Como o Spring Boot usa o Spring Security para autenticação e autorização
Autenticação e autorização são funções muito importantes em aplicativos da web. O Spring Security é uma poderosa estrutura de segurança baseada na estrutura Spring, que fornece uma solução completa de autenticação e autorização e pode ser facilmente integrada aos aplicativos Spring Boot. Este artigo apresentará como usar o Spring Security para autenticação e autorização no Spring Boot e fornecerá código de exemplo.
Adicionar dependência do Spring Security
Primeiro, precisamos adicionar a dependência do Spring Security ao pom.xmlarquivo :
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
Nas dependências acima, adicionamos spring-boot-starter-securitya dependência que inclui todas as dependências necessárias do Spring Security.
Configurando o Spring Security¶
Em seguida, precisamos configurar o Spring Security. Em um aplicativo Spring Boot, o Spring Security pode ser configurado usando configuração Java ou configuração XML. Neste artigo, usaremos a configuração do Java.
Precisamos criar uma classe SecurityConfigchamada e anotá @EnableWebSecurity-la. Essa anotação habilita o Spring Security e configura automaticamente a segurança básica da web.
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}
Em seguida, podemos substituir configureo método para configurar o Spring Security. Por exemplo, podemos configurar autenticação e autorização básicas:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/home").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("user").password("{noop}password").roles("USER")
.and()
.withUser("admin").password("{noop}password").roles("USER", "ADMIN");
}
}
No código acima, usamos authorizeRequestso método para configurar as regras de acesso à URL. Permitimos que todos os usuários acessem o caminho raiz e /homeo caminho , e somente ADMINos usuários com a função podem acessar /admino caminho . Para outras URLs, a autenticação é necessária.
Configuramos a autenticação baseada em formulário usando formLogino método . Especificamos o URL da página de login como /logine permitimos que todos os usuários acessem esse URL. Também configuramos o logout baseado em formulário usando logouto método , permitindo que todos os usuários façam logout.
Por fim, configuramos a autenticação do usuário através configureGlobaldo método . Aqui, usamos autenticação baseada em memória, especificamos dois usuários usere admin, e definimos suas senhas e funções.
Código de amostra
Aqui está um exemplo de código completo demonstrando como usar o Spring Security para autenticação e autorização no Spring Boot:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/home").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("user").password("{noop}password").roles("USER")
.and()
.withUser("admin").password("{noop}password").roles("USER", "ADMIN");
}
}
@Controller
public class HomeController {
@GetMapping("/")
public Stringhome() {
return "home";
}
@GetMapping("/admin")
public String admin() {
return "admin";
}
@GetMapping("/login")
public String login() {
return "login";
}
}
@SpringBootApplication
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
No código de amostra acima, criamos HomeControllerum controlador chamado com três métodos de manipulador: home, admine login. homeOs adminmétodos retornam uma string representando o nome da visualização, enquanto logino método retorna o nome da visualização da página de login.
Também criamos uma classe de aplicativo Spring Boot Applicationchamada e definimos mainum método para iniciar o aplicativo.
No código de exemplo acima, usamos o mecanismo de modelagem Thymeleaf para renderizar a exibição. Também podemos usar outros mecanismos de modelagem, como JSP ou FreeMarker.
executar código de amostra
Para executar o código de exemplo acima, precisamos executar as seguintes etapas:
- Vá para o diretório raiz do aplicativo na linha de comando.
- Execute
mvn spring-boot:runo comando para iniciar o aplicativo. - Acesse em um navegador
http://localhost:8080/home, você pode verhomea vista . - Ao acessar em um navegador
http://localhost:8080/admin, como o usuário atual não possuiADMINfunção , ele será redirecionado para a página de login. - Acesse no navegador
http://localhost:8080/login, digite o nome de usuário e senha, você pode fazer login e acessaradmina vista .
para concluir
Neste artigo, abordamos como usar o Spring Security para autenticação e autorização no Spring Boot. Adicionamos dependências do Spring Security, configuramos autenticação e autorização básicas e fornecemos código de amostra. Com essas etapas, podemos integrar facilmente o Spring Security em nosso aplicativo Spring Boot para garantir a segurança do aplicativo.