上一篇文章《Spring Security(一) :Architecture Overview》,我们介绍了Spring Security的基础架构,这一节我们通过Spring官方给出的一个guides例子,来了解Spring Security是如何保护我们的应用的,之后会对进行一个解读。
2 Spring Security Guides
2.1 引入依赖
由于我们集成了springboot,所以不需要显示的引入Spring Security文档中描述core,config依赖,只需要引入spring-boot-starter-security即可。
2.2 创建一个不受安全限制的web应用
这是一个首页,不受安全限制
src/main/resources/templates/home.html
这个简单的页面上包含了一个链接,跳转到”/hello”。对应如下的页面
src/main/resources/templates/hello.html
接下来配置Spring MVC,使得我们能够访问到页面。
2.3 配置Spring Security
一个典型的安全配置如下所示:
<1> @EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持。另外,WebSecurityConfig配置类同时集成了WebSecurityConfigurerAdapter,重写了其中的特定方法,用于自定义Spring Security配置。整个Spring Security的工作量,其实都是集中在该配置类,不仅仅是这个guides,实际项目中也是如此。
<2> configure(HttpSecurity)定义了哪些URL路径应该被拦截,如字面意思所描述:”/“, “/home”允许所有人访问,”/login”作为登录入口,也被允许访问,而剩下的”/hello”则需要登陆后才可以访问。
<3> configureGlobal(AuthenticationManagerBuilder)在内存中配置一个用户,admin/admin分别是用户名和密码,这个用户拥有USER角色。
我们目前还没有登录页面,下面创建登录页面:
这个Thymeleaf模板提供了一个用于提交用户名和密码的表单,其中name=”username”,name=”password”是默认的表单值,并发送到“/ login”。 在默认配置中,Spring Security提供了一个拦截该请求并验证用户的过滤器。 如果验证失败,该页面将重定向到“/ login?error”,并显示相应的错误消息。 当用户选择注销,请求会被发送到“/ login?logout”。
最后,我们为hello.html添加一些内容,用于展示用户信息。
我们使用Spring Security之后,HttpServletRequest#getRemoteUser()可以用来获取用户名。 登出请求将被发送到“/ logout”。 成功注销后,会将用户重定向到“/ login?logout”。
2.4 添加启动类
2.5 测试
访问首页http://localhost:8080/:
点击here,尝试访问受限的页面:/hello,由于未登录,结果被强制跳转到登录也/login:
输入正确的用户名和密码之后,跳转到之前想要访问的/hello:
点击Sign out退出按钮,访问:/logout,回到登录页面:
