SpringBoot集成Spring Security

1、Spring Security介绍

Spring security，是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准 ——来自官方参考手册

Spring security 和 shiro 一样，具有认证、授权、加密等用于权限管理的功能。和 shiro 不同的是，Spring security拥有比shiro更丰富的功能，并且，对于Springboot而言，Spring Security比Shiro更合适一些，因为都是Spring家族成员。今天，我们来为SpringBoot项目集成Spring Security。

本文所使用的版本：

SpringBoot ： 2.2.6.RELEASE
Spring Security ： 5.2.2.RELEASE

2、配置Spring Security

在SpringBoot中集成Spring Security很简单，只需要在pom.xml中添加下面代码就行：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>

这里可以不指定Spring Security的版本号，它会根据SpringBoot的版本来匹配对应的版本，SpringBoot版本是 2.2.6.RELEASE，对应Spring Security的版本是5.2.2.RELEASE。

然后，我们就可以将springboot启动了。

当我们尝试访问项目时，它会跳转到这个界面来：

对！在此之前，你什么也不用做。这就是Spring Security的优雅之处。你只需要引入Spring Security的包，它就能在你的项目中工作。因为它已经帮你实现了一个简单的登陆界面。根据官方介绍，登录使用的账号是user，密码是随机密码，这个随机密码可以在控制台中找到，类似这样的一句话：

	Using generated security password: 1cb77bc5-8d74-4846-9b6c-4813389ce096

Using generated security password后面的的就是系统给的随机密码，我们可以使用这个密码进行登录。随机密码在每一次启动服务后生成（如果你配置了热部署devtools，你得随时留意控制台了，因为每当你修改了代码，系统会自动重启，那时随机密码就会重新生成）。

当然，这样的功能一定不是你想要的，也一定不会就这样拿给你的用户使用。那么，接下来，让我们把它配置成我们想要的样子。

要实现自定义配置，首先要创建一个继承于WebSecurityConfigurerAdapter的配置类：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {}

这里使用了**@EnableWebSecurity注解，这个注解是Spring Security**用于启用web安全的注解。具体实现，这里就不深入了。

要实现自定义拦截配置，首先得告诉Spring Security，用户信息从哪里获取，以及用户对应的角色等信息。这里就需要重写WebSecurityConfigurerAdapter的configure(AuthenticationManagerBuilder auth)方法了。这个方法将指使Spring Security去找到用户列表，然后再与想要通过拦截器的用户进行比对，再进行下面的步骤。

Spring Security的用户存储配置有多个方案可以选择，包括：

内存用户存储
数据库用户存储
LDAP用户存储
自定义用户存储

我们分别来看看这几种用户存储的配置方法：

1.内存用户存储

此配置方式是直接将用户信息存储在内存中，这种方式在速度上无疑是最快的。但只适用于有限个用户数量，且这些用户几乎不会发生改变。我们来看看配置方法：

	@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().passwordEncoder(passwordEncoder()).withUser("zhangsan").password(passwordEncoder().encode("123456")).authorities("ADMIN").and().withUser("lisi").password(passwordEncoder().encode("123456")).authorities("ORDINARY");}private PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}

可以看到，AuthenticationManagerBuilder使用构造者方式来构建的。在上面方法中，先调用了inMemoryAuthentication()方法，它来指定用户存储在内存中。接下来又调用了passwordEncoder()方法，这个方法的作用是告诉Spring Security认证密码的加密方式。因为在Spring security5过后，必须指定某种加密方式，不然程序会报错。接下来调用的**withUser()、password()、authorities()**方法，分别是在指定用户的账号、密码以及权限名。在添加完一个用户后，要使用and()方法来连接下一个用户的添加。

如果使用这种配置方法，你会发现，在修改用户时，就必须修改代码。对于绝大多数项目来说，这种方式是满足不了需求的，至少我们需要一个注册功能。

2.数据库用户存储

将用户信息存储在数据库中，让我们可以很方便地对用户信息进行增删改查。并且还可以为用户添加除认证信息外的附加信息，这样的设计也是我们很多小心应用所采取的方式。让我们来实现以下：

	@Autowiredprivate DataSource dataSource;@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.jdbcAuthentication().dataSource(dataSource).passwordEncoder(passwordEncoder()).usersByUsernameQuery("select username, password, status from Users where username = ?").authoritiesByUsernameQuery("select username, authority from Authority where username = ?");}private PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}

