快捷導(dǎo)航

SpringBoot快速整合SpringSecurity的詳細步驟(新手都會!)

更新時間：2023年03月27日 10:53:16 作者：IT學(xué)習(xí)小鎮(zhèn)

日 Spring Security 是針對Spring項目的安全框架,也是Spring Boot底層安全模塊默認的技術(shù)選型,他可以實現(xiàn)強大的Web安全控制,下面這篇文章主要給大家介紹了關(guān)于SpringBoot快速整合SpringSecurity的詳細步驟,需要的朋友可以參考下

一、什么是SpringSecurity？

Spring Security是一個基于Spring框架的安全性框架，提供了一組輕量級的API和工具，用于實現(xiàn)身份驗證、授權(quán)、防止攻擊等常見的安全性功能。它支持各種身份驗證方式，例如基本身份驗證、表單身份驗證、OAuth2.0和OpenID Connect等。Spring Security還提供了許多可配置選項，允許開發(fā)人員根據(jù)應(yīng)用程序的需求進行定制。Spring Security已經(jīng)成為了Java企業(yè)級應(yīng)用程序中使用最廣泛的安全框架之一。

二、SpringSecurity的原理

Spring Security的核心原理是基于過濾器鏈（Filter Chain）來保護應(yīng)用程序資源。在這個過濾器鏈中，不同的過濾器負責(zé)不同的安全功能，例如身份驗證、授權(quán)、攻擊防御等。

當(dāng)一個請求到達應(yīng)用程序時，它首先會被最外層的過濾器攔截。這個過濾器將請求傳遞給下一個過濾器，并繼續(xù)執(zhí)行一些前置處理（例如日志記錄、跨域請求處理等）。接下來，在過濾器鏈中的每個過濾器都會進行自己的處理，直到請求被最內(nèi)層的過濾器處理完畢并返回響應(yīng)。

Spring Security通過配置過濾器鏈來保護應(yīng)用程序資源。每個過濾器都有不同的職責(zé)，例如：

（1）AuthenticationFilter：身份驗證過濾器，用于對用戶進行身份驗證。

（2）AuthorizationFilter：授權(quán)過濾器，用于檢查用戶是否有權(quán)限訪問某個資源。

（3）CsrfFilter：防止跨站點請求偽造（CSRF）過濾器，用于防止CSRF攻擊。

（4）ExceptionTranslationFilter：異常轉(zhuǎn)換過濾器，用于處理安全相關(guān)的異常。

（5）SessionManagementFilter：會話管理過濾器，用于管理用戶的會話。

開發(fā)人員可以基于Spring Security提供的API和工具，定制自己的安全性策略，并將它們添加到過濾器鏈中。這樣，當(dāng)應(yīng)用程序收到請求時，它就會遵循這些安全性策略來保護應(yīng)用程序資源。

三、SpringBoot整合SpringSecurity

添加依賴

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置Spring Security

# 設(shè)置默認用戶
spring.security.user.name=user
spring.security.user.password=pass

# 關(guān)閉CSRF保護
spring.security.csrf.enabled=false

編寫安全性配置類。編寫一個安全性配置類來配置Spring Security。這個類應(yīng)該擴展WebSecurityConfigurerAdapter并覆蓋一些方法來配置安全性。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    // 配置用戶信息
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}pass").roles("USER");
    }
    
    // 配置HTTP請求安全性
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/public/**").permitAll() // 允許/public/**路徑下的所有請求
            .anyRequest().authenticated() // 所有其他請求都需要身份驗證
            .and()
            .formLogin() // 啟用表單登錄
            .loginPage("/login") // 指定登錄頁面
            .defaultSuccessUrl("/", true) // 登錄成功后重定向到主頁
            .permitAll() // 允許所有用戶訪問登錄頁面
            .and()
            .logout() // 啟用注銷
            .logoutUrl("/logout") // 注銷URL
            .logoutSuccessUrl("/login") // 注銷成功后重定向到登錄頁面
            .permitAll(); // 允許所有用戶注銷
    }
}

在上面的配置中，我們配置了一個內(nèi)存身份驗證（使用用戶名和密碼）和HTTP請求安全性（允許某些路徑下的請求，要求所有其他請求都需要身份驗證，并開啟表單登錄和注銷）。

編寫控制器。最后，您需要編寫一個控制器來處理登錄和注銷請求。

@Controller
public class LoginController {
    
    // 處理登錄請求
    @GetMapping("/login")
    public String login() {
        return "login";
    }
    
    // 處理注銷請求
    @PostMapping("/logout")
    public String logout() {
        return "redirect:/login?logout=true";
    }
}

在上面的代碼中，我們定義了一個login()方法來處理登錄頁面請求，并返回一個名為login的模板。logout()方法用于處理注銷請求，并重定向到登錄頁面。

寫html模板。最后，我們需要編寫一個名為login.html的模板來呈現(xiàn)登錄頁面。

<!DOCTYPE html>
<html>
<head>
    <title>Login</title>
</head>
<body>
    <h1>Login</h1>
    <form action="/login" method="post">
        <div>
            <label for="username">Username:</label>
            <input type="text" id="username" name="username" required autofocus />
        </div>
    </form>
</body>
</html>