第一步,创建springboot的web项目,并导入springSecurity的pom依赖
<!-- spring-security 安全框架依赖 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- spring-boot的web依赖(如果创建项目时没有勾选,可以手动加上) -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
springboot项目如果导入security依赖后会自动托管整个项目,前端在访问项目的任何路径时会被拦截并跳转到security默认的登录页面,登录用户名为user,密码为控制台启动项目时生成的随机密码
第二步 自定义设置用户的认证和请求权限设置
一、自定义设置用户的认证:创建一个配置类(类上加@Configuration),让该类继承WebSecurityConfigurerAdapter类,并添加@EnableGlobalMethodSecurity( prePostEnabled = true)注解启动权限管理功能,重写configure(AuthenticationManagerBuilder auth)方法实现用户登录认证
1.设置固定配置登录的用户(不常用)
@Configuration
//启动 权限管理功能
@EnableGlobalMethodSecurity( prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// 重写配置权限的方法
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
// 固定配置登录的用户
auth.inMemoryAuthentication() // 内存验证
.withUser("tom") //登录的用户名
.password("{bcrypt}$2a$10$Wg.X1U3cKklWFqiZVmIzSeDynq3LcgXRlVhBIAW0s0tmZLRd.5QWy") 登录的mm
.authorities("abc") // 设置权限字符
.and()
.withUser("tom2") //第二个用户,以此类推,.and()后可继续添加用户
.password("{bcrypt}$2a$10$Wg.X1U3cKklWFqiZVmIzSeDynq3LcgXRlVhBIAW0s0tmZLRd.5QWy") //登录的密码
.authorities("abc"); // 设置权限字符
}
}
2.从数据库查询认证,创建一个实现类,通过实现userDetailsService接口,重写里面的loadUserByUsername(String s)方法,当用户点击登录时,此方法的参数会将当前的用户名传入,我们可通过用户名从数据库查询用户信息,将查到的用户信息保存到UserDetails对象中并返回,security框架会将返回的UserDetails对象和当前登录的用户进行认证,如果相同则登录成功。(注意密码必须是带加密的),最后在配置类里设置通过userDetailsServiceI对象验证
package com.security.springSecurity.service;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
// 通过用户名去数据库查询密码及权限
String username = s;
String password = "{bcrypt}$2a$10$Wg.X1U3cKklWFqiZVmIzSeDynq3LcgXRlVhBIAW0s0tmZLRd.5QWy";//123456
String authorities = "abc";
// 将查询到的用户名、密码、权限保存到UserDetails中,框架会自动验证,如果前端传入的和UserDetails中保存一样则会登录成功
UserDetails userDetails = User
.builder()
.username(username)
.password(password)
.authorities(authorities)
.build();
return userDetails;
}
}
@Configuration
//启动 权限管理功能
@EnableGlobalMethodSecurity( prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsServiceImpl;
// 重写配置权限的方法
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
// 通过userDetailsServiceImpl对象验证
auth.userDetailsService(userDetailsServiceImpl);
}
二、自定义设置请求权限:在配置类里继续重写configure(HttpSecurity http){}方法实现设置请求权限
package com.security.springSecurity.config;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
@Configuration
//启动 权限管理功能
@EnableGlobalMethodSecurity( prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests() // 对请求进行权限设置
.antMatchers( // 设置匹配路径
"/index.html",
"/css/*",
"/js/*",
"/login.html",
"/login"
).permitAll() // 对以上匹配路径全部放行
.anyRequest().authenticated() // 对其他请求需要认证
.and().formLogin() // 没有权限会自动跳到登录页
.loginPage("/login.html") // 使用自己的登录页面
.loginProcessingUrl("/login") // 设置登录时表单提交的路径
.failureUrl("/login.html?error")// 登录失败的路径
.defaultSuccessUrl("/index.html")// 设置登录成功的页面
;
http.logout() // 设置登出
.logoutUrl("/logout") // 设置登出的请求路径
.logoutSuccessUrl("/login.html");//登出成功后返回的页面
http.csrf().disable(); //关闭防跨越攻击,最好写上不然容易报错
}
}
三、使用@PreAuthorize注解给Controller中的请求接口设置访问权限字符:设置后当前用户有该权限字符才能访问该路径,不然会报403权限不足。
四、在任何方法的参数上获取当前登录的用户:通过UserDetails中保存的当前登录用户获取
package com.security.springSecurity.controller;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class TestController {
//3.在请求路径的方法上加@PreAuthorize("hasAuthority('权限字符')")即可
@RequestMapping("/s1")
@PreAuthorize("hasAuthority('abc')")
public String test01(){
return "s1";
}
//4.在任何方法的参数上加UserDetails参数,并在参数前加@AuthenticationPrincipal注解
// 此时在使用UserDetails参数就是当前登录时存入的用户
@RequestMapping("/my")
public String getMy(@AuthenticationPrincipal UserDetails userDetails){
String username = userDetails.getUsername();
return "当前用户用名是:"+username;
}
}