Spring Security十分钟入门教程

目录
  • 写在前面
  • 目标
  • 开始
  • 不引入Spring Security访问接口
  • 引入Spring Security访问接口
  • 退出登录
  • 后记

写在前面

我们在学习技术的过程中,学习的渠道大概有以下几种:看书,视频,博客。我们会发现,一种技术开始流行的时候,各种形式的讲述也就出现了。那么,出书,录视频,写博客的人,在他们之前,是没有什么现成的东西让他们学习的,他们是怎么上手的呢?换句话说,怎么才能有效的快速的上手一门技术呢?

这篇文章,我们一起从零开始学习SpringSecurity,技术点不重要,重要的是学习方式。

说来惭愧,在写这个专栏之前,我并没有学习过SpringSecurity。这也是我的一次新的尝试。

目标

这篇文章的目标是实现简单的登录,退出功能。展示从一无所知,到使用这个技术处理简单需求的全过程。

开始

我们知道,Spring的社区支持特别完善,Spring全家桶的文档特别好,那么我们话不多说,打开Spring Security 官网看一下。

看完这个图片我们明白了,得创建一个SpringBoot工程,构建工具我们选择常用的maven,然后引入SpringSecurity的starter即可,当然为了测试引入SpringSecurity之后访问接口的变化,我们要引入web的starter,就像是SpringBoot入门时候一样

不引入Spring Security访问接口

创建SpringBoot工程,这个太简单了,不过多赘述

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.7.3</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.nightcat</groupId>
    <artifactId>security</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>security</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>
    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>
package com.nightcat.security.controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class HelloController {
    @RequestMapping("/hello")
    public String hello() {
        return "hello Security";
    }
}

把项目启动起来,之后输入localhost:8080/hello,就会看到浏览器显示helloSecurity。

引入Spring Security访问接口

其实所有的安全管理框架,需要解决的就是两件事,认证和鉴权,认证是判断用户是不是当前系统的用户,不是就不让他用系统,鉴权简单理解就是,有权限访问系统的哪些部分,比如有些功能你要登录之后才能用,有些功能是内部人员可用,即根据角色分配权限,根据权限分配可用范围。

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

加入SpringSecurity依赖。

这个时候,如果再访问 hello接口,就会出现一个页面,让咱们登录。

可是到目前为止,我们根本不知道用户名和密码,更不知道这个页面从哪来的,我们目前的项目里,没有自己写任何页面。没办法,继续看文档。

我们的工程是Servlet工程,看看文档是怎么写的。

在快速上手章节有一个Spring Boot Auto Configuration,文档写的非常明白,主要做了三件事

①创建了一个SpringSecurityFilterChain

②创建了一个UserDetailsService,用户名是user ,一个随机的密码是在控制台打印出来了。

③把 SpringSecurityFilterChain,注册到Web容器里,每个请求都经过它

好了,看到第二条,我们就能登录了。

文档中提到了,每次随机生成一个密码供用户登录使用,我们先来看看那个密码长什么样子:

Using generated security password: caab29d4-b177-4fa7-85e2-f23a1f6246cf

这个密码显然不是我们想要的,总不能每次启动项目,都生成一个新的密码,而且用户名也不可能都叫做user,我们希望能自己定制用户名和密码。我们现在并不知道该怎么做。继续读文档。

我们来看看SpringSecurity给我们提供的例子:Spring Security 例子

我们看到了,SpringSecurity提供的例子,有199次提交,我们找到最开始的几次提交记录。看看它都做了什么。

找到了

那我们照葫芦画瓢,把中间的用户名和密码改一下,然后登录。

package com.nightcat.security.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
@Configuration
@EnableWebSecurity
public class SecurityConfiguration {
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
                .username("zhangsan")
                .password("123")
                .roles("USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }
}

好了,剩下的东西我们先本着不求甚解,一步步来的原则,先看看zhangsan/123能不能登录。

我这里直接给结论吧,不再截图,是可以登录的,并且每次都是这个用户名和密码。

退出登录

我们实现了登录,退出登录怎么做呀?我们不知道引入SpringSecurity之后怎么做,还是看它的例子,我们发现它并没有编写退出登录的接口,我们以前的常规操作就是,点击按钮然后把当前登录人从Session中remove掉就行了。那SpringSecurity是怎么做的呢?继续看它的例子。

我们虽然没有找到它处理退出逻辑的自定义接口,但是我们发现它的页面中url是/logout,那么我们直接尝试一下从浏览器输入这个url

哎呦,还真的可以,点击logout就退出了。

后记

刚开始学,我们不用对自己要求太高,应该掌握一种思路,如何上手新技术,完成最最简单的功能再一步步迭代。这里留了很多坑,比如角色权限的配置,比如集成数据库,比如用户策略这些,比如我们要在退出的时候实现一些逻辑再退出,其实我自己也不会,都需要一步步去学习,我们应该掌握方法,消除对陌生技术的恐惧感。

