springsecurity oauth2.0 spring mvc集成spring security 3
一 spring security介绍
1.1 概述
spring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。
1.2 这里注意事项*
1.在WebConfig.java中添加默认请求根路径,跳转到/login,此url为spring security提供。这里的setViewName("redirect:/login"); 跳转到spring security自带的login.jsp页面,进行登录。
springsecurity提供的login页面:
1.3 websecurityconfigure配置文件重要性
见下文2.3章节部分
二 案例
2.1 springmvc基础配置
Spring Security实现了认证和授权,Spring Security提供了基于账号和密码的认证方式, 通过安全配置即可实现请求拦截,授权功能2.2.1 工程结构
2.2.2 添加pom依赖
在 security-springmvc 的基础上增加 spring-security 的依赖:org.springframework.security spring-security-web 5.1.4.RELEASE org.springframework.security spring-security-config 5.1.4.RELEASE 2.2.3 spring容器配置applicationConfig文件
/*** @author Administrator* @version 1.0**/
@Configuration //相当于applicationContext.xml
@ComponentScan(basePackages = "com.ljf.spring.mvc.security"//排除@controller注解标注的类,排除我们不希望spring容器加载的类。,excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class ApplicationConfig {//在此配置除了Controller的其它bean,比如:数据库链接池、事务管理器、业务bean等。
}
2.2.4 spring容器配置Servlet Context配置文件
package com.ljf.spring.mvc.security.config;import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.FilterType;
import org.springframework.stereotype.Controller;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.view.InternalResourceViewResolver;/*** @author Administrator* @version 1.0**/
@Configuration //就相当于springmvc.xml文件
@EnableWebMvc
@ComponentScan(basePackages = "com.ljf.spring.mvc.security",includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {//视频解析器@Beanpublic InternalResourceViewResolver viewResolver(){InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();viewResolver.setPrefix("/WEB-INF/view/");viewResolver.setSuffix(".jsp");return viewResolver;}//让页面初始访问,重定向到login页面,其中login页面是springsecuriy内部嵌套好的@Overridepublic void addViewControllers(ViewControllerRegistry registry) {registry.addViewController("/").setViewName("redirect:/login");}
}
2.2.5 初始化spring容器
在 init 包下定义 S pring容器初始化类SpringApplicationInitializer ,此类 实现WebApplicationInitializer接口 , Spring容器 启动时加载WebApplicationInitializer接口的所有实现类。package com.ljf.spring.mvc.security.init;import com.ljf.spring.mvc.security.config.ApplicationConfig;
import com.ljf.spring.mvc.security.config.WebConfig;
import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;/** 在init包下定义Spring容器初始化类SpringApplicationInitializer,此类实现WebApplicationInitializer接口,* Spring容器启动时加载WebApplicationInitializer接口的所有实现类。* @author Administrator* @version 1.0**/
public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {//spring容器,相当于加载 applicationContext.xml@Overrideprotected Class[] getRootConfigClasses() {return new Class[]{ApplicationConfig.class};}//servletContext,相当于加载springmvc.xml@Overrideprotected Class[] getServletConfigClasses() {return new Class[]{WebConfig.class};}//url-mapping@Overrideprotected String[] getServletMappings() {return new String[]{"/"};}
}
2.3 spring security认证配置(里面具有拦截器功能)
2.3.1 *安全配置WebSecurityConfig配置文件***
spring security提供了用户名密码登录、退出、会话管理等认证功能,只需要配置即可使用。
2.3.1.1 webSecurityConfig的作用(具有拦截器的作用)
1在config包下定义WebSecurityConfig,安全配置的内容包括:用户信息、密码编码器、安全拦截机制。
