准备
Spring Boot 3正式版本已发版了半个月,Spring Security6也一并更新,但是网络上的相关中文文档较少,盲目进行集成容易出错,所以本文讲如何快速集成。这里不再赘述Spring Boot3和Spring Security6是做什么的,能来这的都知道。先确保以下信息:
Spring Boot至少是3.0.0版本
Spring Security至少是6.0.0版本(这里由Spring Boot管理,直接上starter即可)
本文要解决的问题:Spring Security 6的集成和配置
开始集成
1、Maven增加依赖,如果你已经有了,或者Spring Initializr新建项目时加了,忽略这一步
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>
2、配置你的Spring Security,这里的/api/auth/login是你的登录页地址
importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuration;importorg.springframework.security.config.annotation.web.builders.HttpSecurity;importorg.springframework.security.web.SecurityFilterChain;@ConfigurationpublicclassSpringSecurityConfig{@BeanpublicSecurityFilterChainfilterChain(HttpSecurity http)throwsException{return http.authorizeHttpRequests(authorize->{try{
authorize
// 放行登录接口.requestMatchers("/api/auth/login").permitAll()// 放行资源目录.requestMatchers("/static/**","/resources/**").permitAll()// 其余的都需要权限校验.anyRequest().authenticated()// 防跨站请求伪造.and().csrf(csrf -> csrf.disable());}catch(Exception e){thrownewRuntimeException(e);}}).build();}}
3、Spring Boot 启动类增加EnableMethodSecurity注解
@SpringBootApplication()@EnableMethodSecurity(securedEnabled =true, jsr250Enabled =true)publicclassApplication{publicstaticvoidmain(String[] args){SpringApplication.run(Application.class, args);}}
4、在需要登录才能访问的Controller中,在方法加上权限判断注解 @PreAuthorize(“hasAuthority(‘权限字符串’)”)
/**
* 需要登录才能访问的控制器
*
* @author 黑龙江省瑜美科技发展有限公司
* @since 2022-12-11
*/@RestController@RequestMapping("/controller")publicclassYourController{@RequestMapping("method")@PreAuthorize("hasAuthority('YourController:YourMethod')")publicStringyourMethod(){return"这个信息只有登录才能看到";}}
5、往项目里添加工具类,不用改,原样放上去就行
importjakarta.servlet.http.HttpServletRequest;importorg.springframework.security.authentication.AnonymousAuthenticationToken;importorg.springframework.security.authentication.UsernamePasswordAuthenticationToken;importorg.springframework.security.core.GrantedAuthority;importorg.springframework.security.core.authority.AuthorityUtils;importorg.springframework.security.core.context.SecurityContextHolder;importorg.springframework.security.web.context.HttpSessionSecurityContextRepository;importorg.springframework.web.context.request.RequestContextHolder;importorg.springframework.web.context.request.ServletRequestAttributes;importjava.util.List;/**
* Spring Security 工具类
*
* @author 黑龙江省瑜美科技发展有限公司
* @since 2022-12-11
*/publicclassSpringSecurityUtil{/**
* 登录
*
* @param username 用户名
* @param password 密码
* @param authorities 权限
*/publicstaticvoidlogin(String username,String password,List<String> authorities){HttpServletRequest request =((ServletRequestAttributes)(RequestContextHolder.currentRequestAttributes())).getRequest();List<GrantedAuthority> authoritiesList =AuthorityUtils.createAuthorityList(authorities.toArray(newString[]{}));UsernamePasswordAuthenticationToken token =newUsernamePasswordAuthenticationToken(username, password, authoritiesList);SecurityContextHolder.getContext().setAuthentication(token);
request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY,SecurityContextHolder.getContext());}/**
* 获取当前登录用户名
*
* @return
*/publicstaticStringgetCurrentUsername(){returnSecurityContextHolder.getContext().getAuthentication().getPrincipal().toString();}/**
* 判断是否已登录
*
* @return
*/publicstaticbooleanisLogin(){return!(SecurityContextHolder.getContext().getAuthentication()instanceofAnonymousAuthenticationToken);}}
6、做登录测试的Controller:
importorg.springframework.web.bind.annotation.RequestMapping;importorg.springframework.web.bind.annotation.RestController;importjava.util.ArrayList;importjava.util.List;/**
* 登录测试
*
* @author 黑龙江省瑜美科技发展有限公司
* @since 2022-12-11
*/@RestController@RequestMapping("/api/auth")publicclassLoginController{@RequestMapping("login")publicObjectlogin(){// 用户名,这个从你的登录表单拿String username="admin";// 密码,这个从你的登录表单拿String password="password";// 权限字符串,这个从你的数据库里读List<String> authorities=newArrayList<>();
authorities.add("YourController:YourMethod");// 判断是否登陆if(SpringSecurityUtil.isLogin()){// 登陆了打印一下当前用户名System.out.println(SpringSecurityUtil.getCurrentUsername());}else{// 没登录则进行一次登录SpringSecurityUtil.login(username,password,authorities);}return"success";}}
7、测试,启动服务,访问一下/api/auth/login,然后再访问/controller/method才能看到数据,否则会返回403状态,实现了登录功能。在需要限制权限的方法加上一个注解就可以实现权限限制功能,非常的人性化。
总结:在研究过程的时候遇到了哪些坑
以下内容供有经验的人阅读
1、authorizeRequests方法已废弃,取而代之的是authorizeHttpRequests。
2、@PermitAll注解是不好使的。
3、SecurityContextHolder.getContext().getAuthentication().isAuthenticated()永远都是true,所以即使是当前用户是anonymousUser时,也不能用来判断登录状态,必须要判断是否是AnonymousAuthenticationToken类型。
4、并不是所有的字符串都可以充当权限字符串,建议使用英文字母、冒号。
5、ROLE_开头的权限字符串代表角色,用错会导致无法判断权限。
6、SecurityContext在设置Authentication的时候并不会自动写入Session,读的时候却会根据Session判断,所以需要手动写入一次,否则下一次刷新时SecurityContext是新创建的实例。
7、HttpServletRequest已经从javax包移动到了jakarta包,是因为Spring Framework 6.0从Java EE升级到了Jakarta EE。
所以综上所述,大多数已知的第三方工具类和辅助框架已经失效,要么重新造轮子,要么开源开发者升级一下已有的项目。
版权归原作者 杨若瑜 所有, 如有侵权,请联系我们删除。