Springboot整合SpringSecurity 03-访问权限控制
在Springboot整合SpringSecurity 02-使用自定义登陆页面中我们已经学会了自定义自己的登陆页面了。
下面让我们继续学习SpringSecurity的权限控制。
本系列的按顺序写的,如果对于某些代码不清楚,请看下前面的几篇文章。
1.配置我们的静态资源,更新登陆页面
通常我们的网页都是需要引用静态css,images等资源的。所以这里我们模拟平常的开发场景。
在static/css目录下面创建一个test.css。内容如下:
.error {
color: red;
}
.username {
color: gray;
}
我们在我们自定义的login.html登陆页面里面引入这些静态资源。
<!DOCTYPE HTML>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" >
<link rel="stylesheet" type="text/css" th:href="@{/static/css/test.css}"/>
<body>
<h1>This is My Login Page</h1>
<form th:action="@{/login}" method="post">
<p th:if="${error != null}">
<span>
<font class="error">Invalid username and password.</font>
</span>
</p>
<p th:if="${logout != null}">
<span>You are logout.</span>
</p>
<p>
<label for="username">Username</label>
<input class="username" type="text" id="username" name="username"/>
</p>
<p>
<label for="password">Password</label>
<input type="password" id="password" name="password"/>
</p>
<input type="hidden"
th:name="${_csrf.parameterName}"
th:value="${_csrf.token}"/>
<button type="submit" class="btn">Log in</button>
</form>
</body>
</html>
2.创建几个接口
package com.demo.spring.security.controller;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
/**
* @author flw
*/
@Controller
public class HelloController {
@GetMapping("hello")
public String hello() {
return "hello";
}
@GetMapping("login")
public String login(@RequestParam(required = false) String error,
@RequestParam(required = false) String logout,
Model model) {
if (error != null) {
model.addAttribute("error", "error");
}
if (logout != null) {
model.addAttribute("logout", "logout");
}
return "login";
}
@GetMapping("/common/hello")
@ResponseBody
public String common() {
return "common";
}
@GetMapping("/user/hello")
@ResponseBody
public String user() {
return "user";
}
@GetMapping("/admin/hello")
@ResponseBody
public String admin() {
return "admin";
}
}
这里面我们额外创建了三个接口。/common/hello,/user/hello,/admin/hello
用来等下我们设置权限访问使用。
3.配置WebSecurityConfig
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
@Override
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withDefaultPasswordEncoder().username("user")
.password("user").roles("USER").build());
manager.createUser(User.withDefaultPasswordEncoder().username("admin")
.password("admin").roles("ADMIN").build());
manager.createUser(User.withDefaultPasswordEncoder().username("dba")
.password("dba").roles("DBA","USER").build());
return manager;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/static/**", "/common/**","/login/**").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").access("hasRole('USER') and hasRole('DBA')")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll();
}
}
userDetailsService(): 这里面我们创建了三个用户,user只具有USER权限,admin只具有ADMIN权限,dba具体USER和DBA两个权限。
configure(HttpSecurity http): 这里面我们配置了/static/** 和/common/** 以及 "/login/** 三个路径的请求不需要任何权限,连登陆都不需要。 /admin/** 的请求需要ADMIN权限, /user/**的请求取药USER和DBA两个权限都是存在才能访问。
4.启动项目。
4.1 首先我们访问/common/hello这个不需要权限的接口
http://localhost:10022/security/common/hello
在浏览器输入后直接可以返回common字符串。说明/common/** 路径的请求不需要任何权限,甚至都不用登陆就可以访问。
4.2 然后我们访问/admin/hello这个接口
http://localhost:10022/security/admin/hello
可以看到我们跳转到了登陆页面,通过F12可以看到我们的test.css被放行了,说明静态资源可以访问。
然后我们输入admin/admin的账号密码。
可以正常访问到http://localhost:10022/security/admin/hello,并返回admin字符串。
然后我们访问/user/hello的接口再试试。
http://localhost:10022/security/admin/hello
可以看到浏览器上面返回报错:
Whitelabel Error Page
This application has no explicit mapping for /error, so you are seeing this as a fallback.
Thu Sep 12 21:06:56 CST 2019
There was an unexpected error (type=Forbidden, status=403).
Forbidden
请求被forbidden掉了,证明admin没有/user/hello的访问权限。
4.3 继续访问/user/hello这个接口
首先我们继续回到登录
http://localhost:10022/security/login
输入user/user
这时候可能页面报错,不用担心,这是因为我们没有设置默认的登陆成功跳转页面。
而这次我们又是直接进入的登陆页面,所以登陆成功后没有成功的跳转页面,导致404。
登陆完成后,我们在浏览器中请求/user/hello接口
http://localhost:10022/security/user/hello
结果依然是403,因为我们设置了 /user/** 的请求需要同时 具有DBA和USER的权限。所以user用户还是不符合要求。
Whitelabel Error Page
This application has no explicit mapping for /error, so you are seeing this as a fallback.
Thu Sep 12 21:12:30 CST 2019
There was an unexpected error (type=Forbidden, status=403).
Forbidden
下面我们继续回到登陆页面,使用dba/dba的账号密码登陆。
然后继续访问http://localhost:10022/security/user/hello
可以看到。这次正确的返回了user字符串。