快捷導(dǎo)航

SpringSecurity如何實現(xiàn)配置單個HttpSecurity

更新時間：2020年08月17日 09:56:17 作者：鼓搗貓膩

這篇文章主要介紹了SpringSecurity如何實現(xiàn)配置單個HttpSecurity,文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下

一、創(chuàng)建項目并導(dǎo)入依賴

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>

二、相關(guān)配置和代碼

在創(chuàng)建完項目時，我們得springboot項目所有接口都被保護(hù)起來了，如果要想訪問必須登陸，用戶名默認(rèn)是user，密碼在項目啟動時生成在控制臺。

1）我們可以設(shè)置自己得賬戶和密碼，有兩種方法配置

1.1）在application.properties中配置

spring.security.user.name=fernfei

spring.security.user.password=fernfei

spring.security.user.roles=admin

1.2）在配置類中配置

　　注：需要在配置類上加上@configuration注解

步驟1.2.1）

創(chuàng)建SecurityConfig繼承WebSecurityConfigurerAdpater

步驟1.2.2）

實現(xiàn)WebSecurityConfigurerAdpater中的configure(AuthenticationManagerBuilder auth)方法

步驟1.2.3）

從 Spring5 開始，強制要求密碼要加密，如果非不想加密，可以使用一個過期的 PasswordEncoder 的實例

NoOpPasswordEncoder，但是不建議這么做，畢竟不安全。

這樣就算完成自己定義賬戶密碼了。

2）HttpSecurity配置

2.1）實現(xiàn)config(HttpSecurity http）方法

2.2）相關(guān)代碼

@Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/admin/**").hasRole("admin")
        .antMatchers("/db/**").hasAnyRole("admin","user")
        .antMatchers("/user/**").access("hasAnyRole('admin','user')")
        //剩下的其他路徑請求驗證之后就可以訪問
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginProcessingUrl("/dologin")
        .loginPage("/login")
        .usernameParameter("uname")
        .passwordParameter("pwd")
        .successHandler(new AuthenticationSuccessHandler() {
          @Override
          public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter pw = response.getWriter();
            Map<String, Object> map = new HashMap<String, Object>();
            map.put("status", 200);
            map.put("msg", authentication.getPrincipal());
            pw.write(new ObjectMapper().writeValueAsString(map));
            pw.flush();
            pw.close();
          }
        })
        .failureHandler(new AuthenticationFailureHandler() {
          @Override
          public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter pw = response.getWriter();
            Map<String, Object> map = new HashMap<String, Object>();
            map.put("status", 401);
            if (exception instanceof LockedException) {
              map.put("msg", "賬戶被鎖定，登陸失敗！");
            } else if (exception instanceof BadCredentialsException) {
              map.put("msg", "賬戶或者密碼錯誤，登陸失?。?);
            } else if (exception instanceof DisabledException) {
              map.put("msg", "賬戶被禁用，登陸失敗！");
            } else if (exception instanceof AccountExpiredException) {
              map.put("msg", "賬戶已過期，登陸失??！");
            } else if (exception instanceof CredentialsExpiredException) {
              map.put("msg", "密碼已過期，登陸失??！");
            } else {
              map.put("msg", "登陸失敗！");
            }
            pw.write(new ObjectMapper().writeValueAsString(map));
            pw.flush();
            pw.close();
          }
        })
        .permitAll()
        .and()
        .csrf().disable();
  }

2.3）代碼解釋

2.3.1）/admin/**路徑下的必須有admin角色才能訪問

.antMatchers("/admin/**").hasRole("admin")

2.3.2）/db/**和/user/**下的路徑，admin和user角色都可以訪問