首页 > 其他分享 >Spring Boot 中使用 Spring Security 实现安全访问权限管理:详尽指南

Spring Boot 中使用 Spring Security 实现安全访问权限管理:详尽指南

时间:2024-07-02 14:58:39浏览次数:22  
标签:登录 Spring permitAll Boot 认证 Security

引言:

在现代Web应用开发中,安全是一个至关重要的环节。Spring Security 是一个功能强大且高度可定制的安全框架,能够为Spring Boot应用提供全面的安全解决方案,包括认证(Authentication)和授权(Authorization)。本文将手把手教你如何在Spring Boot应用中集成Spring Security,实现用户登录验证、角色权限控制等安全访问权限操作。

一、引入Spring Security依赖

首先,确保你的Spring Boot项目中包含了Spring Security依赖。在pom.xml文件中加入以下依赖:


Xml

1<dependency>
2    <groupId>org.springframework.boot</groupId>
3    <artifactId>spring-boot-starter-security</artifactId>
4</dependency>

二、基本配置

2.1 自动配置

Spring Boot自动配置Spring Security,一旦添加了上述依赖,应用就具备了基本的安全功能,比如对所有端点的默认登录页面和身份验证要求。

2.2 自定义配置

为了更细致地控制安全策略,我们可以创建一个配置类,扩展WebSecurityConfigurerAdapter


Java

1@Configuration
2@EnableWebSecurity
3public class SecurityConfig extends WebSecurityConfigurerAdapter {
4
5    @Autowired
6    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
7        auth
8            .inMemoryAuthentication()
9            .withUser("user").password(passwordEncoder().encode("password")).roles("USER")
10            .and()
11            .withUser("admin").password(passwordEncoder().encode("adminpass")).roles("USER", "ADMIN");
12    }
13
14    @Bean
15    public PasswordEncoder passwordEncoder() {
16        return new BCryptPasswordEncoder();
17    }
18
19    @Override
20    protected void configure(HttpSecurity http) throws Exception {
21        http.authorizeRequests()
22            .antMatchers("/").permitAll()
23            .antMatchers("/admin/**").hasRole("ADMIN")
24            .anyRequest().authenticated()
25            .and()
26            .formLogin().permitAll()
27            .and()
28            .logout().permitAll();
29    }
30}

三、认证(Authentication)

认证是指确认用户身份的过程。上述配置中,我们通过inMemoryAuthentication配置了两个用户,分别拥有"USER"和"ADMIN"角色,并使用BCryptPasswordEncoder加密了密码。

四、授权(Authorization)

授权是决定已认证用户可以访问哪些资源的过程。在configure(HttpSecurity http)方法中,我们使用了.antMatchers()来定义访问规则:

  • / 对所有人开放。
  • /admin/** 只允许具有"ADMIN"角色的用户访问。
  • 其他所有请求需要认证。

五、登录与登出

  • formLogin().permitAll() 开启基于表单的登录功能,并允许所有人访问登录页面。
  • logout().permitAll() 允许所有人访问登出功能。

六、自定义登录页面

如果你希望使用自定义的登录页面,可以通过以下配置:


Java

1http.formLogin()
2    .loginPage("/custom-login") // 自定义登录页面URL
3    .loginProcessingUrl("/login") // 处理登录请求的URL
4    .defaultSuccessUrl("/") // 登录成功后的跳转URL
5    .permitAll();

并创建对应的custom-login.html页面。

七、总结

通过以上步骤,我们已经成功在Spring Boot应用中集成了Spring Security,实现了基本的用户认证和权限控制。Spring Security的强大之处在于其高度的可定制性,你可以根据需要扩展用户认证逻辑、集成OAuth2、JWT令牌等,以满足不同应用场景的安全需求。希望这篇指南能够为你提供一个良好的起点,开启你的安全开发之旅。

感谢你的点赞!关注!收藏

标签:登录,Spring,permitAll,Boot,认证,Security
From: https://blog.csdn.net/m0_67472195/article/details/140127197

相关文章

  • SpringBoot+mail 轻松实现各类邮件自动推送
    一、简介在实际的项目开发过程中,经常需要用到邮件通知功能。例如,通过邮箱注册,邮箱找回密码,邮箱推送报表等等,实际的应用场景非常的多。早期的时候,为了能实现邮件的自动发送功能,通常会使用JavaMail相关的api来完成。后来Spring推出的JavaMailSender工具,进一步简化了邮件的......
  • 基于SpringBoot+Vue邮件过滤系统设计和实现(源码+LW+调试文档+讲解等)
    ......
  • 开发一套java语言的智能导诊需要什么技术?java+ springboot+ mysql+ IDEA互联网智能3D
    开发一套java语言的智能导诊需要什么技术?java+springboot+mysql+IDEA互联网智能3D导诊系统源码医院导诊系统是一种基于互联网和3D人体的智能化服务系统,旨在为患者提供精准、便捷的医院就诊咨询服务。该系统整合了医院的各种医疗服务资;智慧导诊解决患者盲目就诊问题,减轻分......
  • .js.map文件泄露/Springboot信息泄露
    目录框架识别Webpack简述.js.map文件泄露利用Springboot 很多网站都使用的是现有的框架进行开发的,因此相当于很多目录和文件的路径都是开源可知的,因此我们就可以直接访问对应的路径,如果网站没有进行限制就有可能会导致敏感信息泄露框架识别可以根据页面的报错信息......
  • springboot集成activiti步骤
    在SpringBoot中集成工作流引擎,以Activiti为例,通常需要以下几个步骤:添加依赖:在pom.xml文件中添加Activiti的依赖。<dependency><groupId>org.activiti</groupId><artifactId>activiti-spring-boot-starter</artifactId><version>7.x.x</version><......
  • springboot实现异步调用demo
    springboot实现异步调用异步调用特点异步调用在开发程序中被广泛应用,在异步任务中,主线程不需要阻塞等待异步任务的完成,而是可以继续处理其他请求。异步调用的特点如下:非阻塞:主线程在调用异步方法后不会等待其完成,而是立即返回。后台处理:耗时操作在后台独立的线程中执行,不会......
  • GeoServer改造Springboot源码十(样式管理设计)
    GeoServer改造Springboot源码一(公共部分)GeoServer改造Springboot源码二(数据源管理设计)GeoServer改造Springboot源码三(数据源管理代码)GeoServer改造Springboot源码四(图层管理设计)GeoServer改造Springboot源码五(图层管理代码)GeoServer改造Springboot源码六(工作区管理设计)Ge......
  • 基于SpringBoot+大数据+协同过滤推荐算法的电商商品推荐系统设计和实现(源码+LW+部署
    博主介绍:✌全网粉丝50W+,csdn特邀作者、博客专家、CSDN新星计划导师、Java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和学生毕业项目实战,高校老师/讲师/同行前辈交流✌技术范围:SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、P......
  • 基于SpringBoot+数据可视化+协同过滤算法的个性化视频推荐系统设计和实现(源码+LW+部
    博主介绍:✌全网粉丝50W+,csdn特邀作者、博客专家、CSDN新星计划导师、Java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和学生毕业项目实战,高校老师/讲师/同行前辈交流✌技术范围:SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、P......
  • springboot项目登陆校验————基于Jwt令牌和Fliter / Interceptor
    springboot项目登陆校验————基于Jwt令牌和Fliter/Interceptor文章目录springboot项目登陆校验————基于Jwt令牌和Fliter/Interceptor1.概述2.Jwt令牌2.1Jwt令牌的组成2.2Jwt登录认证流程2.3代码实现3.方法1:Fliter过滤器3.1简介3.1代码实现4.方法2:Interce......