spring boot 2.0 半月的实战_阶段性总结1

springboot2.0 是包含并基于spring 5 的，而且M7相对于M2也有很不小的改变

freemarker的使用过程中，也有不小的挑战，因为资料也不算特别多，而且对freemarker的特性也不是很熟

对于前端的框架，因为好久没用，也是不太熟悉。所以，这三个星期的实战，不太顺利，多次踩坑还没有太多的资料可查。

首先，kotlin下，springBoot的启动方式有以下两种，

1             SpringApplication.run(DemoApplication::class.java,*args)

2             runApplication (*args)

方式1，在java下也能使用，在java下的写法         SpringApplication.run(DemoAllication.class, args)

方法2，只能在kotlin下使用

然后，指定的类文件最好是有@SpringBootApplication 这个注解的类文件，虽然指定其他的controller文件之类的，也能启动SpringBoot，但是那样需要额外的配置

（需要增加自动扫描的注解

//@EnableAutoConfiguration

//@ComponentScan(basePackages = ["com.xyz"])

//@EntityScan("com.xyz.entity")

//@EnableJpaRepositories("com.xyz.repository")

，而且那个启动方式本身就是错误的）

@Resource 比 @Autowired 更有效，虽然这两个注解的用法基本相等，具体原因需要补下spring的原来。。。

在kotlin里，自动装载的Bean必须要先实例化或者lateinit（缓初始化）

在spring4.3 之后，加入了 @GetMapping @PostMapping等注解来简化 @RequestMapping

用@Configuration注解该类，等价 与XML中配置beans；用@Bean标注方法等价于XML中配置bean。

需要注册简单请求转发跳转View的RequestMapping 可以扩展 WebMvnConfigurer接口 进行重写（override）

在springBoot 2 中需要注意，因为使用的是spring5了， 原先的方法的是 继承 webMvcConfigurerAdapter抽象类，现在是直接扩展webMvcConfigurer这个接口。原先的方式还能生效，不过已经被5弃用了（@ deprecated ）

之前需要继承抽象类完成的工作，现在可以全部通过扩展接口来完成。

通过创建类继承 WebSecurityConfigurerAdapter 这个抽象类，可以对Spring Security 框架下的登录，忽略保护等操作进行修改。

登录页面的修改，需要重写（override）configure（http ：HttpSecurity）具体的教材，可以查询网络，这类教程比较多。

举个例子：

override fun configure (http: HttpSecurity) {

http

.authorizeRequests()

.antMatchers( "/" ).permitAll()

.anyRequest().authenticated()

.and()

.formLogin()

.loginPage( "/login" )

.permitAll()

.and()

.logout()

.logoutUrl( "/logout" )

.logoutSuccessUrl( "/login?logout" )

.permitAll()

.and()

.httpBasic()

}

上面的代码片段里，｛  .authorizeRequests() .antMatchers( "/" ).permitAll() .anyRequest().authenticated()｝放行了“/”，但是要求了其他任意请求（anyRequest）都是需要登录（ authenticated）才能查看的。

｛ .formLogin() .loginPage( "/login" ) .permitAll() ｝“formLogin”说明设置的是登录页面，指定登录页面的mapping是“/login”，并且登录页面的mapping准许任何人访问。

｛ .logout() .logoutUrl( "/logout" ) .logoutSuccessUrl( "/login?logout" ) .permitAll() ｝，logout功能的mapping“/logout”，注销后跳转页面“/login？logout”，并且登出页面准许任何情况下访问（其实应该是不需要permitAll的，按道理来说，登录了才能注销嘛）

重写configure（web ： WebSecurity）可以配置webSecurity，比如忽略某些静态文件的访问控制，或者其他，具体参见网上的各路教程，以下只给个简单的例子

override fun configure (web: WebSecurity) {

web.ignoring()

.antMatchers( "/static/**" )

.antMatchers( "/register/**" )

.antMatchers( "/error" )

}

这个例子是忽略了三个地址，这三个地址不在权限控制之列。

当然，还有最关键的一个地方没讲，继承WebSecurityConfigurerAdapter最先要做的应该是通过重写（override）configure（auth ： AuthenticationManagerBuilder）方法，从而实现，替换spring Security框架自带的userDetailsService，从而使用自己的用户服务，使用自己的用户认证。（非常重要）

@Bean fun userService () : UserDetailsService = UserService()

override fun configure (auth : AuthenticationManagerBuilder) {

auth.userDetailsService(userService())

