Spring Security 在 Spring Boot 中的使用詳解【集中式】

更新時間：2020年10月19日 09:33:34 作者：Demo_Null

這篇文章主要介紹了Spring Security 在 Spring Boot 中的使用【集中式】,本文通過圖文并茂的形式給大家介紹的非常詳細(xì)，對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值，需要的朋友可以參考下

1.1 準(zhǔn)備

1.1.1 創(chuàng)建 Spring Boot 項(xiàng)目

創(chuàng)建好一個空的 Spring Boot 項(xiàng)目之后，寫一個 controller 驗(yàn)證此時是可以直接訪問到該控制器的。

在這里插入圖片描述

1.1.2 引入 Spring Security

在 Spring Boot 中引入 Spring Security 是相當(dāng)簡單的，可以在用腳手架創(chuàng)建項(xiàng)目的時候勾選，也可以創(chuàng)建完畢后在 pom 文件中加入相關(guān)依賴。

在這里插入圖片描述

<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-security</artifactId>
</dependency>

引入 Spring Security 后再次訪問會發(fā)現(xiàn)直接被彈到了登錄頁面，此時我們還什么都沒有配置，為什么 Security 會生效呢，這是因?yàn)?Spring Boot 幫我們完成了在 Spring 中需要完成的諸多配置【☞Spring Security 基礎(chǔ)入門】。也正是因?yàn)?Spring Boot 提供了自動化配置方案，讓我們可以“零配置”的使用 Spring Security，所以在 Spring Boot 項(xiàng)目中我們通常使用的安全框架是 Spring Security 而在 Spring 中一般使用 Shiro。

在這里插入圖片描述

我們并沒有配置靜態(tài)的用戶那么該如何登錄呢，Spring Boot 為我們提供了一個默認(rèn)的用戶，用戶名為：user，密碼則是在啟動 Spring Boot 項(xiàng)目是隨機(jī)生成的，我們可以在控制臺找到他。

在這里插入圖片描述

1.2 配置認(rèn)證

1.2.1 添加靜態(tài)用戶

Spring Boot 除了一些信息寫道 yml 配置文件中，其他配置都使用配置類，Spring Security 需要繼承 WebSecurityConfigurerAdapter，配置用戶信息需要重寫 configure(AuthenticationManagerBuilder auth) 方法。配置完畢后，將不會再使用 user 用戶。

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description Spring Security 配置類
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 @Override
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 // 配置靜態(tài)用戶
 auth.inMemoryAuthentication()
 .withUser("admin")
 .password("{noop}123") // 此處需要加 {noop} 表示該密碼為明文
 .roles("USER");
 }
}

1.2.2 添加數(shù)據(jù)庫認(rèn)證 ☞ 添加用戶實(shí)體類

Spring Security 中使用的用戶是 UserDetails，我們要么讓自定義用戶類實(shí)現(xiàn) UserDetails，要么使用時將自定義用戶類轉(zhuǎn)換為 UserDetails。建議實(shí)現(xiàn) UserDetails。因?yàn)樵擃愔猩婕暗浇巧畔⑺晕覀冞€需要創(chuàng)建角色類。我們在以后的操作中可能會將對象轉(zhuǎn)為 json 或者將 json 轉(zhuǎn)為對象，所以我們重寫的方法需要加上 @JsonIgnore 將其忽略(該類本來就需要的不用忽略)。

/**
 * Created with IntelliJ IDEA.
 *
 * @author gaohu9712@163.com
 * @date 2020/10/18
 * @description 用戶實(shí)體類
 */
public class SysUser implements UserDetails {

 private Long id;
 private String username;
 private String passwrod;
 private List<SysRole> roleList = new ArrayList<>();


 public Long getId() {
 return id;
 }

 public void setId(Long id) {
 this.id = id;
 }


 public void setUsername(String username) {
 this.username = username;
 }


 public void setPasswrod(String passwrod) {
 this.passwrod = passwrod;
 }

 public List<SysRole> getRoleList() {
 return roleList;
 }

 public void setRoleList(List<SysRole> roleList) {
 this.roleList = roleList;
 }

 @Override
 public Collection<? extends GrantedAuthority> getAuthorities() {
 return roleList;
 }