调用**jdbcAuthentication()**来告诉Spring Security使用jdbc的方式来查询用户和权限，**dataSource()**方法指定数据库连接信息，**passwordEncoder()**指定密码加密规则，用户的密码数据应该以同样的方式进行加密存储，不然，两个加密方式不同的密码，匹配补上。usersByUsernameQuery()和authoritiesByUsernameQuery()方法分别定义了查询用户和权限信息的sql语句。其实，Spring security为我们默认了查询用户、权限甚至还有群组用户授权的sql，这三条默认的sql存放在org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl中，有兴趣的小伙伴可以点进去看看。如果你要使用默认的，那你的表中关键性的字段必须和语句中的一致。

使用数据库来存储用户和权限等信息已经可以满足大部分的需求。但是Spring security还为我们提供了另外一种配置方式，让我们来看一下。

3.LDAP用户存储

LDAP：轻型目录访问协议，是一个开放的，中立的，工业标准的应用协议，通过IP协议提供访问控制和维护分布式信息的目录信息。简单来说，就是将用户信息存放在另外一台服务器中（当然，也可以在同一台服务器，但我们一般不这么做），通过网络来进行访问的技术。

我们来简单配置一下：

	@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {LdapAuthenticationProviderConfigurer<AuthenticationManagerBuilder> configurer = 					auth.ldapAuthentication().userSearchBase("ou=people").userSearchFilter("(uid={0})").groupSearchBase("ou=groups").groupSearchFilter("member={0}");configurer.passwordCompare().passwordEncoder(passwordEncoder()).passwordAttribute("passcode");configurer.contextSource().url("ldap://xxxxx.com:33389/dc=xxxxxx,dc=com");}private PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}

userSearchFilter()和groupSearchFilter()设置的是用户和群组的过滤条件，而userSearchBase()和groupSearchBase()设置了搜索起始位置，contextSource().url()设置LDAP服务器的地址。如果没有远程的服务器可以使用contextSource().root()来使用嵌入式LDAP服务器，此方式将使用项目中的用户数据文件来提供认证服务。

如果以上几种方式还不能满足我们的需求，我们可以用自定义的方式来配置。

4.自定义用户存储

自定义用户存储，就是自行使用认证名称来查找对应的用户数据，然后交给Spring Security使用。我们需要定义一个实现UserDetailsService的service类：

@Service
public class MyUserDetailsService implements UserDetailsService{@Autowiredprivate UserMapper userMapper;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userMapper.getUserByUsername(username);return user == null ? new User() : user;}
}public class User implements UserDetails {...
}

该类只需要实现一个方法：loadUserByUsername()。该方法需要做的是使用传过来的username来匹配一个带有密码等信息的用户实体。需要注意的是这里的User类需要实现UserDetails，也就是说，查到的信息里，必须得有Spring Security所需要的信息。

下面，让我们来继续配置：


@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate MyUserDetailsService userDetailsService;@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());}@Beanprivate PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}
}

这样的配置方法就很简单了，只需要告诉Spring Security你的UserDetailsService实现类是哪个就可以了，它会去调用**loadUserByUsername()**来查找用户。

以上就是Spring Security所提供的4种用户存储方式，接下来，需要考虑的是，怎么拦截请求。

3、请求拦截

1.安全规则

Spring Security的请求拦截配置方法是用户存储配置方法的重载方法，我们先来简单配置一下：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/user", "/menu").hasRole("ADMIN").antMatchers("/", "/**").permitAll();}
}

调用**authorizeRequests()**方法后，就可以添加自定义拦截路径了。**antMatchers()**方法配置了请求路径，**hasRole()和permitAll()**指定了访问规则，分别表示拥有“ADMIN”权限的用户才能访问、所有用户可以访问。

需要注意的是：这里的配置需要成对出现，并且配置的顺序也很重要。声明在前面的规则拥有更高的优先级。也就是说，如果我们将**.antMatchers("/", “/**”).permitAll()**放到了最前面，像这样：

@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/", "/**").permitAll().antMatchers("/user", "/menu").hasRole("ADMIN");}

那么，下面的"/user"和 "/menu"的配置是徒劳，因为前面的规则已经指明所有路径能被所有人访问。当然权限的规则方法还有很多，我这里只列举了两个。以下为常见的内置表达式：

