文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新鲜速递:Spring Boot 3 项目快速集成 Spring Security 6的方法

2023-08-25 06:51

关注

Spring Boot 3正式版本已发版了半个月,Spring Security6也一并更新,但是网络上的相关中文文档较少,盲目进行集成容易出错,所以本文讲如何快速集成。这里不再赘述Spring Boot3和Spring Security6是做什么的,能来这的都知道。先确保以下信息:

Spring Boot至少是3.0.0版本Spring Security至少是6.0.0版本(这里由Spring Boot管理,直接上starter即可)

本文要解决的问题:Spring Security 6的集成和配置

Maven增加依赖,如果你已经有了,或者Spring Initializr新建项目时加了,忽略这一步

<dependency>    <groupId>org.springframework.bootgroupId>    <artifactId>spring-boot-starter-securityartifactId>dependency>

配置你的Spring Security,这里的/api/auth/login是你的登录页地址

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.web.SecurityFilterChain;@Configurationpublic class SpringSecurityConfig {    @Bean    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {        return http.authorizeHttpRequests(authorize-> {                    try {                        authorize    // 放行登录接口    .requestMatchers("/api/auth/login").permitAll()    // 放行资源目录    .requestMatchers("/static@RestController@RequestMapping("/controller")public class YourController {    @RequestMapping("method")    @PreAuthorize("hasAuthority('YourController:YourMethod')")    public String yourMethod(){        return "这个信息只有登录才能看到";    }}

往项目里添加工具类,不用改,原样放上去就行

import jakarta.servlet.http.HttpServletRequest;import org.springframework.security.authentication.AnonymousAuthenticationToken;import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.authority.AuthorityUtils;import org.springframework.security.core.context.SecurityContextHolder;import org.springframework.security.web.context.HttpSessionSecurityContextRepository;import org.springframework.web.context.request.RequestContextHolder;import org.springframework.web.context.request.ServletRequestAttributes;import java.util.List;public class SpringSecurityUtil {        public static void login(String username, String password, List<String> authorities) {        HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();        List<GrantedAuthority> authoritiesList = AuthorityUtils.createAuthorityList(authorities.toArray(new String[]{}));        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password, authoritiesList);        SecurityContextHolder.getContext().setAuthentication(token);        request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());    }        public static String getCurrentUsername() {        return SecurityContextHolder.getContext().getAuthentication().getPrincipal().toString();    }        public static boolean isLogin() {        return !(SecurityContextHolder.getContext().getAuthentication() instanceof AnonymousAuthenticationToken);    }}

做登录测试的Controller:

import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;import java.util.ArrayList;import java.util.List;@RestController@RequestMapping("/api/auth")public class LoginController {    @RequestMapping("login")    public Object login(){        // 用户名,这个从你的登录表单拿        String username="admin";        // 密码,这个从你的登录表单拿        String password="password";        // 权限字符串,这个从你的数据库里读        List<String> authorities=new ArrayList<>();        authorities.add("YourController:YourMethod");        // 判断是否登陆        if(SpringSecurityUtil.isLogin()){            // 登陆了打印一下当前用户名            System.out.println(SpringSecurityUtil.getCurrentUsername());        }else{            // 没登录则进行一次登录            SpringSecurityUtil.login(username,password,authorities);        }        return "success";    }}

测试,启动服务,访问一下/api/auth/login,然后再访问/controller/method才能看到数据,否则会返回403状态,实现了登录功能。在需要限制权限的方法加上一个注解就可以实现权限限制功能,非常的人性化。

以下内容供有经验的人阅读

authorizeRequests方法已废弃,取而代之的是authorizeHttpRequests。
2、@PermitAll注解是不好使的。
3、SecurityContextHolder.getContext().getAuthentication().isAuthenticated()永远都是true,所以即使是当前用户是anonymousUser时,也不能用来判断登录状态,必须要判断是否是AnonymousAuthenticationToken类型。
4、并不是所有的字符串都可以充当权限字符串,建议使用英文字母、冒号。
5、ROLE_开头的权限字符串代表角色,用错会导致无法判断权限。
6、SecurityContext在设置Authentication的时候并不会自动写入Session,读的时候却会根据Session判断,所以需要手动写入一次,否则下一次刷新时SecurityContext是新创建的实例。
7、HttpServletRequest已经从javax包移动到了jakarta包,是因为Spring Framework 6.0从Java EE升级到了Jakarta EE。

所以综上所述,大多数已知的第三方工具类和辅助框架已经失效,要么重新造轮子,要么开源开发者升级一下已有的项目。

来源地址:https://blog.csdn.net/yry0304/article/details/128276473

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