SpringSecurity_day03.pdf

### Spring Security与Spring Boot集成详解 #### 一、Spring Security简介 Spring Security 是一个功能强大的安全框架，它为基于 Java 的应用程序提供了身份验证（authentication）、授权（authorization）、CSRF 保护、登录和注销功能等功能。它能帮助开发者快速地为应用增加安全特性。 #### 二、Spring Security与Spring Boot集成环境搭建 本篇文档主要介绍了如何将Spring Security与Spring Boot进行集成，并实现基本的认证功能。具体的技术选型如下： - **Spring Boot 版本**: 2.1.3 - **Spring Security** - **数据库**: MySQL - **持久层框架**: MyBatis - **前端展示**: JSP #### 三、Spring Boot工程创建与基础配置 ##### 1. 创建Spring Boot工程并导入依赖 我们需要创建一个新的Spring Boot项目，并在`pom.xml`文件中添加必要的依赖。下面是一个简单的示例，用于创建一个具有Web支持的基础Spring Boot项目： ```xml <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.3.RELEASE</version> <relativePath/> </parent> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- Spring Security依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> </dependencies> ``` ##### 2. 编写启动类 创建一个Spring Boot启动类，如下所示： ```java import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class SecurityApplication { public static void main(String[] args) { SpringApplication.run(SecurityApplication.class, args); } } ``` #### 四、Spring Security基本认证实现 ##### 1. 默认配置下的认证测试 Spring Boot默认情况下会自动配置Spring Security，这使得所有的HTTP请求都需要经过认证。默认的用户名为“user”，密码则是在每次项目启动时随机生成的。 ##### 2. 测试认证流程 启动Spring Boot应用后，尝试访问任何受保护的URL，例如`/product`，将会被重定向到Spring Security提供的默认登录页面。成功登录后，可以正常访问受保护的资源。 ```java import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/product") public class ProductController { @GetMapping public String hello() { return "success"; } } ``` #### 五、自定义认证页面 虽然Spring Boot默认提供的登录页面足够简单，但通常我们会希望自定义登录页面来满足业务需求。这里我们将介绍如何在Spring Boot中使用JSP作为登录页面。 ##### 1. 导入Tomcat插件 由于Spring Boot默认使用嵌入式的Tomcat服务器，而JSP页面需要完整的Tomcat服务器支持，因此我们需要在项目中导入相应的Tomcat插件。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-tomcat</artifactId> </dependency> <dependency> <groupId>org.apache.tomcat.embed</groupId> <artifactId>tomcat-embed-jasper</artifactId> </dependency> ``` ##### 2. 配置JSP页面 接下来，我们需要在`src/main`目录下创建`webapp`文件夹，并将JSP页面放入其中。此外，还需要配置Spring Boot应用为Web应用程序类型，这样`webapp`文件夹才能被正确识别。 ```xml <!-- 将项目设置为Web应用 --> <packaging>war</packaging> ``` ##### 3. 自定义登录和登出逻辑 接下来，我们可以在JSP页面中自定义登录表单，并修改表单提交的URL地址以及登出的URL地址。 ```jsp <!-- login.jsp --> <form action="/login" method="post"> <input type="text" name="username" placeholder="Username"/> <input type="password" name="password" placeholder="Password"/> <button type="submit">Login</button> </form> ``` ##### 4. 提供Spring Security配置 我们需要提供一个Spring Security配置类来覆盖默认的行为。 ```java import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 自定义配置 http.authorizeRequests() .antMatchers("/").permitAll() .anyRequest().authenticated() .and() .formLogin().loginPage("/login").permitAll(); } } ``` 通过以上步骤，我们可以实现Spring Security与Spring Boot的基本集成，并能够自定义登录页面及登录逻辑。这种集成方式不仅增强了系统的安全性，同时也提高了用户体验。