(username): 通过用户名加载数据库用户信息
认证完成后(成功/失败)回调 /sign_in.
创建类: CustomUserService,自定义加载数据库用户信息,同时加载用户的角色和角色对资源的访问权限信息.
配置认证完成后的操作:
principal: 已认证对象,null表示认证失败
SPRING_SECURITY_SAVED_REQUEST: spring-security保存到session中的属性,保存了认证前的页面.如果该属性不为null,可以传递给页面让js跳转,即实现了认证后跳转到认证前的页面.
配置某个方法的访问权限:
@PreAuthorize: 在方法执行前将会检查用户是否具有对应的权限,可选值:
Thymeleaf页面中配置权限: hello.html
xmlns:sec="http://www.thymeleaf.org/extras/spring-security": 导入security标签
sec:authorize="hasRole('USER')": 显示该对象需要具有该权限
在github项目中,我定义了两个用户角色和两个资源访问权限
角色(Roles): 注意: spring-security中用户角色默认前缀是ROLE_,后面配置时不要加.
ROLE_USER: 表示已登录用户,注册用户时自动赋予该角色
ROLE_ADMIN: 目前项目中的最高权利角色
角色权限(Privilege)
user:* 表示已注册用户资源访问权限,对应ROLE_USER
global:* 表示最高权限,该类型用户可以访问所有资源,对应ROLE_ADMIN
项目启动时会自动初始化相关权限.
本项目添加了简要的后台管理,用以保存公众号的文章信息。
看完上述内容,你们掌握怎样进行添加Spring-Security支持的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注行业资讯频道,感谢各位的阅读!
