Como o Spring Boot usa o Spring Security para autenticação e autorização
Autenticação e autorização são funções muito importantes em aplicativos da web. O Spring Security é uma poderosa estrutura de segurança baseada na estrutura Spring, que fornece uma solução completa de autenticação e autorização e pode ser facilmente integrada aos aplicativos Spring Boot. Este artigo apresentará como usar o Spring Security para autenticação e autorização no Spring Boot e fornecerá código de exemplo.
Adicionar dependência do Spring Security
Primeiro, precisamos adicionar a dependência do Spring Security ao pom.xml
arquivo :
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
Nas dependências acima, adicionamos spring-boot-starter-security
a dependência que inclui todas as dependências necessárias do Spring Security.
Configurando o Spring Security¶
Em seguida, precisamos configurar o Spring Security. Em um aplicativo Spring Boot, o Spring Security pode ser configurado usando configuração Java ou configuração XML. Neste artigo, usaremos a configuração do Java.
Precisamos criar uma classe SecurityConfig
chamada e anotá @EnableWebSecurity
-la. Essa anotação habilita o Spring Security e configura automaticamente a segurança básica da web.
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}
Em seguida, podemos substituir configure
o método para configurar o Spring Security. Por exemplo, podemos configurar autenticação e autorização básicas:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/home").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("user").password("{noop}password").roles("USER")
.and()
.withUser("admin").password("{noop}password").roles("USER", "ADMIN");
}
}
No código acima, usamos authorizeRequests
o método para configurar as regras de acesso à URL. Permitimos que todos os usuários acessem o caminho raiz e /home
o caminho , e somente ADMIN
os usuários com a função podem acessar /admin
o caminho . Para outras URLs, a autenticação é necessária.
Configuramos a autenticação baseada em formulário usando formLogin
o método . Especificamos o URL da página de login como /login
e permitimos que todos os usuários acessem esse URL. Também configuramos o logout baseado em formulário usando logout
o método , permitindo que todos os usuários façam logout.
Por fim, configuramos a autenticação do usuário através configureGlobal
do método . Aqui, usamos autenticação baseada em memória, especificamos dois usuários user
e admin
, e definimos suas senhas e funções.
Código de amostra
Aqui está um exemplo de código completo demonstrando como usar o Spring Security para autenticação e autorização no Spring Boot:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/home").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.inMemoryAuthentication()
.withUser("user").password("{noop}password").roles("USER")
.and()
.withUser("admin").password("{noop}password").roles("USER", "ADMIN");
}
}
@Controller
public class HomeController {
@GetMapping("/")
public Stringhome() {
return "home";
}
@GetMapping("/admin")
public String admin() {
return "admin";
}
@GetMapping("/login")
public String login() {
return "login";
}
}
@SpringBootApplication
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
No código de amostra acima, criamos HomeController
um controlador chamado com três métodos de manipulador: home
, admin
e login
. home
Os admin
métodos retornam uma string representando o nome da visualização, enquanto login
o método retorna o nome da visualização da página de login.
Também criamos uma classe de aplicativo Spring Boot Application
chamada e definimos main
um método para iniciar o aplicativo.
No código de exemplo acima, usamos o mecanismo de modelagem Thymeleaf para renderizar a exibição. Também podemos usar outros mecanismos de modelagem, como JSP ou FreeMarker.
executar código de amostra
Para executar o código de exemplo acima, precisamos executar as seguintes etapas:
- Vá para o diretório raiz do aplicativo na linha de comando.
- Execute
mvn spring-boot:run
o comando para iniciar o aplicativo. - Acesse em um navegador
http://localhost:8080/home
, você pode verhome
a vista . - Ao acessar em um navegador
http://localhost:8080/admin
, como o usuário atual não possuiADMIN
função , ele será redirecionado para a página de login. - Acesse no navegador
http://localhost:8080/login
, digite o nome de usuário e senha, você pode fazer login e acessaradmin
a vista .
para concluir
Neste artigo, abordamos como usar o Spring Security para autenticação e autorização no Spring Boot. Adicionamos dependências do Spring Security, configuramos autenticação e autorização básicas e fornecemos código de amostra. Com essas etapas, podemos integrar facilmente o Spring Security em nosso aplicativo Spring Boot para garantir a segurança do aplicativo.