2.我们暂时使用InMemoryUserDetailsManager实现类,并在其中分别创建了zhangsan、lisi两个用
户,并设置密码和权限。
3.而在configure()中,我们通过HttpSecurity设置了安全拦截规则,其中包含了以下内容:
(1)url匹配/r/**的资源,经过认证后才能访问。
(2)其他url完全开放。
(3)支持form表单认证,认证成功后转向/login-success。
真实的情况下:在userDetailsService()方法中,我们返回了一个UserDetailsService给spring容器,Spring Security会使用它来获取用户信息。
2.3.1.2 webSecurityConfig的代码实现
截图如下:
代码如下:
package com.ljf.spring.mvc.security.config;import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;/*** @author Administrator* @version 1.0**/
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {//1.定义用户信息服务(查询用户信息)@Beanpublic UserDetailsService userDetailsService(){InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());return manager;}//2.密码编码器@Beanpublic PasswordEncoder passwordEncoder(){return NoOpPasswordEncoder.getInstance();}//3.安全拦截机制(最重要)@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/user/r1").hasAuthority("p1") //p1角色具有访问/user/r1读取权限.antMatchers("/user/r2").hasAuthority("p2") //p2角色具有访问/user/r2读取权限.antMatchers("/user/**").authenticated()//所有/user/**的请求必须认证通过.anyRequest().permitAll()//除了/user/**,其它的请求可以不经过认证,就可以访问.and().formLogin()//允许表单登录.successForwardUrl("/login-success");//自定义登录成功的页面地址,登录成功跳转的地址}
}
2.2.1.3 加载WebSecurityConfifig
修改SpringApplicationInitializer的getRootConfifigClasses()方法,添WebSecurityConfifig.class:
2.3.2 ****Spring Security初始化***
Spring Security 初始化,这里有两种情况: 若当前环境没有使用 Spring 或 Spring MVC ,则需要将 WebSecurityConfifig(Spring Security 配置类 ) 传入超 类,以确保获取配置,并创建spring context 。 相反 ,若当前环境已经使用spring,我们应该在现有的springContext中注册Spring Security(上一步已经做将 WebSecurityConfifig加载至rootcontext),此方法可以什么都不做。 在 init 包下定义 SpringSecurityApplicationInitializer :/*** @author Administrator* @version 1.0**/
public class SpringSecurityApplicationInitializerextends AbstractSecurityWebApplicationInitializer {public SpringSecurityApplicationInitializer() {//super(WebSecurityConfig.class);}
}2.3.3 ****springsecurity默认的请求路径***
1.在WebConfig.java中添加默认请求根路径,跳转到/login,此url为spring security提供。这里的setViewName("redirect:/login"); 跳转到spring security自带的login.jsp页面,进行登录。
2.代码:
//页面初始访问,重定向到login页面,其中login页面是springsecuriy内部嵌套好的@Overridepublic void addViewControllers(ViewControllerRegistry registry) {registry.addViewController("/").setViewName("redirect:/login");}
3.如果不设置,将会报404
2.3.4 ****编写controller***
在安全配置中,认证成功将跳转到 /login-success ,代码如下:
spring security 支持 form 表单认证,认证成功后转向 /login-success 。 在LoginController 中定义 /login-success: 
2.3.5 ****登录页面***
spring security默认提供的登录页面。 springSecurity默认提供认证页面,不需要额外开发。
2.3.6 ****启动服务测试页面***
1.生成war包
2.部署tomcat发布
3.页面访问
页面会根据WebConfifig中addViewControllers配置规则,跳转至/login,/login是spring Security提供的登录页面。
输入正确用户名和密码
输入错误:
退出:
2.4 spring security授权配置
实现授权需要 对用户的访问进行拦截校验,校验用户的权限是否可以操作指定的资源 , Spring Security默认提供授 权实现方法。2.4.1 添加资源
在 LoginController 添加 /user/r1 或 /user/r2
2.4.2 在安全配置类WebSecurityConfig.java中配置授权规则
2.4.3 进行测试
1.用户未登录情况
在用户zhangsan未登录情况下,直接访问资源/user/r1
在用户zhangsan未登录情况下,直接访问资源/user/r2
2.用户登录情况
登录页面:
登录成功界面:
访问资源r1:
访问资源2:
总结:
1、未登录成功时,访问/user/r1和/user/r2,均跳转到登录页面,进行认证登录 2、登录成功时,访问/user/r1和/user/r2,有权限时则正常访问,否则返回403(拒绝访问)
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!