表达	描述
hasRole(String role)	返回`true`当前委托人是否具有指定角色。例如， `hasRole('admin')`默认情况下，如果提供的角色不是以“ ROLE_”开头，则会添加该角色。可以通过修改`defaultRolePrefix`on来自定义`DefaultWebSecurityExpressionHandler`。
`hasAnyRole(String… roles)`	返回`true`当前委托人是否具有提供的任何角色（以逗号分隔的字符串列表形式）。例如， `hasAnyRole('admin', 'user')`默认情况下，如果提供的角色不是以“ ROLE_”开头，则会添加该角色。可以通过修改`defaultRolePrefix`on来自定义`DefaultWebSecurityExpressionHandler`。
`hasAuthority(String authority)`	返回`true`当前委托人是否具有指定权限。例如， `hasAuthority('read')`
`hasAnyAuthority(String… authorities)`	返回`true`如果当前主体具有任何所提供的当局的（给定为逗号分隔的字符串列表）例如， `hasAnyAuthority('read', 'write')`
`principal`	允许直接访问代表当前用户的主体对象
`authentication`	允许直接访问`Authentication`从`SecurityContext`
`permitAll`	始终评估为 `true`
`denyAll`	始终评估为 `false`
`isAnonymous()`	返回`true`当前委托人是否为匿名用户
`isRememberMe()`	返回`true`当前主体是否是“记住我”的用户
`isAuthenticated()`	`true`如果用户不是匿名的，则返回
`isFullyAuthenticated()`	返回`true`如果用户不是匿名或记得，我的用户
`hasPermission(Object target, Object permission)`	返回`true`用户是否可以访问给定权限的给定目标。例如，`hasPermission(domainObject, 'read')`
`hasPermission(Object targetId, String targetType, Object permission)`	返回`true`用户是否可以访问给定权限的给定目标。例如，`hasPermission(1, 'com.example.domain.Message', 'read')`

除此之外，还有一个支持SpEL表达式计算的方法，它的使用方法如下：

	@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/user", "/menu").access("hasRole('ADMIN')").antMatchers("/", "/**").permitAll();}

它所实现的规则和上面的方法一样。Spring Security还提供了其他丰富的SpEL表达式，如：

表达	描述
`hasRole(String role)`	返回`true`当前委托人是否具有指定角色。例如， `hasRole('admin')`默认情况下，如果提供的角色不是以“ ROLE_”开头，则会添加该角色。可以通过修改`defaultRolePrefix`on来自定义`DefaultWebSecurityExpressionHandler`。
`hasAnyRole(String… roles)`	返回`true`当前委托人是否具有提供的任何角色（以逗号分隔的字符串列表形式）。例如， `hasAnyRole('admin', 'user')`默认情况下，如果提供的角色不是以“ ROLE_”开头，则会添加该角色。可以通过修改`defaultRolePrefix`on来自定义`DefaultWebSecurityExpressionHandler`。
`hasAuthority(String authority)`	返回`true`当前委托人是否具有指定权限。例如， `hasAuthority('read')`
`hasAnyAuthority(String… authorities)`	返回`true`如果当前主体具有任何所提供的当局的（给定为逗号分隔的字符串列表）例如， `hasAnyAuthority('read', 'write')`
`principal`	允许直接访问代表当前用户的主体对象
`authentication`	允许直接访问`Authentication`从`SecurityContext`
`permitAll`	始终评估为 `true`
`denyAll`	始终评估为 `false`
`isAnonymous()`	返回`true`当前委托人是否为匿名用户
`isRememberMe()`	返回`true`当前主体是否是“记住我”的用户
`isAuthenticated()`	`true`如果用户不是匿名的，则返回
`isFullyAuthenticated()`	返回`true`如果用户不是匿名或记得，我的用户
`hasPermission(Object target, Object permission)`	返回`true`用户是否可以访问给定权限的给定目标。例如，`hasPermission(domainObject, 'read')`
`hasPermission(Object targetId, String targetType, Object permission)`	返回`true`用户是否可以访问给定权限的给定目标。例如，`hasPermission(1, 'com.example.domain.Message', 'read')`

2.登录

如果此时，我们有自己的登录界面，需要替换掉Spring Security所提供的默认的界面，这时可以用**fromLogin()和loginPage()**方法来实现：

	@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/user", "/menu").access("hasRole('ADMIN')").antMatchers("/", "/**").permitAll().and().formLogin().loginPage("/login");}

这便将登录地址指向了“/login”。如果需要指定登录成功时，跳转的地址，可以使用**defaultSuccessUrl()**方法：

		   .and().formLogin().loginPage("/login").defaultSuccessUrl("/home")

