Spring Security簡介：

Spring Security 是針對Spring項目的安全框架，也是Spring Boot底層安全模塊默認的技術選型，它可以實現強大的Web安全控制，對于安全控制，我們只需要引入 spring-boot-starter-security 模塊，進行少量的配置，即可實現強大的安全管理！

記住幾個類：

• WebSecurityConfigurerAdapter：自定義Security策略
• AuthenticationManagerBuilder：自定義認證策略
• @EnableWebSecurity：開啟WebSecurity模式

Spring Security的兩個主要目標是 “認證” 和 “授權”（訪問控制）。

“認證”（Authentication）

身份驗證是關于驗證您的憑據，如用戶名/用戶ID和密碼，以驗證您的身份。

身份驗證通常通過用戶名和密碼完成，有時與身份驗證因素結合使用。

“授權” （Authorization）

授權發生在系統成功驗證您的身份后，最終會授予您訪問資源（如信息，文件，數據庫，資金，位置，幾乎任何內容）的完全權限。

這個概念是通用的，而不是只在Spring Security 中存在。

Spring Security 框架對于認證和授權很好的支持。在用戶認證方面，Spring Security 框架支持主流的認證方式，包括 HTTP 基本認證、HTTP 表單驗證、HTTP 摘要認證、OpenID 和 LDAP 等。在用戶授權方面，Spring Security 提供了基于角色的訪問控制和訪問控制列表（Access Control List，ACL），可以對應用中的領域對象進行細粒度的控制。

下面是spring security官網：Spring Security 找到對應的官方文檔：Spring Security Reference

實驗環境搭建：

1.新建一個初始的springboot項目web模塊，thymeleaf模塊

2.導入靜態資源

3、controller跳轉！

4、測試實驗環境是否成功

認證和授權

我們測試的環境，是誰都可以訪問，現在我們使用 Spring Security 增加上認證和授權的功能

1、引入 Spring Security 模塊

<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、編寫 Spring Security 配置類

參考對應的官方文檔：Spring Security Reference

3、編寫基礎配置類

@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {

 @Override
 protected void configure(HttpSecurity http) throws Exception {
     
}
}

4.定義授權的規則:

在配置類中看授權的源碼:

5、測試，發現除了首頁都進不去了！因為我們目前沒有登錄的角色，因為請求需要登錄的角色擁有對應的權限才可以！

6、在configure()方法中加入以下配置，開啟自動配置的登錄功能！

從源碼解釋中看

// 開啟自動配置的登錄功能
// /login 請求來到登錄頁
// /login?error 重定向到這里表示登錄失敗
http.formLogin();

7、測試一下：發現，沒有權限的時候，會跳轉到登錄的頁面！

8、查看剛才登錄頁的注釋信息；

我們可以定義認證規則，從源碼中查看

重寫configure(AuthenticationManagerBuilder auth)方法

//定義認證規則
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 
 //在內存中定義，也可以在jdbc中去拿....
 auth.inMemoryAuthentication()
        .withUser("kuangshen").password("123456").roles("vip2","vip3")
        .and()
        .withUser("root").password("123456").roles("vip1","vip2","vip3")
        .and()
        .withUser("guest").password("123456").roles("vip1","vip2");
}

9、測試，我們可以使用這些賬號登錄進行測試！發現會報錯！

There is no PasswordEncoder mapped for the id “null”

10、原因，我們要將前端傳過來的密碼進行某種方式加密，否則就無法登錄，修改代碼

11、測試，登錄成功，并且每個角色只能訪問自己認證下的規則

權限控制和注銷

1、開啟自動配置的注銷的功能

2、在前端，增加一個注銷的按鈕，index.html 導航欄中

<a class="item" th:href="@{/logout}" rel="external nofollow" >
 <i class="sign-out icon"></i> 注銷
</a>

3、可以去測試一下，登錄成功后點擊注銷，發現注銷完畢會跳轉到登錄頁面！

4、但是，我們想讓他注銷成功后，依舊可以跳轉到首頁，該怎么處理呢？

// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");

5、測試，注銷完畢后，發現跳轉到首頁OK

6、現在來一個需求：用戶沒有登錄的時候，導航欄上只顯示登錄按鈕，用戶登錄之后，導航欄可以顯示登錄的用戶信息及注銷按鈕！還有就是，比如longdi這個用戶，它只有 vip2，vip3功能，那么登錄則只顯示這兩個功能，而vip1的功能菜單不顯示！這個就是真實的網站情況了！

我們需要結合thymeleaf中的一些功能

sec：authorize="isAuthenticated()":是否認證登錄！來顯示不同的頁面

Maven依賴：

<dependency>
 <groupId>org.thymeleaf.extras</groupId>
 <artifactId>thymeleaf-extras-springsecurity5</artifactId>
 <version>3.0.4.RELEASE</version>
</dependency>

7、修改我們的 前端頁面

導入命名空間 xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"

修改導航欄，增加認證判斷

8、重啟測試，可以登錄試試看，登錄成功后確實，顯示了我們想要的頁面；

9、如果注銷404了，就是因為它默認防止csrf跨站請求偽造，因為會產生安全問題，可以將請求改為post表單提交，或者在spring security中關閉csrf功能；試試在 配置中增加

10、繼續將下面的角色功能塊認證完成！測試成功！

到此這篇關于Java Spring Security認證與授權及注銷和權限控制篇綜合解析的文章就介紹到這了,更多相關Java Spring Security內容請搜索服務器之家以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持服務器之家！

原文鏈接：https://blog.csdn.net/weixin_48838340/article/details/120661679