SpringBoot SpringSecurity(一）

Spring Security是一款基于Spring的安全框架，主要包含认证和授权两大安全模块，和另外一款流行的安全框架Apache Shiro相比，它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求，并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring，那么在安全方面Spring Security会是一个不错的选择。

下面记录讲解下SpringBoot集成SpringSecurtiy，SpringBoot版本2.1.6.RELEASE，SpringSecurity版本：5.1.5.RELEASE，分为三个部分：

1. 开启SpringSecurity
2. 基于HttpBasic认证
3. 基本原理

开启SpringSecurity

创建一个Spring Boot项目，然后引入spring-boot-starter-security：

 

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

创建一个对外的服务：

 

@RestController
public class DemoController {

    @GetMapping("/hello")
    public String hello() {
        return "Hello SpringSecurity!";
    }
}

application.properties 中修改端口号为9090

 

server.port=9090

启动项目，访问http://127.0.0.1:9090/hello

image.png

 

当Spring项目中引入了Spring Security依赖的时候，项目会默认开启如下配置：

 

security.basic.enabled=true

这个配置开启了一个表单认证，所有服务的访问都必须先过这个认证，默认的用户名为user，密码由Sping Security自动生成，回到IDE的控制台，可以找到密码信息：

 

Using generated security password: 078db2a5-ae07-4a10-a85c-cf0162a7e966

输入用户名user，密码078db2a5-ae07-4a10-a85c-cf0162a7e966后，我们便可以成功访问/hello接口。

基于HttpBasic认证

配置SpringSecurity认证方式。
创建一个配置类SpringSecurityConfig继承org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter这个抽象类并重写configure(HttpSecurity http)方法。WebSecurityConfigurerAdapter是由Spring Security提供的Web应用安全配置的适配器：

 

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.httpBasic()                // HttpBasic
//        http.formLogin()              // 表单方式
                .and()
                .authorizeRequests()  // 授权配置
                .anyRequest()         // 所有请求
                .authenticated();     // 都需要认证
    }
}

重启项目，再次访问：http://127.0.0.1:9090/hello

 

![image.png](https://upload-images.jianshu.io/upload_images/1669182-81337b0d1686d398.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

基本原理

上面我们开启了一个最简单的Spring Security安全配置，下面我们来了解下Spring Security的基本原理。通过上面的的配置，代码的执行过程可以简化为下图表示：

 

image.png

如上图所示，Spring Security包含了众多的过滤器，这些过滤器形成了一条链，所有请求都必须通过这些过滤器后才能成功访问到资源。其中UsernamePasswordAuthenticationFilter过滤器用于处理基于表单方式的登录认证，而BasicAuthenticationFilter用于处理基于HTTP Basic方式的登录验证，后面还可能包含一系列别的过滤器（可以通过相应配置开启）。在过滤器链的末尾是一个名为FilterSecurityInterceptor的拦截器，用于判断当前请求身份认证是否成功，是否有相应的权限，当身份认证失败或者权限不足的时候便会抛出相应的异常。ExceptionTranslateFilter捕获并处理，所以我们在ExceptionTranslateFilter过滤器用于处理了FilterSecurityInterceptor抛出的异常并进行处理，比如需要身份认证时将请求重定向到相应的认证页面，当认证失败或者权限不足时返回相应的提示信息。

作者：lconcise
链接：https://www.jianshu.com/p/6e3b2f599660
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。