上一篇文章《Spring Security(一)–Architecture Overview》,我們介紹了Spring Security的基礎架構,這一節我們透過Spring官方給出的一個guides例子,來瞭解Spring Security是如何保護我們的應用的,之後會對進行一個解讀。
作者:老徐
原文地址:https://www.cnkirito.moe/2017/09/20/spring-security-2/
友情提示:歡迎關註公眾號【芋道原始碼】。?關註後,拉你進【原始碼圈】微信群和【老徐】搞基嗨皮。
友情提示:歡迎關註公眾號【芋道原始碼】。?關註後,拉你進【原始碼圈】微信群和【老徐】搞基嗨皮。
友情提示:歡迎關註公眾號【芋道原始碼】。?關註後,拉你進【原始碼圈】微信群和【老徐】搞基嗨皮。
2 Spring Security Guides
2.1 引入依賴
org.springframework.boot
由於我們集成了springboot,所以不需要顯示的引入Spring Security檔案中描述core,config依賴,只需要引入spring-boot-starter-security即可。
2.2 建立一個不受安全限制的web應用
這是一個首頁,不受安全限制
src/main/resources/templates/home.html
xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
Spring Security Example
to see a greeting.
這個簡單的頁面上包含了一個連結,跳轉到"/hello"。對應如下的頁面
src/main/resources/templates/hello.html
xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
Hello World!
接下來配置Spring MVC,使得我們能夠訪問到頁面。
@Configuration
public class MvcConfig extends WebMvcConfigurerAdapter {
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/home").setViewName("home");
registry.addViewController("/").setViewName("home");
registry.addViewController("/hello").setViewName("hello");
registry.addViewController("/login").setViewName("login");
}
}
2.3 配置Spring Security
一個典型的安全配置如下所示:
@Configuration
@EnableWebSecurity <1>
public class WebSecurityConfig extends WebSecurityConfigurerAdapter { <1>
@Override
protected void configure(HttpSecurity http) throws Exception {
http <2>
.authorizeRequests()
.antMatchers("/", "/home").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth <3>
.inMemoryAuthentication()
.withUser("admin").password("admin").roles("USER");
}
}
<1> @EnableWebSecurity註解使得SpringMVC集成了Spring Security的web安全支援。另外,WebSecurityConfig配置類同時集成了WebSecurityConfigurerAdapter,重寫了其中的特定方法,用於自定義Spring Security配置。整個Spring Security的工作量,其實都是集中在該配置類,不僅僅是這個guides,實際專案中也是如此。
<2> configure(HttpSecurity)
定義了哪些URL路徑應該被攔截,如字面意思所描述:"/", "/home"允許所有人訪問,"/login"作為登入入口,也被允許訪問,而剩下的"/hello"則需要登陸後才可以訪問。
<3> configureGlobal(AuthenticationManagerBuilder)
在記憶體中配置一個使用者,admin/admin分別是使用者名稱和密碼,這個使用者擁有USER角色。
我們目前還沒有登入頁面,下麵建立登入頁面:
xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
Spring Security Example
Invalid username and password.
You have been logged out.
User Name : type="text" name="username"/>
Password: type="password" name="password"/>
這個Thymeleaf模板提供了一個用於提交使用者名稱和密碼的表單,其中name="username",name="password"是預設的表單值,併傳送到“/ login”。 在預設配置中,Spring Security提供了一個攔截該請求並驗證使用者的過濾器。 如果驗證失敗,該頁面將重定向到“/ login?error”,並顯示相應的錯誤訊息。 當使用者選擇登出,請求會被髮送到“/ login?logout”。
最後,我們為hello.html新增一些內容,用於展示使用者資訊。
xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
Hello World!
th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!
type="submit" value="Sign Out"/>
我們使用Spring Security之後,HttpServletRequest#getRemoteUser()可以用來獲取使用者名稱。 登出請求將被髮送到“/ logout”。 成功登出後,會將使用者重定向到“/ login?logout”。
2.4 新增啟動類
@SpringBootApplication
public class Application {
public static void main(String[] args) throws Throwable {
SpringApplication.run(Application.class, args);
}
}
2.5 測試
訪問首頁 http://localhost:8080/
:
點選here,嘗試訪問受限的頁面: /hello
,由於未登入,結果被強制跳轉到登入也 /login
:
輸入正確的使用者名稱和密碼之後,跳轉到之前想要訪問的 /hello
:
點選Sign out退出按鈕,訪問: /logout
,回到登入頁面:
2.6 總結
本篇文章沒有什麼乾貨,基本算是翻譯了Spring Security Guides的內容,稍微瞭解Spring Security的朋友都不會對這個翻譯感到陌生。考慮到受眾的問題,一個入門的例子是必須得有的,方便後續對Spring Security的自定義配置進行講解。下一節,以此guides為例,講解這些最簡化的配置背後,Spring Security都幫我們做了什麼工作。
本節所有的程式碼,可以直接在Spring的官方倉庫下載得到, git clone https://github.com/spring-guides/gs-securing-web.git
。不過,建議初學者根據文章先一步步配置,出了問題,再與demo進行對比。
如若侵權,請聯絡本站刪除