springboot整合springsecurity以及mybatis-plus详解

其他 2021-04-04 18:32:46 阅读次数: 0
1,概述

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。
它是用于保护基于Spring的应用程序的实际标准。
Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。
与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求
springboot对于springSecurity提供了自动化配置方案,可以使用更少的配置来使用springsecurity
而在项目开发中,主要用于对用户的认证和授权
官网:https://spring.io/projects/spring-security

2,SpringSecurity 和 shiro 比较
shiro

Apache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理身份验证、授权、管理会话以及密码加密。
利用其易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
Shiro 主要分为两个部分就是认证和授权,就是查询数据库做相应的判断,Shiro是一个框架,其中的内容需要自己的去构建,前后是自己的,中间是Shiro帮我们去搭建和配置好的。

springsecurity

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI( 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
众所周知,想要对对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。所以Spring Security在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。

3,使用支持sql的数据库为mybatis-plus
4,整体结构

在这里插入图片描述

5,使用的依赖
<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!--mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>
        <dependency>
            <groupId>com.h2database</groupId>
            <artifactId>h2</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-configuration-processor</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
6,application.properties配置文件
#端口号配置
server.port=8081
#登录时可以使用的账号密码
#spring.security.user.name=zhenghuisheng
#spring.security.user.password=123456
#数据库连接基本参数
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/security?serverTimezone=GMT%2B8&useSSL=false&useUnicode=true&characterEncoding=utf8
spring.datasource.username=root
spring.datasource.password=zhs03171812
#日志输出,使用默认的控制台输出
mybatis-plus.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl
7,对应的数据库

在这里插入图片描述

8,实体类,在实体类@TableId(type = IdType.AUTO)设为自增的同时,在数据库中也要设置为自增,不然运行直接报错
package com.zhenghuisheng.demo.pojo;

import com.baomidou.mybatisplus.annotation.IdType;
import com.baomidou.mybatisplus.annotation.TableId;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

import java.io.Serializable;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class Users implements Serializable {
    
    
    //设置为自增
    @TableId(type = IdType.AUTO)
    private Integer id;
    private String username;
    private String password;
}
9,在mapper包下新建UserMapper类,并且继承BaseMapper
package com.zhenghuisheng.demo.mapper;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.zhenghuisheng.demo.pojo.Users;
import org.springframework.stereotype.Repository;

@Repository
public interface UserMapper extends BaseMapper<Users> {
    
    
}
10,在主程序中加入mapper的扫描文件
//增加扫描的配置文件
@MapperScan("com.zhenghuisheng.demo.mapper")
该注解开启之后可以通过注解实现用户的权限登录
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnable = true,prePostEnable = true)
11,测试数据库是否可以连通
package com.zhenghuisheng.demo;

import com.zhenghuisheng.demo.mapper.UserMapper;
import com.zhenghuisheng.demo.pojo.Users;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.context.SpringBootTest;

@SpringBootTest
class DemoApplicationTests {
    
    
    @Autowired
    private UserMapper usermapper;
    @Test
    void contextLoads() {
    
    

    }
    @Test
    public void userInsert(){
    
    
        Users users = new Users();
        users.setUsername("admin");
        users.setPassword("123456");
        usermapper.insert(users);
        System.out.println(users + "输出成功");
    }

}
12,controller层新建HelloSecurity类
package com.zhenghuisheng.demo.controller;

import org.springframework.security.access.annotation.Secured;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class HelloSecurity {
    
    
    @GetMapping("/login")
    public String Hello(){
    
    
        return "hello world";
    }
    @RequestMapping("/index")
    public String toLogin(){
    
    
        return "登录成功";
    }

    //使用注解测试用户权限
    @GetMapping("/secured")
    @Secured({
    
    "ROLE_admins","ROLE_manager"})
    public String secured(){
    
    
        return "secured login successful";
    }
}
13,config下新建一个SecurityTest继承WebSecurityConfigurerAdapter
package com.zhenghuisheng.demo.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import javax.sql.DataSource;

@Configuration
public class SecurityTest extends WebSecurityConfigurerAdapter {
    
    
    @Autowired
    //UserDetailsService:用于查询数据库名和数据库密码的过程
    private UserDetailsService userDetailService;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    
    
        auth.userDetailsService(userDetailService).passwordEncoder(passwordEncoder());
    }
    @Bean
    PasswordEncoder passwordEncoder(){
    
    
        //返回一个具体的实现类
        return new BCryptPasswordEncoder();
    }
}
14,运行,输入localhost:8081,输入数据库中的用户名和密码就能登录成功了,即认证完成。再可以测试controller中的接口了

在这里插入图片描述

15,接下来重点来了,一般开发中不会有人真的使用这个默认的登录界面吧,static包下将即将使用的页面写好

login.html:登录界面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录界面</title>
</head>
<body>
    <form action="/user/login" method="post">
        姓名:<input type="text" name="username"><br>
        密码:<input type="password" name="password"><br>
        <input type="checkbox" name="remember-me" title="记住密码">自动登录
        <input type="submit" value="登录">
    </form>
</body>
</html>

success.html:登录成功后跳转的页面,并在界面中有一个退出文件,可以在一下的config中设置退出的路径以及退出后跳转的路径,原理和session的删除一致,只不过内部帮我们优化了

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <h2>登录成功</h2>
    <a href="/logout">退出</a>
</body>
</html>

unauth.html:403没有权限问时的页面,当用户登录成功却没有权限时,即会跳转到该路径

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <h1>没有权限访问</h1>
</body>
</html>
16,点开WebSecurityConfigurerAdapter类,分析源码可知,在该方法中可以设置自定义登录

在这里插入图片描述

16,在SecurityTest类中重写configure方法即可,并且注意参数为HttpSecurity http。在以下都写了非常详细的注解
//自定义用户的操作,如登录页面等
    @Override
    protected void configure(HttpSecurity http) throws Exception {
    
    
        http.formLogin()
                .loginPage("/login.html")                   //设置登录页面
                .loginProcessingUrl("/user/login")          //登录访问路径
                .defaultSuccessUrl("/success.html").permitAll()   //登录成功后的跳转路径
                .and().authorizeRequests()
                .antMatchers("/","/test/login","/user/login").permitAll()   //设置哪些路径可以访问,不需要认证
                .antMatchers("/test/login").hasAuthority("admins")          //授权,只有当用户为admins的时候,才能访问该路径
                .anyRequest().authenticated()    //所有请求都能访问
//                .and().rememberMe().tokenRepository(persistentTokenRepository())    //记住我,并设置操作数据库的对象
//                .tokenValiditySeconds(60)       //有效时长
//                .userDetailsService(userDetailService)
                .and().csrf().disable();         //关闭crsf防护

        //配置没有权限访问跳转的自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");
        //配置退出
        http.logout().logoutUrl("/logout")     //退出
                .logoutSuccessUrl("/test/login")    //  退出成功所返回的路径
                .permitAll();
    }
17,再分析一波,
.antMatchers("/test/login").hasAuthority("admins")          //授权,

只有当用户为admins的时候,才能访问该路径,这就相当于增加了一道令牌token。而在数据库中,每个用户都有每个用户的职位,如经理,管理员,员工等

List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admins");

在这个"ROLE_admins"参数即为员工的职责,如果员工的职责与增加令牌token中能通过的角色一直时,则该员工可以访问该路径,否则不行,即实现了授权机制
在这里插入图片描述
而如果在使用hasRole方法和hasAnyRole方法时,看上面的图片就知道了,这个源码是有多无聊,自动在角色前面增加了一个 “ROLE_”。当然如果使用hasAnyAuthority方法和hasAuthority方法就不需要了。
这里是因为使用的注解开发了,在controller中使用了@Secured,当然也能使用@PreAuthorize和@PostAuthorize了!

18,测试

运行后直接输入:http://localhost:8081/login.html
在这里插入图片描述
账号密码为数据库中的值,登录成功后
在这里插入图片描述
在进行注解测试,看能否测试成功,这里发现也能成功!
在这里插入图片描述

最后退出测试,即删除session,

http.logout().logoutUrl("/logout")     //退出
                .logoutSuccessUrl("/test/login")    //  退出成功所返回的路径
                .permitAll();

点击退出之后
在这里插入图片描述

再去访问 /test/index 发现已经不能访问了,没有权限访问,即session已经删除,则验证成功!

猜你喜欢

转载自blog.csdn.net/zhenghuishengq/article/details/112298204
今日推荐
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
周排行
浏览器对同一域名进行请求的最大并发连接数
React Hook之自定义Hook
【转】MyBatis缓存机制
-Java-泛型
自动化测试常用脚本-发送邮件
LeetCode#859: Buddy Strings
java、Python处理字符串
第二篇の博客
Hadoop伪分布式环境安装
SQL Server进阶(十一)临时表、表变量
每日归档
更多
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022