上一篇文章《Spring Security(一)–Architecture Overview》,我們介紹了Spring Security的基礎架構,這一節我們通過Spring官方給出的一個guides例子,來了解Spring Security是如何保護我們的應用的,之後會對進行一個解讀。
https://blog.didispace.com/xjf-spring-security-2/#2-Spring-Security-Guides 2 Spring Security Guides
https://blog.didispace.com/xjf-spring-security-2/#2-1-%E5%BC%95%E5%85%A5%E4%BE%9D%E8%B5%96 2.1 引入依賴
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
</dependencies> 由于我們內建了springboot,是以不需要顯示的引入Spring Security文檔中描述core,config依賴,隻需要引入spring-boot-starter-security即可。
https://blog.didispace.com/xjf-spring-security-2/#2-2-%E5%88%9B%E5%BB%BA%E4%B8%80%E4%B8%AA%E4%B8%8D%E5%8F%97%E5%AE%89%E5%85%A8%E9%99%90%E5%88%B6%E7%9A%84web%E5%BA%94%E7%94%A8 2.2 建立一個不受安全限制的web應用
這是一個首頁,不受安全限制
src/main/resources/templates/home.html
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
<title>Spring Security Example</title>
</head>
<body>
<h1>Welcome!</h1>
<p>Click <a th:href="@{/hello}">here</a> to see a greeting.</p>
</body>
</html> 這個簡單的頁面上包含了一個連結,跳轉到”/hello”。對應如下的頁面
src/main/resources/templates/hello.html
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
<title>Hello World!</title>
</head>
<body>
<h1>Hello world!</h1>
</body>
</html> 接下來配置Spring MVC,使得我們能夠通路到頁面。
@Configuration
public class MvcConfig extends WebMvcConfigurerAdapter {
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/home").setViewName("home");
registry.addViewController("/").setViewName("home");
registry.addViewController("/hello").setViewName("hello");
registry.addViewController("/login").setViewName("login");
}
} 2.3 配置Spring Security
一個典型的安全配置如下所示:
@Configuration
@EnableWebSecurity <1>
public class WebSecurityConfig extends WebSecurityConfigurerAdapter { <1>
@Override
protected void configure(HttpSecurity http) throws Exception {
http <2>
.authorizeRequests()
.antMatchers("/", "/home").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth <3>
.inMemoryAuthentication()
.withUser("admin").password("admin").roles("USER");
}
} <1> @EnableWebSecurity注解使得SpringMVC內建了Spring Security的web安全支援。另外,WebSecurityConfig配置類同時內建了WebSecurityConfigurerAdapter,重寫了其中的特定方法,用于自定義Spring Security配置。整個Spring Security的工作量,其實都是集中在該配置類,不僅僅是這個guides,實際項目中也是如此。
<2>
configure(HttpSecurity)
定義了哪些URL路徑應該被攔截,如字面意思所描述:”/“, “/home”允許所有人通路,”/login”作為登入入口,也被允許通路,而剩下的”/hello”則需要登陸後才可以通路。
<3>
configureGlobal(AuthenticationManagerBuilder)
在記憶體中配置一個使用者,admin/admin分别是使用者名和密碼,這個使用者擁有USER角色。
我們目前還沒有登入頁面,下面建立登入頁面:
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
<title>Spring Security Example </title>
</head>
<body>
<div th:if="${param.error}">
Invalid username and password.
</div>
<div th:if="${param.logout}">
You have been logged out.
</div>
<form th:action="@{/login}" method="post">
<div><label> User Name : <input type="text" name="username"/> </label></div>
<div><label> Password: <input type="password" name="password"/> </label></div>
<div><input type="submit" value="Sign In"/></div>
</form>
</body>
</html> 這個Thymeleaf模闆提供了一個用于送出使用者名和密碼的表單,其中name=”username”,name=”password”是預設的表單值,并發送到“/ login”。 在預設配置中,Spring Security提供了一個攔截該請求并驗證使用者的過濾器。 如果驗證失敗,該頁面将重定向到“/ login?error”,并顯示相應的錯誤消息。 當使用者選擇登出,請求會被發送到“/ login?logout”。
最後,我們為hello.html添加一些内容,用于展示使用者資訊。
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
<title>Hello World!</title>
</head>
<body>
<h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
<form th:action="@{/logout}" method="post">
<input type="submit" value="Sign Out"/>
</form>
</body>
</html> 我們使用Spring Security之後,HttpServletRequest#getRemoteUser()可以用來擷取使用者名。 登出請求将被發送到“/ logout”。 成功登出後,會将使用者重定向到“/ login?logout”。
https://blog.didispace.com/xjf-spring-security-2/#2-4-%E6%B7%BB%E5%8A%A0%E5%90%AF%E5%8A%A8%E7%B1%BB 2.4 添加啟動類
@SpringBootApplication
public class Application {
public static void main(String[] args) throws Throwable {
SpringApplication.run(Application.class, args);
}
} 2.5 測試
通路首頁
http://localhost:8080/
:
點選here,嘗試通路受限的頁面:
/hello
,由于未登入,結果被強制跳轉到登入也
/login
:
輸入正确的使用者名和密碼之後,跳轉到之前想要通路的
/hello
點選Sign out退出按鈕,通路:
/logout
,回到登入頁面:
2.6 總結
本篇文章沒有什麼幹貨,基本算是翻譯了Spring Security Guides的内容,稍微了解Spring Security的朋友都不會對這個翻譯感到陌生。考慮到閱聽人的問題,一個入門的例子是必須得有的,友善後續對Spring Security的自定義配置進行講解。下一節,以此guides為例,講解這些最簡化的配置背後,Spring Security都幫我們做了什麼工作。
本節所有的代碼,可以直接在Spring的官方倉庫下載下傳得到,
git clone
https://github.com/spring-guides/gs-securing-web.git
。不過,建議初學者根據文章先一步步配置,出了問題,再與demo進行對比。
![Java String.format方法的簡單使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)