下面我来为你详细讲解“Spring Security实现登录和权限角色控制”的完整攻略。
什么是Spring Security?
Spring Security是Spring框架的安全性框架,用于保护Java应用程序。 它为应用程序提供了身份验证和授权服务。 它在应用程序中实现安全性功能,如身份验证,授权和身份验证记住我等功能,并保护应用程序免受常见的攻击,如会话固定攻击,跨站点脚本和跨站点请求伪造。
实现登陆和权限角色控制的步骤
步骤一:引入Spring Security依赖
首先,我们需要在项目的pom.xml文件中添加Spring Security依赖。可以使用以下依赖:
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>
引入依赖后,需要创建一个配置类来配置Spring Security。
步骤二:配置Spring Security
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/", "/home").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
.logoutSuccessUrl("/login?logout")
.permitAll();
http.csrf().disable();
}
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
在上面的配置类中,我们做了以下几个步骤:
- 引入
UserDetailsService服务。 - 在
configure(HttpSecurity http)方法中配置了应用程序的安全策略。在本例中,我们要求用户登录才能访问应用程序中的大部分内容。用户登录后,只有拥有ADMIN角色的用户才能访问admin页面中的内容。 - 在
configure(AuthenticationManagerBuilder auth)方法中配置了认证管理器,它表示如何通过用户提供的凭据(例如用户名和密码)验证用户身份。 - 创建了一个
PasswordEncoder的Bean,用于加密密码。
步骤三:创建用户实体类和用户角色实体类
创建User实体类和Role实体类,可以使用如下的代码:
@Entity
@Table(name = "user")
public class User {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
private String username;
private String password;
@ManyToMany(fetch = FetchType.EAGER)
@JoinTable(name = "user_role", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "role_id"))
private Set<Role> roles;
public User() {
}
public User(String username, String password) {
this.username = username;
this.password = password;
}
// getters and setters
}
@Entity
@Table(name = "role")
public class Role {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
private String name;
@ManyToMany(mappedBy = "roles")
private Set<User> users;
public Role() {
}
public Role(String name) {
this.name = name;
}
// getters and setters
}
以上代码中,User实体类和Role实体类形成了多对多关系。
步骤四:创建用户信息服务类
我们需要创建一个继承UserDetailsService的类,用于从数据库中获取用户信息。
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.findByUsername(username);
if (user == null) {
throw new UsernameNotFoundException(username);
}
return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),
mapRolesToAuthorities(user.getRoles()));
}
private Collection<? extends GrantedAuthority> mapRolesToAuthorities(Collection<Role> roles) {
return roles.stream().map(role -> new SimpleGrantedAuthority(role.getName())).collect(Collectors.toList());
}
}
在以上代码中,UserDetailsServiceImpl从数据库中获取用户信息。它使用了一个自定义的实现,即UserRepository来获取用户信息。UserDetailsServiceImpl还包含一个mapRolesToAuthorities方法,该方法将一个Set<Role>转换为Collection<? extends GrantedAuthority>,以用于授权。这是因为Spring Security使用GrantedAuthority对象来表示用户的权限/角色。
步骤五:创建控制器和视图
我们需要创建一个登录表单。我们可以使用以下的代码:
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
<meta charset="UTF-8">
<title>Login</title>
</head>
<body>
<h1>Spring Security Login Example</h1>
<form th:action="@{/login}" method="post">
<div>
<label>Username:</label>
<input type="text" name="username"/>
</div>
<div>
<label>Password:</label>
<input type="password" name="password"/>
</div>
<div>
<button type="submit">Login</button>
</div>
</form>
</body>
</html>
我们还需要创建一个登录控制器,用于处理用户登录请求。可以使用以下示例代码:
@Controller
public class LoginController {
@RequestMapping(value="/login", method = RequestMethod.GET)
public String login(Model model) {
return "login";
}
@RequestMapping(value="/login", method = RequestMethod.POST)
public String login(Model model, String error, String logout) {
if (error != null) {
model.addAttribute("error", "Your username and password is invalid.");
}
if (logout != null) {
model.addAttribute("message", "You have been logged out successfully.");
}
return "login";
}
}
在上述代码中,login方法处理GET /login请求,展示了登录表单。login方法处理POST /login请求。如果用户提供的用户名和密码无效,则添加一个错误消息,如果用户注销成功,则添加一个有关注销的成功消息。
此外,我们还需要创建一个受保护的页面,以便测试登录和授权。可以使用以下示例代码:
@Controller
public class AdminController {
@RequestMapping("/admin")
@ResponseBody
public String admin() {
return "This is the admin area.";
}
}
示例说明
下面,我们以一个简单的博客应用为例来演示如何实现用户登录和授权。
- 用户打开博客应用。
- 应用程序展示一个首页,其中包含文章列表,任何人都可以访问此页面。
- 用户点击文章标题,应用程序显示完整文章内容。再次强调,任何人都可以访问此页面。
- 用户想要发表自己的博客文章。应用程序展示一个页面,要求用户登录,以便提供身份验证和授权。用户输入用户名和密码,然后提交表单。
- 应用程序验证用户提供的用户名和密码,并授予用户适当的角色。如果验证成功,则用户会被重定向到一个受保护的页面,以便发表文章。
- 用户在受保护页面上编写并提交博客文章。成功提交后,用户被重定向回应用程序的首页。
结语
本文向你详细讲解了“Spring Security实现登录和角色权限控制”的完整攻略,包括步骤一:引入Spring Security依赖,步骤二:配置Spring Security,步骤三:创建用户实体类和用户角色实体类,步骤四:创建用户信息服务类,步骤五:创建控制器和视图。同时,本文也为你提供了一个简单的博客应用的示例来演示如何实现用户登录和授权。
本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:Spring security实现登陆和权限角色控制 - Python技术站
微信扫一扫 
支付宝扫一扫 