SpringSecurity

最新推荐文章于 2025-04-09 15:06:41 发布

@Hello World

最新推荐文章于 2025-04-09 15:06:41 发布

阅读量281

点赞数

分类专栏： springboot 文章标签： spring spring boot java

本文链接：https://blog.youkuaiyun.com/Xiaobai_Tang/article/details/120714153

版权

springboot 专栏收录该内容

2 篇文章

订阅专栏

本文介绍了如何在SpringBoot项目中搭建SpringSecurity环境，用于实现网站安全控制。通过引入spring-boot-starter-security和Thymeleaf相关依赖，设置权限规则并配置用户认证和授权。使用WebSecurityConfigurerAdapter定制安全策略，包括定义不同URL的访问权限，并利用BCryptPasswordEncoder加密密码。文章还提及了403错误的可能原因，即没有足够的访问权限。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

SpringSecurity 环境搭建

在web开发种中，安全第一位！过滤器，拦截器~

功能性需求：否

做网站：安全应该在什么时候考虑？设计之初！

漏洞，隐私试漏~
架构一旦确定~

shiro、SpringSecurity：很像~除了类不一样，名字不一样

认证，授权（vip1,vip2,vip3）

功能权限
访问权限
菜单权限
...拦截器，过滤器：大量的原生代码~ 冗余

MVC--SPRING--SPRINGBOOT---框架思想

导入三个依赖jir包

<!--security-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.5.5</version>
</dependency>

<!--thymeleaf模板-->
<dependency>
    <groupId>org.thymeleaf</groupId>
    <artifactId>thymeleaf-spring5</artifactId>
</dependency>
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-java8time</artifactId>
</dependency>

用户认证和授权

Spring Security是针对Spring项目的安全框架，也是Spring Boot底层安全模板默认的技术选型，他可以实现强大的Web安全控制，对于安全控制，我们仅需引入spring-boot-starter-securit模板，进行少量的配置，即可实现强大的安全管理！

主要类：

WebSecurityConfigurerAdapter:自定义Security策略
AuthenticationManagerBuilder:自定义认证策略
@EnableWebSecurity:开启WebSecurity模式，@Enablexxx 开启某个功能

Spring Security的两个主要目标是”认证“和”授权“（访问控制）。

"认证"(Authentication)

"授权"(Authorization)

这个概念是通用的，而不是只在Spring Security中存在。

Spring Security官网地址：https://docs.spring.io/spring-security/site/docs/current/reference/html5/#jc

安全器配置类：

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

//@EnableWebSecurity 组合注解 1: 加载了WebSecurityConfiguration配置类, 配置安全认证策略。2: 加载了AuthenticationConfiguration, 配置了认证信息。
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //权限
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可以访问，功能页只有对应有权限的人才能访问
        //请求授权的规则
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限默认会到登录页面
        http.formLogin();
    }

    //认证
    //密码编码： PasswordEncoder
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //在缓存中读取:inMemoryAuthentication()
        //正常情况下在数据库中读取:jdbcAuthentication()
        //new BCryptPasswordEncoder().encode("123456") 加密
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("xiaotang").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");

    }
}

遇到403出错则是没有访问权限