文章詳情頁

Spring Security 在 Spring Boot 中的使用詳解【集中式】

瀏覽：111日期：2023-08-07 18:30:50

1.1 準備

1.1.1 創建 Spring Boot 項目

創建好一個空的 Spring Boot 項目之后，寫一個 controller 驗證此時是可以直接訪問到該控制器的。

1.1.2 引入 Spring Security

在 Spring Boot 中引入 Spring Security 是相當簡單的，可以在用腳手架創建項目的時候勾選，也可以創建完畢后在 pom 文件中加入相關依賴。

Spring Security 在 Spring Boot 中的使用詳解【集中式】

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId></dependency>

引入 Spring Security 后再次訪問會發現直接被彈到了登錄頁面，此時我們還什么都沒有配置，為什么 Security 會生效呢，這是因為 Spring Boot 幫我們完成了在 Spring 中需要完成的諸多配置【☞ Spring Security 基礎入門】。也正是因為 Spring Boot 提供了自動化配置方案，讓我們可以“零配置”的使用 Spring Security，所以在 Spring Boot 項目中我們通常使用的安全框架是 Spring Security 而在 Spring 中一般使用 Shiro。

Spring Security 在 Spring Boot 中的使用詳解【集中式】

我們并沒有配置靜態的用戶那么該如何登錄呢，Spring Boot 為我們提供了一個默認的用戶，用戶名為：user，密碼則是在啟動 Spring Boot 項目是隨機生成的，我們可以在控制臺找到他。

Spring Security 在 Spring Boot 中的使用詳解【集中式】

1.2 配置認證

1.2.1 添加靜態用戶

Spring Boot 除了一些信息寫道 yml 配置文件中，其他配置都使用配置類，Spring Security 需要繼承 WebSecurityConfigurerAdapter，配置用戶信息需要重寫 configure(AuthenticationManagerBuilder auth) 方法。配置完畢后，將不會再使用 user 用戶。

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description Spring Security 配置類 */@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 配置靜態用戶 auth.inMemoryAuthentication() .withUser('admin') .password('{noop}123') // 此處需要加 {noop} 表示該密碼為明文 .roles('USER'); }}

1.2.2 添加數據庫認證 ☞ 添加用戶實體類

Spring Security 中使用的用戶是 UserDetails，我們要么讓自定義用戶類實現 UserDetails，要么使用時將自定義用戶類轉換為 UserDetails。建議實現 UserDetails。因為該類中涉及到角色信息所以我們還需要創建角色類。我們在以后的操作中可能會將對象轉為 json 或者將 json 轉為對象，所以我們重寫的方法需要加上 @JsonIgnore 將其忽略(該類本來就需要的不用忽略)。

/** * Created with IntelliJ IDEA. * * @author gaohu9712@163.com * @date 2020/10/18 * @description 用戶實體類 */public class SysUser implements UserDetails { private Long id; private String username; private String passwrod; private List<SysRole> roleList = new ArrayList<>(); public Long getId() { return id; } public void setId(Long id) { this.id = id; } public void setUsername(String username) { this.username = username; } public void setPasswrod(String passwrod) { this.passwrod = passwrod; } public List<SysRole> getRoleList() { return roleList; } public void setRoleList(List<SysRole> roleList) { this.roleList = roleList; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { return roleList; } @Override public String getPassword() { return passwrod; } @Override public String getUsername() { return username; } @Override @JsonIgnore public boolean isAccountNonExpired() { return false; } @Override @JsonIgnore public boolean isAccountNonLocked() { return false; } @Override @JsonIgnore public boolean isCredentialsNonExpired() { return false; } @Override @JsonIgnore public boolean isEnabled() { return false; }}

☞ 創建角色類

Spring Security 中使用的角色信息使用的是 GrantedAuthority 所以我們的角色類也需要實現 GrantedAuthority。

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description 角色類 */public class SysRole implements GrantedAuthority { private Long id; private String roleName; private String roleDesc; public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getRoleName() { return roleName; } public void setRoleName(String roleName) { this.roleName = roleName; } public String getRoleDesc() { return roleDesc; } public void setRoleDesc(String roleDesc) { this.roleDesc = roleDesc; } @Override @JsonIgnore public String getAuthority() { return roleName; }}