此时用户登录过后，将跳转到主页来。

下面，我们来看看登出。

3.登出

和登录类似的，可以使用**logout()和logoutSuccessUrl()**方法来实现：

			.and().logout().logoutSuccessUrl("/login")

上面例子中，用户登出后将跳转到登录界面。

4、小结

至此，我们已基本了解了Spring Security配置，可以将它配置成我们想要的样子（基本）。其实Spring Security能做的事还有很多，光看我这篇文章是不够的。学习它最有效的方法就是阅读官方文档。里面有关于Spring Security最全最新的知识！（官网地址：https://spring.io/projects/spring-security）

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

【开源方案共享】无序点云快速的线段分割算法
点云PCL免费知识星球，点云论文速读。标题：Fast 3D Line Segment Detection From Unorganized Point Cloud 作者：Xiaohu Lu, Yahui Liu, Kai Li 编译：particle 欢迎各位加入免费知识星球，获取PDF论文，欢迎转发朋友圈分享快乐。本文提出了一种基于大规模无序点云的三维线…...
2024/4/1 1:09:53
对于 SharedPreferences 你觉得有什么优缺点？
原始网页直通车简介一个轻量级的存储类，以键值对的 XML 文件形式将数据存储在本地，程序卸载后也会一并清除，不会残留信息。要想使用 SharedPreferences 来存储数据，首先需要获取到 SharedPreferences 对象。 Android 中主要提供了 3 种方法用于得到 SharedPreferences 对…...
2024/4/16 10:39:15
BGP和EBGP的应用
R1配置： <Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]sysname R1 [R1]int g0/0/1 ###进入端口 [R1-GigabitEthernet0/0/1]ip add 15.0.0.1 30 ###设置IP地址 [R1-GigabitEthernet0/0/1]un sh …...
2024/3/28 19:04:55
大数据运维职责及架构图
...
2024/4/20 7:19:51
Java设计模式之建造者模式（六）
1、建造者模式的四个角色Product（产品角色）：一个具体的产品对象。 Builder（抽象建造者）：创建一个Product对象的各个部件指定的接口/抽象类。 ConcreteBuilder（具体建造者）：实现接口，构建和装配各个部件。 Director（指挥者）：构建一个使用Builder接口的对象。它…...
2024/4/16 10:39:10
编写规则引擎以及客户端程序程序将数据入库
利用阿里云物联网平台实现稳定可靠的通信系统阿里云物联网平台为设备提供安全可靠的连接通信能力，向下连接海量设备，支撑设备数据采集上云；向上提供云端API，服务端通过调用云端API将指令下发至设备端，实现远程控制。物联网平台也提供了其他增值能力，如设备管理、规则引…...
2024/3/28 19:04:50
ClickHouse 使用
目录依赖环境：安装表引擎TinyLogmemorymergeMergeTreeDistributed功能kafka增量同步数据到clickhouseclickhouse管理hdfs数据hive表迁移到clickhouse依赖环境：zookeeper安装（注意：每台节点都需要操作）安装包链接：https://pan.baidu.com/s/10k9Ym8x0IRSZmN98ChVwoQ …...
2024/4/23 14:55:21
Docker快速入门与实操实践
Docker简介 Docker是一个开源的容器引擎，它有助于更快地交付应用。Docker可将应用程序和基础设施层隔离，并且能将基础设施当作程序一样进行管理。使用 Docker可更快地打包、测试以及部署应用程序，并可以缩短从编写到部署运行代码的周期。 Docker的优点如下： 1.更高效的利…...
2024/4/18 21:46:19
5G和AI机器人平台为工业4.0和无人机提供服务
5G和AI机器人平台为工业4.0和无人机提供服务 Qualcomm 5G and AI robotics platform delivers for Industry 4.0 and drones 高通技术公司推出了一种新的机器人技术平台，专门为企业、工业和专业服务应用领域的节能、高性能计算机器人和无人机而设计。其新的机器人RB5平台采用Q…...
2024/4/16 10:40:06
Java语言之父James Gosling介绍
