Spring Security 初步研究
spring security 之所以能够实现访问控制和权限验证的背后是一批过滤器在起作用。这个和shiro很类似。在我看来对普通开发者而言Spring Security (为了简单后面统称为SS)最为重要的就是WebSecurityConfigurerAdapter 这个类。基本上我们所有的业务都是在复写这个类中的相关方法。
1.可以在内存中直接指定一个或者多个用户,代码如下:
2.直接指定数据源使用JDBC的方式指定用户,代码如下
这里说一下这种方式,要求你的数据库必须有一张符合要求的表,你这张表的名字必须叫做users 用户名必须叫做username...具体可以参考一下源码,也就是说这种方式对你数据库的用户表,是有要求的。当然我们也可以不适用上面的这种默认方式。只需要把代码改写为下面这样:
3.如果使用的是非关系型数据库或者JPA那么下面的这种方式更为合适。其中CustomUserService是我们自己写的一个类这个类需要实现UserDetailsService接口,并实现根据用户名查询用户的方法(详细代码会放在在文末的Github链接上,可以自行下载)
好了上面就是我关于第一个configure方法主要作用的解释,接下来解释第三个方法我们具体该在这个方法里面写些什么内容。(注:第二个configure方法主要做的是web安全的一些配置,比较简单这里省略)
第三个方法的我们应该配置url和权限的一个对应关系,当然还可以配置一些更为高级的功能。下面请直接看例子:
上面的代码基本上看英文单词就能猜出来,到底是什么意思了,大致说一下就是css目录下的资源允许所有人访问其他的都需要验证,登录页面和登录失败页面以及注销页面允许所有人访问。在这个方法里最主要的就是实现我们对web资源的访问控制。这个方法里面的更多配置细节请参考官方文档,或者参考 https://blog.csdn.net/u012702547/article/details/54319508 ,下面放了一个截图,以作参考。
SpringBoot 下的SpringSecurity
springBoot下同样继承了对SpringSecurity自动配置的支持,只要我们正确的导入了依赖:
自动配置的机制,可以参考本系列第一篇博客,通过依次观察SecurityAutoConfiguration 的源码可以发现:
其主要引入了是三个类,这些类当中关注的重点是SpringBootWebSecurityConfiguration这个类。
这个类会判断当前有没有WebSecurityConfigurerAdapter 这个类的对象,没有的话则启动默认配置,前面我们也说了如果要完成认证和授权我们自己必须写一个类去继承WebSecurityConfigurerAdapter 。所以当我们继承了这个类,定义了自己的业务之后,SpringBoot就不会按照默认配置去开启SpringSecurity的验证策略了。
最后我做了关于SpringSecurity使用SpringBoot +JPA+Thymeleaf+mysql 做了一个小demo ,这个demo可以帮助快速入门SpringSecurity ;
Github地址:https://github.com/rocketCoding/Spring-Security-demo