☞ 添加持久層

此處省略使用通用 mapper 操作數據庫的內容【☞ Mybatis 使用通用 mapper】，jpa 等其他操作數據庫的方法亦可。

☞ 認證類

Spring Boot 中 Spring Security 的認證類與 Spring 中的并無區別，都需要實現 UserDetailsService 接口，然后重寫 loadUserByUsername(String s) 方法并返回一個 UserDetails。

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description 認證類 */ public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserMapper userMapper; @Override public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { return userMapper.findByName(s); }}

☞ 配置類

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description Spring Security 配置類 */@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Bean // BCrypt 交由 Ioc 容器管理 public BCryptPasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 認證類 auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); }}

1.3 授權

1.3.1 開啟方法級授權

在啟動類上使用 @EnableGlobalMethodSecurity 注解開啟方法級授權。參數 prePostEnabled 代表 Spring 中的權限控制注解；securedEnabled 代表 Spring Security 中的權限控制注解； jsr250Enabled 代表 jsr250 的權限控制注解。

@SpringBootApplication@MapperScan('com.software.springsecurity.mapper')@EnableGlobalMethodSecurity(securedEnabled = true)public class SpringSecurityApplication { public static void main(String[] args) { SpringApplication.run(SpringSecurityApplication.class, args); }}

1.3.2 添加方法權限

當用戶僅有 ROLE_USER 權限時僅能訪問 findStr 方法而不能訪問 get 方法；要想訪問 get 方法用戶必須具有 ROLE_ADMIN 權限。

/** * Created with IntelliJ IDEA. * * @author Demo_Null * @date 2020/10/18 * @description */@RestController@RequestMapping('/demo')public class DemoController { @GetMapping('/find') @Secured('ROLE_USER') public String findStr() { return '請求成功'; } @GetMapping('/get') @Secured('ROLE_ADMIN') public String get() { return 'get'; }}

Spring Security 在 Spring Boot 中的使用詳解【集中式】

1.3.3 異常攔截頁面

@ControllerAdvicepublic class HandlerControllerAdvice { @ExceptionHandler(AccessDeniedException.class) public String handlerException(){ return 'redirect:/403.html'; } @ExceptionHandler(RuntimeException.class) public String runtimeHandlerException(){ return 'redirect:/500.html'; }}

總結

到此這篇關于Spring Security 在 Spring Boot 中的使用詳解【集中式】的文章就介紹到這了,更多相關Spring Security 在 Spring Boot使用內容請搜索好吧啦網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持好吧啦網！

Spring

上一條：Spring 配置文件字段注入到List、Map下一條：詳解Spring與Mybatis整合方法（基于IDEA中的Maven整合）

相關文章：

1. python如何換行輸出2. Python使用urlretrieve實現直接遠程下載圖片的示例代碼3. python如何計算圓的面積4. Android Studio中一套代碼多渠道打包的實現方法5. Java 接口和抽象類的區別詳解6. Java使用Tesseract-Ocr識別數字7. Python：UserWarning：此模式具有匹配組。要實際獲得組，請使用str.extract8. Android打包篇:Android Studio將代碼打包成jar包教程9. 詳解java google Thumbnails 圖片處理10. 解決Android Studio 格式化 Format代碼快捷鍵問題

排行榜

					
					springboot多模塊包掃描問題的解決方法
django的autoreload機制實現
SpringBoot Redis自適應配置的實現(Cluster Standalone Sentinel)
完美解決vue 中多個echarts圖表自適應的問題
Ubuntu指令大全系列五——軟件安裝
JSR 198 標準發布-統一IDE插件標準
FreeBSD 獲得了Java re-distribution license
Java 接口和抽象類的區別詳解
Springboot 全局日期格式化處理的實現
開源 Ajax JSF Library - RCFaces 發布
Android Studio中一套代碼多渠道打包的實現方法
				