周末了，B哥今天不聊技术，聊点轻松的话题，聊聊Java作者James Gosling的经历和介绍。 50年前，一个寒冷的冬天，在加拿大一个村庄里，Gosling家的第一个男孩哇哇落地了。家人给他起了名字，叫James。谁也没有想到的是，长大之后,他成为了一个改变计算机语言的天才。 James Gos…...
2024/4/16 10:40:57
Go基础(2) IDE工具之GoLand安装教程
一、前言 Go基础(1) 下载、安装、环境变量配置二、IDE下载安装 GoLand下载地址：https://www.jetbrains.com/go/download/#section=windows双击安装等待安装完成…安装完成之后，提示重启电脑，这里我们还是重启一下吧…重启完之后，双击运行第一次安装的话直接选第二个不导入…...
2024/4/16 10:40:01
召回模型
原文地址：https://zhuanlan.zhihu.com/p/115690499更多召回模型Youtube DNN召回：YouTube在2016年发表的论文《Deep Neural Networks for YouTube Recommendations》为背景进行YouTube的深度神经网络推荐模型的介绍。YouTube的dnn matching召回，将用户和context特征输入DNN，…...
2024/4/16 10:39:51
搭建Hadoop集群之环境配置系列-配置静态ip
说在前面的话由于老师给我们学生布置了一个Linux作业，虽然有几个可选的题，但是最后我还是觉得选择Hadoop应用开发，毕竟我一直想尝试这个新东西，趁着这个机会学点东西挺好的。要想使用这个Hadoop进行应用开发，那么首先就应该配好环境，安装啥的不说了，因为我觉得这个配置…...
2024/4/16 10:39:31
[Docker 2] - CentOS7配置Docker阿里镜像源-图文教程
网上各种配置方法，用的都是他们私人的源地址，我不喜欢用人家的，用自己的多舒服呢。 [Docker 2] - CentOS7配置Docker阿里镜像源-图文教程1. 获取阿里云个人镜像源加速器地址1.1 进入阿里云-容器镜像服务1.2 设置 Registry 密码1.3 获取个人加速器地址2. 配置个人镜像源加速器…...
2024/4/17 16:27:37
隐私详情
隐私详情欢迎您使用个人所得税计算助手（以下简称“本服务”），个人所得税计算助手是由绵阳丰涛互联网科技有限公司向用户提供的平台。为保证您的权益，便于更好地使用服务，请您务必在注册前认真阅读本协议，若您阅读并接受本协议，使用本产品和服务，即视为您受本协议的约束…...
2024/4/20 3:00:35
惊！竟有这么多造成狗狗泪痕严重的原因？
我家的狗狗在眼睛周围出现两道深色的泪痕，看上去很不美观，而且我家的狗狗毛色浅。我上网查了查原来过多的眼泪溢出眼眶，会湿润毛发而滋生酵母菌，随后，酵母菌与泪水中易氧化的乳铁蛋白作用，就会在眼睛周围的毛发上形成红棕色的泪痕。那么哪些原因会造成狗狗有泪痕呢？根据…...
2024/4/27 2:00:58
配值Spring的OpenSessionInViewFilter，以解决懒加载异常无法进行添加
再web.xml配值OpenSessionInViewFilter <filter><filter-name>OpenSessionInViewFilter</filter-name><filter-class>org.springframework.orm.hibernate3.support.OpenSessionInViewFilter</filter-class></filter><filter-mapping>…...
2024/4/1 1:09:44
@Repository、@Service、@Controlle注解的作用
Spring的注解形式：@Repository、@Service、@Controller，它们分别对应存储层Bean，业务层Bean，和展示层Bean。 @Repository、@Service、@Controller 和 @Component 将类标识为Bean Spring 自 2.0 版本开始，陆续引入了一些注解用于简化 Spring 的开发。@Repository注解便属于…...
2024/4/17 1:28:41
JavaScript 计算时间差
1.首先需要获取时间在时间这一块，我经常会犯错，对于时间格式为YYYY-MM-DD 是无法进行相减的，所以我们在获取时间的时候，千外不要多此一举进行格式化getTime()是获取毫秒数var a=new Date(date1).getTime(); var b=new Date(date2).getTime();注意事项：new Date() ; //…...
2024/4/18 17:19:01
快速排序——“光速”
快速排序上一节的冒泡排序可以说是我们学习第一个真正的排序算法，并且解决了桶排序浪费空间的问题，但在算法的执行效率上却牺牲了很多，它的时间复杂度达到了O(N2)。假如我们的计算机每秒钟可以运行10亿次，那么对1亿个数进行排序，桶排序则只需要0.1秒，而冒泡排序则需要1千…...
2024/4/19 17:59:25