通过继承WebSecurityConfigurerAdapter类实现具体基于表单的安全配置
下面介绍Demo具体使用到的方法
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic();
}
1.确保对我们应用程序的任何请求都要求用户进行身份验证。
2.允许用户通过基于表单的登录进行身份验证。
3.允许用户通过HTTP基本身份验证进行身份验证。
又如:
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll();
授予所有用户(即未经身份验证的用户)访问我们的登录页面。formLogin(). permitall()方法允许为所有与表单相关的url提供访问权限。
对其它URL进行配置:
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests() []
.antMatchers("/resources/**", "/signup", "/about").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")
.anyRequest().authenticated()
.and()
// ...
.formLogin();
}
对于http.authorizeRequests()方法有多个子类,每个matcher都按照声明的顺序被考虑我们指定了任何用户可以访问的多个URL模式。
具体来说,如果URL以“/resources/”开头,那么任何用户都可以访问请求,等于“/signup”,或等于“/about”。
任何以“/admin/”开头的URL将被限制为具有“ROLE_ADMIN”角色的用户。您将注意到,由于我们正在调用hasRole方法,所以不需要指定“ROLE_”前缀。
任何以“/db/”开头的URL都要求用户同时拥有“ROLE_ADMIN”和“ROLE_DBA”。您将注意到,由于我们使用的是hasRole表达式,所以不需要指定“ROLE_”前缀。任何未被匹配的URL只需要验证用户。
注销用户的实现:
protected void configure(HttpSecurity http) throws Exception {
http
.logout()
.logoutUrl("/my/logout")
.logoutSuccessUrl("/my/index")
.logoutSuccessHandler(logoutSuccessHandler)
.invalidateHttpSession(true)
.addLogoutHandler(logoutHandler)
.deleteCookies(cookieNamesToClear)
.and()
}
提供注销的支持。这是在使用WebSecurityConfigurerAdapter时自动应用的。
触发注销的URL(默认是/注销)。如果启用了CSRF保护(默认),那么请求也必须是一个POST。有关更多信息,请参考JavaDoc。
已发生注销后重定向的URL。默认是/my/logout。有关更多信息,请参考JavaDoc。
让我们来指定一个自定义的登录成功程序。如果指定了,则忽略logoutSuccessUrl()。有关更多信息,请参考JavaDoc。
指定在注销时是否使HttpSession失效。这在默认情况下是正确的。在覆盖下配置SecurityContextLogoutHandler。有关更多信息,请参考JavaDoc。
添加一个LogoutHandler。在默认情况下,SecurityContextLogoutHandler被添加为最后一个LogoutHandler。
允许指定在注销成功时删除cookie的名称。这是一个显式添加CookieClearingLogoutHandler的快捷方式。
具体实现auth.userDetailsService方法
源自文档:
public DaoAuthenticationConfigurer userDetailsService(T userDetailsService) throws Exception {
this.defaultUserDetailsService = userDetailsService;
return (DaoAuthenticationConfigurer)this.apply(new DaoAuthenticationConfigurer(userDetailsService));
}
基于传入的自定义UserDetailsService添加身份验证。然后它返回一个DaoAuthenticationConfigurer,以允许对身份验证进行定制。
该方法还确保UserDetailsService可以用于getDefaultUserDetailsService()方法。注意,附加的UserDetailsService可能会将这个UserDetailsService重写为默认值。
下一节结合Mysql实现具体用户认证和授权