spring boot整合spring security笔记

自闭症网瘾萝莉.ら 提交于 2020-04-28 06:55:22

最近自己做了一个小项目,正在进行springboot和spring Security的整合,有一丢丢的感悟,在这里分享一下:

    首先,spring boot整合spring security最好是使用Thymleaf,因为spring boot官方支持使用thymleaf,这样的话,整合起来会方便很多,而且,thymleaf也支持静态加载,比jsp方便许多。那么:

   第一步:需要先引入thymleafh和spring security的依赖(如果是web项目需要引入对应的jar包) 

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
  第二步:在java配置类中去对spring security进行配置(也可以在xml中进行配置,
不过,spring boot比较推荐在代码中进行配置,所以顺势而为了,就在代码中
进行配置)
 
/**
* Spring Security 配置类.
*
*/
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 启用方法安全设置
public class SecurityConfig extends WebSecurityConfigurerAdapter {

private static final String KEY = "zhusz.com";

@Autowired
  private UserDetailsService userDetailsService;

@Autowired
   private PasswordEncoder passwordEncoder;

@Bean  
   public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder(); // 使用 BCrypt 加密
   }

@Bean  
   public AuthenticationProvider authenticationProvider() {
DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
authenticationProvider.setUserDetailsService(userDetailsService);
authenticationProvider.setPasswordEncoder(passwordEncoder); // 设置密码加密方式
       return authenticationProvider;
}

/**
   * 自定义配置
   */
  @Override
  protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/css/**", "/js/**", "/fonts/**", "/index").permitAll() // 都可以访问
           .antMatchers("/h2-console/**").permitAll() // 都可以访问
           .antMatchers("/admins/**").hasRole("ADMIN") // 需要相应的角色才能访问
           .and()
.formLogin() //基于 Form 表单登录验证
           .loginPage("/login").failureUrl("/login-error") // 自定义登录界面
           .and().rememberMe().key(KEY) // 启用 remember me
           .and().exceptionHandling().accessDeniedPage("/403"); // 处理异常,拒绝访问就重定向到 403 页面
     http.csrf().ignoringAntMatchers("/h2-console/**"); // 禁用 H2 控制台的 CSRF 防护
     http.headers().frameOptions().sameOrigin(); // 允许来自同一来源的H2 控制台的请求
  }

/**
   * 认证信息管理
   * @param auth
   * @throws Exception
   */
  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
auth.authenticationProvider(authenticationProvider());
}
}
此处的   userDetailsService 是spring security提供给我们的,不需要我们自己去编写
还有
PasswordEncoder
密码加密也是spring security提供的。可以直接拿过来使用。自定义配置
是配置我们的过滤条件用的,此处可以使用前台的remeber me来实现前台的记住我
功能。
antMatchers("/h2-console/**").permitAll()表示都可以访问/h2-console/路径下的内容
antMatchers("/admins/**").hasRole("ADMIN") 表示只有admin这样的角色才可以
访问/admins/路径下的内容。
具体的功能说明在代码注释中都有说明,可以参考一下。
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!