一、什么是SpringSecurity?
spring security是一个基于spring框架的安全性框架,提供了一组轻量级的api和工具,用于实现身份验证、授权、防止攻击等常见的安全性功能。它支持各种身份验证方式,例如基本身份验证、表单身份验证、oauth3.0和openid connect等。开发人员可以根据应用程序的需要进行定制,因为spring security具有大量可配置的选项。spring security已经成为了java企业级应用程序中使用最广泛的安全框架之一。
二、SpringSecurity的原理
Spring Security的主要原理是通过过滤器链(Filter Chain)来保护应用程序资源。不同的安全功能由过滤器链中的不同过滤器负责,例如身份验证、授权、攻击防御等。
当一个请求到达应用程序时,它首先会被最外层的过滤器拦截。该过滤器将请求传递给下一个过滤器,并在此之前执行某些前置处理,例如日志记录和跨域请求处理等。每个过滤器在过滤器链中按顺序逐一执行,直到最内层的过滤器处理完请求并返回响应。
Spring Security通过配置过滤器链来保护应用程序资源。每个过滤器都有不同的职责,例如:
(1)AuthenticationFilter:身份验证过滤器,用于对用户进行身份验证。
(2)AuthorizationFilter:授权过滤器,用于检查用户是否有权限访问某个资源。
(3)CsrfFilter:防止跨站点请求伪造(CSRF)过滤器,用于防止CSRF攻击。
(4)ExceptionTranslationFilter是处理安全相关异常的过滤器,负责将异常进行转换。
(5)SessionManagementFilter:会话管理过滤器,用于管理用户的会话。
开发人员可以基于Spring Security提供的API和工具,定制自己的安全性策略,并将它们添加到过滤器链中。应用程序在接收到请求时,将会按照这些安全性策略来保护其资源。
三、SpringBoot整合SpringSecurity
添加依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>配置Spring Security
# 设置默认用户 spring.security.user.name=user spring.security.user.password=pass # 关闭CSRF保护 spring.security.csrf.enabled=false
编写安全性配置类。编写一个安全性配置类来配置Spring Security。这个类应该扩展WebSecurityConfigurerAdapter并覆盖一些方法来配置安全性。
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// 配置用户信息
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("user").password("{noop}pass").roles("USER");
}
// 配置HTTP请求安全性
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/public/**").permitAll() // 允许/public/**路径下的所有请求
.anyRequest().authenticated() // 所有其他请求都需要身份验证
.and()
.formLogin() // 启用表单登录
.loginPage("/login") // 指定登录页面
.defaultSuccessUrl("/", true) // 登录成功后重定向到主页
.permitAll() // 允许所有用户访问登录页面
.and()
.logout() // 启用注销
.logoutUrl("/logout") // 注销URL
.logoutSuccessUrl("/login") // 注销成功后重定向到登录页面
.permitAll(); // 允许所有用户注销
}
}在上面的配置中,我们配置了一个内存身份验证(使用用户名和密码)和HTTP请求安全性(允许某些路径下的请求,要求所有其他请求都需要身份验证,并开启表单登录和注销)。
编写控制器。最后,您需要编写一个控制器来处理登录和注销请求。
@Controller
public class LoginController {
// 处理登录请求
@GetMapping("/login")
public String login() {
return "login";
}
// 处理注销请求
@PostMapping("/logout")
public String logout() {
return "redirect:/login?logout=true";
}
}我们在代码中定义了一个名为login()的方法,用于处理登录页面请求,并将一个名为login的模板返回。logout()方法用于处理注销请求,并重定向到登录页面。
写html模板。最后,我们需要编写一个名为login.html的模板来呈现登录页面。
<!DOCTYPE html>
<html>
<head>
<title>Login</title>
</head>
<body>
<h2>Login</h2>
<form action="/login" method="post">
<div>
<label for="username">Username:</label>
<input type="text" id="username" name="username" required autofocus />
</div>
</form>
</body>
</html> 
