Spring Security学习(一) Getting Started

翻译自GETTING STARTED

声明 转载请注明出处! Reprint please indicate the source!

Spring Security学习(一) Getting Started

保护Web应用程序

本指南将引导您完成创建一个资源受Spring Security保护的简单Web应用程序的过程。

你将建立什么

您将构建一个Spring MVC应用程序,该应用程序使用由固定用户列表支持的登录表单来保护页面。

你需要什么

如何完成本指南

与大多数“入门指南”指南一样,您可以从头开始,完成每一步,也可以绕过已经熟悉的基本设置步骤。无论哪种方式,你都会得到工作代码。

To start from scratch, move on to Build with Gradle.

To 跳过基础, do the following:

Download and unzip the source repository for this guide, or clone it using Git:

通过IDE构建

这里官方提供了通过Grandle、Maven、IDE构建,选择性的翻译IDE构建,有需要的看原文吧。

我使用的IDEA,先将源码down下来,用IDEA打开gs-securing-web/initial 目录下,选择pom.xml。

initial

准备工作结束了,开始学习吧O(∩_∩)O~~

创建一个不安全的Web应用程序

在将安全性应用于Web应用程序之前,您需要安装Web应用程序。本节中的步骤将引导您创建一个非常简单的Web应用程序。然后在下一节中使用Spring Security来保护它。

Web应用程序包含两个简单视图:主页和“Hello World”页面。主页定义在以下Thymeleaf模板中:

你可以看到,这个简单的视图包括一个“/ hello”页面的链接。这在以下的Thymeleaf模板中定义:

Web应用程序基于Spring MVC。因此,您需要配置Spring MVC并设置视图控制器来公开这些模板。这是一个用于在应用程序中配置Spring MVC的配置类。

addViewControllers()方法(覆盖WebMvcConfigurerAdapter中相同名称的方法)会添加四个视图控制器。两个视图控制器引用名称为“home”的视图(在home.html中定义),另一个引用名为“hello”的视图(在hello.html中定义)。第四个视图控制器引用另一个名为“login”的视图。您将在下一部分中创建该视图。

此时,您可以跳到使应用程序可执行一节,并试试运行应用程序,无需登录任何内容。

创建基本的简单Web应用程序后,您可以添加安全性。

设置Spring Security

假设您希望防止未经授权的用户在“/hello”上查看问候页面。现在,如果用户点击主页上的链接,他们会看到问候语,没有阻碍他们的障碍。您需要添加一个屏障,强制用户在看到该页面之前登录。

您可以通过在应用程序中配置Spring Security来实现。如果Spring Security位于类路径上,则Spring Boot会自动使用“基本”身份验证来保护所有HTTP端点。但是您可以进一步自定义安全设置。您需要做的第一件事是将Spring Security添加到类路径中。

您可以通过在应用程序中配置Spring Security来实现。如果Spring Security位于类路径上,则Spring Boot会自动使用“基本”身份验证来保护所有HTTP端点。但是您可以进一步自定义安全设置。您需要做的第一件事是将Spring Security添加到类路径中。

使用Gradle的话,这将是依赖中的一行:

使用Maven,这将是添加到<dependencies>的额外条目:

这是一种安全配置,可确保只有身份验证的用户才能看到秘密问候语:

WebSecurityConfig类用@EnableWebSecurity注释,以启用Spring Security的Web安全支持,并提供Spring MVC集成。它还扩展了WebSecurityConfigurerAdapter并覆盖了一些方法来设置Web安全配置的一些细节。

configure(HttpSecurity)方法定义哪些URL路径应该被保护,哪些不应该。具体来说,“/”和“/home”路径被配置为不需要任何身份验证。所有其他路径必须经过身份验证。

当用户成功登录时,它们将被重定向到先前请求的需要身份验证的页面。 loginPage()指定了“/login”到一个自定义的页面,每个人都可以查看它。

对于configureGlobal(AuthenticationManagerBuilder)方法,它设置内存中的用户存储使用单个用户。该用户的用户名为“user”,密码为“password”,角色为“USER”。

