<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.2.6.RELEASE</version>
</parent>
<dependencies>
<!--web-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--thymeleaf集成springsecurity4-->
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity4</artifactId>
<version>3.0.2.RELEASE</version>
</dependency>
<!--thymeleaf-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
</dependencies>
@Controller
public class routerController {
@RequestMapping({"/","index"})
public String index(){//跳转首页的方法
return "index";
}
@RequestMapping("/add")
public String add(){//跳转添加页的方法
return "add";
}
@RequestMapping("/delete")
public String delete(){//跳转删除页的方法
return "delete";
}
@RequestMapping("/toLogin")
public String toLogin(){//跳转登录页的方法
return "login";
}
}
让添加和删除需要有对应的权限才可以访问
<!--spring-security-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
重写父类的configure方法 实现授权操作
@Override
protected void configure(HttpSecurity http) throws Exception {
//首页所有人可以访问 permitAll()所有/请求能通过
http.authorizeRequests()
.antMatchers("/").permitAll();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
//首页所有人可以访问 permitAll()所有/请求能通过
http.authorizeRequests()
.antMatchers("/").permitAll()
.antMatchers("/add").hasRole("addRole") //添加请求需要addRole权限
.antMatchers("/delete").hasRole("deleteRole");//删除请求需要deleteRole权限
}
访问发现 报错 403 权限不足
开启登录页面 formLogin()
重新访问add请求 发现跳进了security默认提供的登录页
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())//必须开启加密验证 才能访问成功 不然登录失败
//添加一个joker_dj用户 账号为joker_dj 密码为加密的密码new BCryptPasswordEncoder().encode("123456") 拥有的权限为 addRole
.withUser("joker_dj").password(new BCryptPasswordEncoder().encode("123456")).roles("addRole");
}
点击添加跳进登录页面 输入账号密码
访问成功
//开启注销功能 默认的url:/logout
http.logout();
前端页面访问/logout
点击注销
注销后自动跳进登录页面
配置注销后跳进指定地页面
//logoutSuccessUrl() 注销后跳进的url
http.logout()
.logoutSuccessUrl("/");
注意:springboot2.0.9版本以后的不支持security标签,我们需要下降版本才能看到效果
在index.html中控制链接的显示隐藏
<!--获取登录的用户名 默认为:anonymousUser-->
<div>
<span sec:authentication="name"></span>
</div>
<!--拥有addRole权限显示-->
<div sec:authorize="hasRole(‘addRole‘)">
<a th:href="@{/add}">添加</a>
</div>
<!--拥有deleteRole权限显示-->
<div sec:authorize="hasRole(‘deleteRole‘)">
<a th:href="@{/delete}">删除</a>
</div>
<!--未登录显示 登录后隐藏-->
<div sec:authorize="!isAuthenticated()">
<a th:href="@{/toLogin}">登录</a>
</div>
<!--未登录隐藏 登录后显示-->
<div sec:authorize="isAuthenticated()">
<a th:href="@{logout}">注销</a>
</div>
启动访问 只能看到登录页面
尝试登录·
注意:我们需要访问/login才能进行访问 还没有配置自己的登陆页面
由于版本过低 默认登录页面变成了这样
输入用户名密码
登录成功后 显示用户名和添加的链接
登录链接也隐藏了 删除链接没有权限也被隐藏
点击注销 会发现报错
原因 security怕收到csrf攻击 开启了csrf防御 需要手动关闭
什么是csrf攻击 可以看这篇文章 https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369
//关闭csrf
http.csrf().disable();
再次注销可以成功了
//定制自己的登录页面
http.formLogin()
.loginPage("/toLogin");
输入用户名密码 点击登录按钮 会发现登陆失败 找不到 /login请求
解决:
第一种方式 把form表单的action改成和loginPage()的地址一样
注意:提交方式一定要是post
第二种方式:
配置登录请求的url
//.loginProcessingUrl("/login"); 验证登录请求的url
http.formLogin()
.loginPage("/toLogin")
.loginProcessingUrl("/login");
登录成功
配置类:
登录页:
<form th:action="@{/login}" method="post">
<input type="text" name="username">
<input type="password" name="password">
<input type="checkbox" name="remberme"> 记住我
<input type="submit"value="登录">
</form>
再次登录 开启记住我
查看Cookeis 会发现Security把我们的用户信息存到了cookies中
ok到此结束
注意点:版本问题,csrf问题,post提交问题 少踩坑
原文:https://www.cnblogs.com/joker-dj/p/12698043.html