到此这篇关于Spring Security十分钟入门教程的文章就介绍到这了,更多相关Spring Security内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • SpringSecurity微服务实战之公共模块详解

    目录 前言 模块结构 前言 在项目中安全框架是必不可少的,在微服务架构中更是尤为重要,我们项目中将安全模块单独抽离了一个公共模块出来,因为在我的项目架构中 需要用到的SpringSecurity 至少有三个地方 boss服务 admin服务 user服务(saas)模式的一个微服务架构 模块结构 主要分为 base服务(提供数据,可以部署多份进行负载均衡) boss模块 admin模块 gateway模块 以及公共模块其中就包含我们今天的主角 安全模块. 我们在TokenLoginFilter中

  • SpringBoot浅析安全管理之Spring Security配置

    目录 Spring Security 的基本配置 基本用法 1. 创建项目添加依赖 2. 添加 hello 接口 3. 启动项目测试 配置用户名和密码 基于内存的认证 HttpSecurity 登录表单详细配置 注销登录配置 多个 HttpSecurity 密码加密 1. 为什么要加密 2. 加密方案 3. 实践 方法安全 在 Java 开发领域常见的安全框架有 Shiro 和 Spring Security.Shiro 是一个轻量级的安全管理框架,提供了认证.授权.会话管理.密码管理.缓存管理

  • Spring Security 自定义资源服务器实践过程

    目录 前言 最小化配置 安装资源服务器 配置资源服务器 配置客户端 整流程体验 总结 前言 在前面我们使用最小化配置的方式搭建了自己的授权服务器,现在我们依旧用最小化的方式配置自己的资源服务器.资源服务器负责scope的鉴权.authorities的鉴权.基于用户角色的鉴权等. 最小化配置 安装资源服务器 1. 新建一个Spring Boot项目,命名为spring-security-resource-server2.引入pom.xml依赖 <dependency> <groupId&g

  • Spring Security 自定义授权服务器实践记录

    目录 前言 授权服务器变迁 最小化配置 安装授权服务器 配置授权服务器 配置客户端 体验 总结 前言 在之前我们已经对接过了GitHub.Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验.但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器.OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器.授权服务器主要提供OAuth

  • SpringSecurity自定义登录成功处理

    有时候页面跳转并不能满足我们,特别是在前后端分离开发中就不需要成功之后跳转页面.只需要给前端返回一个JSON通知登录成功还是失败与否.这个试试可以通过自定义AuthenticationSuccessHandler实现 修改WebSecurityConfigurer successHandler package com.example.config; import com.example.handler.MyAuthenticationSuccessHandler; import org.spri

  • SpringSecurity注销设置的方法

    Spring Security中也提供了默认的注销配置,在开发时也可以按照自己需求对注销进行个性化定制 开启注销 默认开启 package com.example.config; import com.example.handler.MyAuthenticationFailureHandler; import com.example.handler.MyAuthenticationSuccessHandler; import org.springframework.context.annotat

  • SpringSecurity添加图形验证码认证实现

    目录 第一步:图形验证码接口 1.使用第三方的验证码生成工具Kaptcha 2.设置验证接口 3.模板表单设置 第二步:设置图像验证过滤器 第三步:将图像验证过滤器添加到springsecurity过滤器链中 第一步:图形验证码接口 1.使用第三方的验证码生成工具Kaptcha https://github.com/penggle/kaptcha @Configuration public class KaptchaImageCodeConfig { @Bean public DefaultKa

  • springSecurity实现简单的登录功能

    前言 1.不使用数据库,实现一个简单的登录功能,只有在登录后才能访问我们的接口2.springSecurity提供了一种基于内存的验证方法(使用自己定义的用户,不使用默认的) 一.实现用户创建,登陆后才能访问接口(注重用户认证) 1.定义一个内存用户,不使用默认用户 重写configure(AuthenticationManagerBuilder auth)方法,实现在内存中定义一个 (用户名/密码/权限:admin/123456/admin) 的用户 package com.example.s

  • SpringSecurity自定义登录界面

    为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能.但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面. 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.or

  • Spring Security十分钟入门教程

    目录 写在前面 目标 开始 不引入Spring Security访问接口 引入Spring Security访问接口 退出登录 后记 写在前面 我们在学习技术的过程中,学习的渠道大概有以下几种:看书,视频,博客.我们会发现,一种技术开始流行的时候,各种形式的讲述也就出现了.那么,出书,录视频,写博客的人,在他们之前,是没有什么现成的东西让他们学习的,他们是怎么上手的呢?换句话说,怎么才能有效的快速的上手一门技术呢? 这篇文章,我们一起从零开始学习SpringSecurity,技术点不重要,重要的