}

自己写的userDetailsService类也是需要扩展UserDetailsService接口的

控制器类文件在类之前要加@Controller，REST风格的控制器文件，要在前面加@RestController，REST风格的地址方法返回的对象，都会被转换成JSON对象（除了返回对象为 字符串，数字等基础类型这个情况）

对于普通控制器，方法返回的可以是String字符串，也可以是ModelAndView。当然，如果是ajax通信，也可以返回一个实体对象。

spring boot 2 使用的是spring5 ，spring 5 的security，所有的post提交，必须要传token“_csrf.token”,token的name为“_csrf”,不传token的POST提交都会被405，拒绝掉。

spring security 5 中，使用默认的密码解析必须传解码方法，密码的格式为｛decoder｝password

例如，解析不加密的password的密码应该包装成

｛noop｝password

，除非你集成并扩展框架的原来的方法，否则都要遵守这个规则，spring security5系统，提供了包括解码在内的5种加密方法，具体请看官方文档。

在spring boot 2 中，已经不能通过写配置文件来忽略某些地址的安全控制，security.*相关的配置已经全部被弃用

在2中，默认集成的hibernate已经是hibernate5了，请注意5的特性。JPA的配置也是曾经的版本有变化。

以下是MYSQL数据库，jpa的配置，请注意，网上的教程案例中的spring.jpa.hibernate.naming.strategy也已经被弃用了。请换成 implicit-strategy 和 physical-strategy

spring.jpa.database = MYSQL

spring.jpa.show-sql = true

spring.jpa.hibernate.ddl-auto = update

spring.jpa.properties.hibernate.dialect = org.hibernate.dialect.MySQL5Dialect

spring.jpa.hibernate.use-new-id-generator-mappings = true

spring.jpa.hibernate.naming.implicit-strategy = org . hibernate . boot . model . naming . ImplicitNamingStrategyLegacyJpaImpl

spring.jpa.hibernate.naming.physical-strategy = org . hibernate . boot . model . naming . PhysicalNamingStrategyStandardImpl

actuator模块M7版本比M2版本也有很大的变化，其中默认的mapping 由“/application”改成了“/actuator”

web端口下，默认打开的endpoint也很少只有health和status。beans等其他的监控地址，需要另外通过配置来打开。

例子如下：

management.endpoints.web.base-path = /application

management.endpoints.web.expose=*

更具体的情况可以参考官方资料。

以下代码是更改服务端口和“/static”的mapping地址的两条配置

server.port = 8000

spring.mvc.static-path-pattern = /static/**

freemarker模版可以使用tld，但是首先需要注册tld文件的地址

需要扩展WebMvcConfigurer接口，代码片段如下

@Autowired

private var configurer : FreeMarkerConfigurer = FreeMarkerConfigurer()

@PostConstruct

fun freeMarkerConfigurer (){

var tlds : MutableList = mutableListOf ()

tlds.add( "/META-INF/security.tld" )

val taglibFactory : TaglibFactory = configurer . taglibFactory

taglibFactory. classpathTlds = tlds

if (taglibFactory. objectWrapper == null ){

taglibFactory. objectWrapper = configurer . configuration . objectWrapper

}

}

这个是写在 class WebMvcConfig : WebMvcConfigurer 中的

然后需要在使用 security.tld文件的ftl文件中加入

<#assign security=JspTaglibs[ " http://www.springframework.org/security/tags" ; ] />

spring security 5 的tlds的lib也有比较大的更改，之前普遍写法

<@ security.authorize ifAnyGranted=" ROLE_ADMIN,ROLE_ADD_FILM " >

管理员的功能

security.authorize >

已经无效了，只能用下面的方式

<@ security.authorize access= "hasRole('ROLE_ADMIN')" >

管理员的功能

security.authorize >

其他变化，也请看官方文档，没有细看

建议引入的另外一个ftl文件是

<#import "/spring.ftl" as spring />

这个可以解析当前地址之类的，这个是spring提供的ftl文件，便于MVC集成ftl模版文件

freemarker模版中，通过session获取登录后，用户名的方法。

${ Session.SPRING_SECURITY_CONTEXT.authentication.principal.username }

想在session中获取更多的信息，需要重写或者扩展相关的userdetailsService和集成了UserDetails类的那个文件

注意，在使用freemarker的？？符号的时候例如 <#if Session.SPRING_SECURITY_CONTEXT ?? >如果Session本身就是null，那么这个FTL命令还是会报错，有？？判断某个变量的时候，如果这个变量有n个父级，父级有null的情况会报错。

demo 的 github 地址  点击打开链接