 @Override
 public String getPassword() {
 return passwrod;
 }

 @Override
 public String getUsername() {
 return username;
 }

 @Override
 @JsonIgnore
 public boolean isAccountNonExpired() {
 return false;
 }

 @Override
 @JsonIgnore
 public boolean isAccountNonLocked() {
 return false;
 }

 @Override
 @JsonIgnore
 public boolean isCredentialsNonExpired() {
 return false;
 }

 @Override
 @JsonIgnore
 public boolean isEnabled() {
 return false;
 }
}

☞ 創(chuàng)建角色類

Spring Security 中使用的角色信息使用的是 GrantedAuthority 所以我們的角色類也需要實(shí)現(xiàn) GrantedAuthority。

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description 角色類
 */
public class SysRole implements GrantedAuthority {

 private Long id;
 private String roleName;
 private String roleDesc;

 public Long getId() {
 return id;
 }

 public void setId(Long id) {
 this.id = id;
 }

 public String getRoleName() {
 return roleName;
 }

 public void setRoleName(String roleName) {
 this.roleName = roleName;
 }

 public String getRoleDesc() {
 return roleDesc;
 }

 public void setRoleDesc(String roleDesc) {
 this.roleDesc = roleDesc;
 }

 @Override
 @JsonIgnore
 public String getAuthority() {
 return roleName;
 }
}

☞ 添加持久層

此處省略使用通用 mapper 操作數(shù)據(jù)庫的內(nèi)容【☞ Mybatis 使用通用 mapper】，jpa 等其他操作數(shù)據(jù)庫的方法亦可。

☞ 認(rèn)證類

Spring Boot 中 Spring Security 的認(rèn)證類與 Spring 中的并無區(qū)別，都需要實(shí)現(xiàn) UserDetailsService 接口，然后重寫 loadUserByUsername(String s) 方法并返回一個 UserDetails。

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description 認(rèn)證類
 */ 
public class UserDetailsServiceImpl implements UserDetailsService {
 
 @Autowired
 private UserMapper userMapper;
 
 @Override
 public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
 return userMapper.findByName(s);
 }
}

☞ 配置類

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description Spring Security 配置類
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

 @Autowired
 private UserDetailsService userDetailsService;

 @Bean
 // BCrypt 交由 Ioc 容器管理
 public BCryptPasswordEncoder passwordEncoder() {
 return new BCryptPasswordEncoder();
 }

 @Override
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 // 認(rèn)證類
 auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
 }
}

1.3 授權(quán)

1.3.1 開啟方法級授權(quán)

在啟動類上使用 @EnableGlobalMethodSecurity 注解開啟方法級授權(quán)。參數(shù) prePostEnabled 代表 Spring 中的權(quán)限控制注解；securedEnabled 代表 Spring Security 中的權(quán)限控制注解； jsr250Enabled 代表 jsr250 的權(quán)限控制注解
。

@SpringBootApplication
@MapperScan("com.software.springsecurity.mapper")
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SpringSecurityApplication {

 public static void main(String[] args) {
 SpringApplication.run(SpringSecurityApplication.class, args);
 }

}

1.3.2 添加方法權(quán)限

當(dāng)用戶僅有 ROLE_USER 權(quán)限時僅能訪問 findStr 方法而不能訪問 get 方法；要想訪問 get 方法用戶必須具有 ROLE_ADMIN 權(quán)限。

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/18
 * @description
 */
@RestController
@RequestMapping("/demo")
public class DemoController {

 @GetMapping("/find")
 @Secured("ROLE_USER")
 public String findStr() {
 return "請求成功";
 }

 @GetMapping("/get")
 @Secured("ROLE_ADMIN")
 public String get() {
 return "get";
 }
}

在這里插入圖片描述

1.3.3 異常攔截頁面

@ControllerAdvice
public class HandlerControllerAdvice {

 @ExceptionHandler(AccessDeniedException.class)
 public String handlerException(){
 return "redirect:/403.html";
 }

 @ExceptionHandler(RuntimeException.class)
 public String runtimeHandlerException(){
 return "redirect:/500.html";
 }
}

總結(jié)

到此這篇關(guān)于Spring Security 在 Spring Boot 中的使用詳解【集中式】的文章就介紹到這了,更多相關(guān)Spring Security 在 Spring Boot使用內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: