Spring Security初识

Spring Security与Spring Boot集成
添加依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
    <version>3.0.2.RELEASE</version>
</dependency>

<!-- h2 database测试时使用的数据库 -->
<!-- https://mvnrepository.com/artifact/com.h2database/h2 -->
<dependency>
    <groupId>com.h2database</groupId>
    <artifactId>h2</artifactId>
    <scope>test</scope>
</dependency>

3.1 权限管理

基于角色的权限管理

什么是角色？

• 代表一系列行为或责任的实体
• 限定了角色能做什么，不能做什么
• 用户账号往往与角色相关联

RBAC

• 基于角色的访问控制（Role-Based Access Control）
• 隐式访问控制

if(user.hasRole("Project Manager")){
    // 显示报表按钮
} else {
    // 不显示报表按钮
}

• 显示访问控制（更加灵活）

if(user.isPermitted("projectReport:view:12345")){
    // 显示报表按钮
} else {
    // 不显示报表按钮
}

权限解决方案框架：

• Apache Shiro

• Spring Security

3.2 Spring Security实战

1）后台编码

• 安全配置类

package com.fei.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * 安全配置类 Created by zxf on 2019年10月10日
 */
@EnableWebSecurity // 启用注解安全
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 自定义拦截策略
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests().antMatchers("/css/**", "/js/**", "/fonts/**", "/index").permitAll()// 都可以访问
                .antMatchers("/users/**").hasRole("ADMIN")// 需要相应的角色才能访问
                .and().formLogin()// 基于form表单登录验证
                .loginPage("/login").failureUrl("/login-error");// 自定义登录界面
        super.configure(http);
    }

    /**
     * 认证信息管理
     * 
     * @param auth
     * @throws Exception
     */
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication()// 认证信息存储在内存中
                .withUser("fei").password("123").roles("ADMIN");
    }

}

• 控制器

package com.fei.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;

/**
 * 处理首页、登录
 * Created by zxf on 2019年10月10日
 */
@Controller
public class MainController {
    @GetMapping("/")
    public String root() {
        return "redirect:/index";
    }

    @GetMapping("/index")
    public String index() {
        return "index";
    }

    @GetMapping("/login")
    public String login() {
        return "login";
    }

    @GetMapping("/login-error")
    public String loginError(Model model) {
        model.addAttribute("loginError", true);
        model.addAttribute("errorMsg", "登录失败，用户名或密码错误！");
        
        return "login";
    }
}