现在我们需要创建登录页面。已经有“登录”视图的视图控制器,因此您只需要创建登录视图本身:

您可以看到,这个Thymeleaf模板只是提供了一个表单,用于捕获用户名和密码,并将其发布到“/login”。根据配置,Spring Security提供了拦截该请求并验证用户的过滤器。如果用户无法验证,则页面将重定向到“/login?error”,我们的页面显示相应的错误消息。成功注销后,我们的应用程序将发送到“/login?logout”,我们的页面显示相应的成功消息。

最后,我们需要为用户提供一种显示当前用户名和登出的方法。更新hello.html以向当前用户打个招呼,并包含一个“注销”表单,如下所示

我们使用Spring Security与HttpServletRequest#getRemoteUser()的集成来显示用户名。 “登出”表单提交POST请求到“/logout”。成功注销后,会将用户重定向到“/login?logout”。

使应用程序可执行

虽然可以将此服务打包成传统的Web应用程序存档或WAR文件以部署到外部应用程序服务器,但下面演示的更简单的方法创建了一个独立的应用程序。您可以在一个可执行的JAR文件中打包所有内容,由一个好的Java main()方法驱动。一路上,您可以使用Spring的支持将Tomcat servlet容器嵌入HTTP运行时,而不是部署到外部实例。

@SpringBootApplication是一个方便的注释,它添加以下所有内容:

  • @Configuration将该类标记为应用程序上下文的bean定义的源。
  • @EnableAutoConfiguration指示Spring Boot根据类路径设置,其他bean和各种属性设置开始添加bean。
  • 通常,您将为Spring MVC应用程序添加@EnableWebMvc,但是当Spring类在类路径中看到spring-webmvc时,Spring Boot会自动添加它。这将应用程序标记为Web应用程序,并激活诸如设置DispatcherServlet等关键行为。
  • @ComponentScan告诉Spring在hello包中查找其他组件,配置和服务,让它找到控制器。

main()方法使用Spring Boot的SpringApplication.run()方法启动应用程序。你注意到没有一行XML吗?没有web.xml文件。这个Web应用程序是100%纯Java,您无需处理配置任何管道或基础架构。

构建可执行的JAR

您可以使用Gradle或Maven从命令行运行应用程序。或者,您可以构建一个包含所有必需依赖项,类和资源的单个可执行JAR文件,并运行该文件。这使得在整个开发生命周期,跨不同环境等方面,可以轻松地将服务作为应用程序进行发布,版本和部署。

如果您使用Gradle,您可以使用./gradlew bootRun运行应用程序。或者您可以使用./gradlew build构建来构建JAR文件。然后可以运行JAR文件:

如果您使用Maven,则可以使用./mvnw spring-boot:run运行应用程序。或者您可以使用./mvnw clean package来构建JAR文件。然后可以运行JAR文件:

上面的过程将创建一个可运行的JAR。您也可以选择构建一个经典的WAR文件。

应用程序启动后,将浏览器指向 http://localhost:8080,你应该看到主页:

image

当您点击链接时,它会尝试将您带到/hello 的问候页面。但是因为该页面是安全的,而且您尚未登录,那么您将进入登录页面:

image

如果您使用不安全的版本跳到这里,那么您将看不到此登录页面。请记得备份和编写其余的基于安全的代码。

在登录页面,分别输入用户名和密码字段的“用户”和“密码”作为测试用户登录。提交登录表单后,您将进行身份验证,然后转到问候页面:

image

如果您点击“注销”按钮,您的身份验证将被撤销,并返回到登录页面,并显示一条消息,指示您已注销。

所有指南都将发布ASLv2许可证Attribution, NoDerivatives creative commons license 创作共用许可证的写作。

GitHub上的代码,为了博客分享方便,放到码云上,用挂件分享了

发布者

Jiaheng Tao

挖掘概念,创造工具

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据