  • HTML 30分钟入门教程

    运行下面的代码就可以了 HTML 30分钟入门教程 h1 {text-align:center} p {text-indent:2em; line-height:140%; margin:auto 10px} span {margin:3px} .code { border:solid 1px gray; background-color:#eee} .name { font-weight:bold } dl {margin-left:20px} dt {font-weight:bold} .t

  • 正则表达式30分钟入门教程 v2.1版

    运行下面的代码就可以看到 正则表达式30分钟入门教程 h1 {text-align:center} p {text-indent:2em; line-height:140%; margin:auto 10px} span {margin:3px} table {margin:auto; border-style:solid; border-width:1px 1px 0 0; border-color:gray} td, th {border-style:solid; border-width:

  • Java十分钟入门多线程下篇

    目录 1.线程池: 2.创建线程池: 1.newCacheThreadPool: 2.newSingleThreadExecutor: 3.newFixedThreadPool(inta): 4.newScheduledTreadPool: 3.线程池创建自定义线程: 4.Runnable和Callable的区别: 5.线程池总结: 1.线程池: 什么是线程池? 咱们也不看长篇大论,通俗的来讲,线程池就是装线程的容器,当需要用的时候去池里面取出来,不用的时候放回去或者销毁.这样一个线程就可以反复

  • Java十分钟入门多线程中篇

    目录 1.线程的调度: 1.设置优先级(Priority): 2.休眠(sleep) 3.强制运行(join) 4.礼让(yield) 2.定时器线程: 3.线程的同步: 举例说明: 我们知道飞机在天上飞行是有固定的航线(可以理解成线程),每个机场都有最大的运行负载能力,当运行情况超过了负载能力的时候,这就需要塔台调度参与,会根据每架飞机的优先级排序.当在航线的时候,如果出现紧急情况,会让其他飞机避让,让这架飞机优先级提高,先降落.这就是调度,计算机程序线程运行也是这样的. 1.线程的调度: 在

  • Java十分钟入门多线程上篇

    什么是多线程? 在学习前,我们先对程序.进程.线程.并行.并发有个基础的概念了解: 程序: 为完成指定任务,用编程语言编写的一组指令的集合,即指一段静态的代码,静态对象. 进程: 是程序的一次执行过程,是一个动态的过程,进程自身有产生.使用和消亡的过程.(也称为生命周期,在后面会介绍) 线程: 进程可进一步细化为线程,是一个程序内部的一条执行路径,也就是进程内有线程 并行: 指两个或者多个事件在同一时刻发生,(同时发生) 并发: 指两个或者多个事件在同一个时段内发生,(并不是同时发生) 更好的理

  • Symfony学习十分钟入门经典教程

    Symfony是一个强大的基于PHP的Web开发框架,在这里我们用十分钟的时间来做一个简单的增删改查的程序, 任何不熟悉Symfony的人都可以通过这个教程完成自己的第一个Symfony程序. 如果需要这个样例程序的全部源代码,可以访问 这里 ,或者通过下面的方式获取源代码: $git clone https://github.com/saharabear/symfony-sample.git 项目初始化 首先,需要你在自己的电脑中安装PHP环境并安装git.这方面的内容属于基础内容,网络上有大

  • 学习正则表达式30分钟入门教程(第二版)

    由于本人内容过多排版比较乱,推荐大家浏览单独网页版 http://www.jb51.net/tools/zhengze.html 本文目标 30分钟内让你明白正则表达式是什么,并对它有一些基本的了解,让你可以在自己的程序或网页里使用它. 如何使用本教程 最重要的是--请给我30分钟,如果你没有使用正则表达式的经验,请不要试图在30秒内入门--除非你是超人 :) 别被下面那些复杂的表达式吓倒,只要跟着我一步一步来,你会发现正则表达式其实并没有你想像中的那么困难.当然,如果你看完了这篇教程之后,发现

  • Spring Framework 5.0 入门教程

    1. 为什么学习Spring? 随着对Java EE的不断接触和理解,你会发现Spring 在各个企业和项目中发挥着越来越重要的作用.掌握Spring 已成为我们IT行业生存必学的本领之一. Spring Framework 是一个开源的Java/Java EE全功能栈(full-stack)的应用程序框架,以Apache许可证形式发布,也有.NET平台上的移植版本. 该框架基于 Expert One-on-One Java EE Design and Development(ISBN 0-76

  • webpack学习--webpack经典7分钟入门教程

    一.什么是 Webpack Webpack 是一个模块打包器.它将根据模块的依赖关系进行静态分析,然后将这些模块按照指定的规则生成对应的静态资源. webpack模式图 二.为什么使用webpack 市面上已经存在的模块管理和打包工具并不适合大型的项目,尤其单页面 Web 应用程序.最紧迫的原因是如何在一个大规模的代码库中,维护各种模块资源的分割和存放,维护它们之间的依赖关系,并且无缝的将它们整合到一起生成适合浏览器端请求加载的静态资源.而webpack有以下几个优点: 1.将依赖树拆分成按需加

随机推荐