Spring Secutrity入门教程

一.简介

Spring Security是 Spring提供的安全认证服务的框架（当然还有shiro框架也能实现）。 使用Spring Security可以帮助我们来简化认证 和授权的过程。

官网：https://spring.io/projects/spring-security

二.使用前需要准备的步骤

1.导入jar包，这里介绍的是maven仓库依赖jar

 

 2.配置web.xml文件

  Archetype Created Web Application
  
    
 springSecurityFilterChain
 org.springframework.web.filter.DelegatingFilterProxy
 
 
 springSecurityFilterChain
 /*
 
 
 springmvc
 org.springframework.web.servlet.DispatcherServlet
 
 
 contextConfigLocation
 classpath:spring-security.xml
 
 1
 
 
 springmvc
 *.do
 

3.配置spring-security.xml 

       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
 xmlns:security="http://www.springframework.org/schema/security"
 xsi:schemaLocation="http://www.springframework.org/schema/beans
 http://www.springframework.org/schema/beans/spring-beans.xsd
 http://www.springframework.org/schema/mvc
 http://www.springframework.org/schema/mvc/spring-mvc.xsd
 http://code.alibabatech.com/schema/dubbo
 http://code.alibabatech.com/schema/dubbo/dubbo.xsd
 http://www.springframework.org/schema/context
 http://www.springframework.org/schema/context/spring-context.xsd
 http://www.springframework.org/schema/security
 http://www.springframework.org/schema/security/spring-security.xsd">

 
 
 
 
 
 
 
 
 
 

 
 

 
 

 
 
 

 
 
  login-page="/login.html"
 username-parameter="username"
 password-parameter="password"
 login-processing-url="/login.do"
 default-target-url="/index.html"
 authentication-failure-url="/login.html">

 
 

 
  logout-success-url="/login.html" invalidate-session="true"/>

 

 
 
 
 
 
 
 
 
 

 
 
 
  class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

 
 

 
 
 

 
 
 
 
 
 
 

到了这里，根据以上的注解，基本就能理解spring-secutriy配置文件的基本配置
权限和角色的校验拦截有配置方式也有注解方式（这里介绍一种注解@PreAuthorize("hasAuthority('add')")，其余的可百度）
如果我们要从数据库动态查询用户信息，就必须按照spring security框架的要求提供一个实现 UserDetailsService接口的实现类，并按照框架的要求进行配置即可。
框架会自动调用实现类中的方法 并自动进行密码校验。

public class SpringSecurityUserService implements UserDetailsService {
    //模拟数据库中的用户数据
    public  static Map, User> map = new HashMap<>();
    static {
        com.hy.pojo.User user1 = new com.hy.pojo.User();
 user1.setUsername("admin");
 user1.setPassword("admin");//明文密码（没有加密）

 com.hy.pojo.User user2 = new com.hy.pojo.User();
 user2.setUsername("xiaoming");
 user2.setPassword("1234");

 map.put(user1.getUsername(),user1);
 map.put(user2.getUsername(),user2);
 }

 //根据用户名查询用户信息
 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 System.out.println("用户输入的用户名为：" + username);
 //根据用户名查询数据库获得用户信息(包含数据库中存储的密码信息)
 User user = map.get(username);//模拟查询根据用户名查询数据库
 if(user == null){
 //用户名不存在
 return null;
 }else{
 //将用户信息返回给框架
 //框架会进行密码比对(页面提交的密码和数据库中查询的密码进行比对)
 List list = new ArrayList<>();
 //为当前登录用户授权,后期需要改为从数据库查询当前用户对应的权限
 list.add(new SimpleGrantedAuthority("permission_A"));//授权
 list.add(new SimpleGrantedAuthority("permission_B"));

 if(username.equals("admin")){
 list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));//授予角色
 }
 org.springframework.security.core.userdetails.User securityUser = new org.springframework.security.core.userdetails.User(username,"{noop}"+user.getPassword(),list);
 return securityUser;
 }
 }