Spring Security(二)--Guides

芋道源码 2017-12-21

上一篇文章《Spring Security(一)--Architecture Overview》,我们介绍了Spring Security的基础架构,这一节我们通过Spring官方给出的一个guides例子,来了解Spring Security是如何保护我们的应用的,之后会对进行一个解读。

作者:老徐

原文地址:https://www.cnkirito.moe/2017/09/20/spring-security-2/

友情提示:欢迎关注公众号【芋道源码】。😈关注后,拉你进【源码圈】微信群和【老徐】搞基嗨皮。

友情提示:欢迎关注公众号【芋道源码】。😈关注后,拉你进【源码圈】微信群和【老徐】搞基嗨皮。

友情提示:欢迎关注公众号【芋道源码】。😈关注后,拉你进【源码圈】微信群和【老徐】搞基嗨皮。

2 Spring Security Guides

2.1 引入依赖

  1.    

  2.        org.springframework.boot

  •        spring-boot-starter-web

  •    

  •    

  •        org.springframework.boot

  •        spring-boot-starter-security

  •    

  •    

  •        org.springframework.boot

  •        spring-boot-starter-thymeleaf

  •    

  • 由于我们集成了springboot,所以不需要显示的引入Spring Security文档中描述core,config依赖,只需要引入spring-boot-starter-security即可。

    2.2 创建一个不受安全限制的web应用

    这是一个首页,不受安全限制

    src/main/resources/templates/home.html

    1. xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">

    2.    

    3.        Spring Security Example

  •    

  •    

  •        

    Welcome!

  •        

    Click th:href="@{/hello}">here

  • to see a greeting.
  •    

  • 这个简单的页面上包含了一个链接,跳转到"/hello"。对应如下的页面

    src/main/resources/templates/hello.html

    1. xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"

    2.      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">

    3.    

    4.        Hello World!

  •    

  •    

  •        

    Hello world!

  •    

  • 接下来配置Spring MVC,使得我们能够访问到页面。

    1. @Configuration

    2. public class MvcConfig extends WebMvcConfigurerAdapter {

    3.    @Override

    4.    public void addViewControllers(ViewControllerRegistry registry) {

    5.        registry.addViewController("/home").setViewName("home");

    6.        registry.addViewController("/").setViewName("home");

    7.        registry.addViewController("/hello").setViewName("hello");

    8.        registry.addViewController("/login").setViewName("login");

    9.    }

    10. }

    2.3 配置Spring Security

    一个典型的安全配置如下所示:

    1. @Configuration

    2. @EnableWebSecurity <1>

    3. public class WebSecurityConfig extends WebSecurityConfigurerAdapter { <1>

    4.    @Override

    5.    protected void configure(HttpSecurity http) throws Exception {

    6.        http <2>

    7.            .authorizeRequests()

    8.                .antMatchers("/", "/home").permitAll()

    9.                .anyRequest().authenticated()

    10.                .and()

    11.            .formLogin()

    12.                .loginPage("/login")

    13.                .permitAll()

    14.                .and()

    15.            .logout()

    16.                .permitAll();

    17.    }

    18.    @Autowired

    19.    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

    20.        auth <3>

    21.            .inMemoryAuthentication()

    22.                .withUser("admin").password("admin").roles("USER");

    23.    }

    24. }

    <1> @EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持。另外,WebSecurityConfig配置类同时集成了WebSecurityConfigurerAdapter,重写了其中的特定方法,用于自定义Spring Security配置。整个Spring Security的工作量,其实都是集中在该配置类,不仅仅是这个guides,实际项目中也是如此。

    <2> configure(HttpSecurity)定义了哪些URL路径应该被拦截,如字面意思所描述:"/", "/home"允许所有人访问,"/login"作为登录入口,也被允许访问,而剩下的"/hello"则需要登陆后才可以访问。

    <3> configureGlobal(AuthenticationManagerBuilder)在内存中配置一个用户,admin/admin分别是用户名和密码,这个用户拥有USER角色。

    我们目前还没有登录页面,下面创建登录页面:

    1. xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"

    2.      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">

    3.    

    4.        Spring Security Example

  •    

  •    

  •         th:if="${param.error}">

  •            Invalid username and password.

  •        

  •         th:if="${param.logout}">

  •            You have been logged out.

  •        

  •         th:action="@{/login}" method="post">

  •            

    User Name : type="text" name="username"/>

  •            

    Password: type="password" name="password"/>

  •            

    type="submit" value="Sign In"/>

  •        

  •    

  • 这个Thymeleaf模板提供了一个用于提交用户名和密码的表单,其中name="username",name="password"是默认的表单值,并发送到“/ login”。 在默认配置中,Spring Security提供了一个拦截该请求并验证用户的过滤器。 如果验证失败,该页面将重定向到“/ login?error”,并显示相应的错误消息。 当用户选择注销,请求会被发送到“/ login?logout”。

    最后,我们为hello.html添加一些内容,用于展示用户信息。

    1. xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"

    2.      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">

    3.    

    4.        Hello World!

  •    

  •    

  •         th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!

  •         th:action="@{/logout}" method="post">

  •             type="submit" value="Sign Out"/>

  •        

  •    

  • 我们使用Spring Security之后,HttpServletRequest#getRemoteUser()可以用来获取用户名。 登出请求将被发送到“/ logout”。 成功注销后,会将用户重定向到“/ login?logout”。

    2.4 添加启动类

    1. @SpringBootApplication

    2. public class Application {

    3.    public static void main(String[] args) throws Throwable {

    4.        SpringApplication.run(Application.class, args);

    5.    }

    6. }

    2.5 测试

    访问首页 http://localhost:8080/:

    点击here,尝试访问受限的页面: /hello,由于未登录,结果被强制跳转到登录也 /login

    输入正确的用户名和密码之后,跳转到之前想要访问的 /hello:

    点击Sign out退出按钮,访问: /logout,回到登录页面:

    2.6 总结

    本篇文章没有什么干货,基本算是翻译了Spring Security Guides的内容,稍微了解Spring Security的朋友都不会对这个翻译感到陌生。考虑到受众的问题,一个入门的例子是必须得有的,方便后续对Spring Security的自定义配置进行讲解。下一节,以此guides为例,讲解这些最简化的配置背后,Spring Security都帮我们做了什么工作。

    本节所有的代码,可以直接在Spring的官方仓库下载得到, git clone https://github.com/spring-guides/gs-securing-web.git。不过,建议初学者根据文章先一步步配置,出了问题,再与demo进行对比。


      本站仅按申请收录文章,版权归原作者所有
      如若侵权,请联系本站删除
      觉得不错,分享给更多人看到