SpringSecurity入门

SpringSecurity简介

• SpringSecurity是一个功能强大且高度可定制身份验证和访问的控制框架；
• 它是用于保护基于Spring的应用程序的实际标准；
• 可以将java应用程序提供身份验证和授权。

安全技术方案对比

Shiro是一个强大且灵活的开源框架，能够非常清楚的处理认证，授权，管理会话以密码加密

• 易于理解的Java Security API；
• 简单的身份认证（登录），支持多种数据源（JDBC，ActiveDirectory等）；
• 对角色的简单的鉴权（访问控制），支持细粒度的鉴权；
• 支持一级缓存，以提升应用程序的性能；
• 内置的基于POJO企业会话管理，适用于Web以及非Web的环境；
• 异构客户端会话访问；
• 非常简单的加密API；
• 不跟任何的框架或者容器捆绑，可以独立运行。

SpringSecurity

• 除了不能脱离Spring，shiro的功能其都有；
• 而且Spring Security对Oauth，OpenID也有支持，Shrio则需要自己手动实现；
• Spring Security的权限细粒度更高。

Spring Security框架功能简介

1. 认证：用户登录，解决的是"你是谁？"；
2. 授权：判断用户拥有什么权限，可以访问什么资源，解决的是"你能干什么"？
3. 安全防护，防止跨站请求，session攻击等。

Spring Security应用场景

1. 用户登录，传统基于web开发的项目的登录功能；
2. 用户授权，在系统中用户拥有那些权限操作；
3. 单一登录，一个账号只能在同一时间只能在同一个地方进行登录，如果在其他地方进行二次登录，会删除之间的登录操作；
4. 集成cas，做单点登录，即多个系统只需要登录一次，无需重复登录；
5. 集成oauth2，做登录授权，可以用于app登录和第三方登录（QQ，微信等），也可以实现cas的功能。

SpringSecurity入门案例

首先我们需要添加maven依赖

<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.3.5.RELEASE</version> <relativePath/> <!-- lookup parent from repository --> </parent> <groupId>com.guslegend</groupId> <artifactId>SpringSecurityDemo</artifactId> <version>1.0-SNAPSHOT</version> <properties> <maven.compiler.source>11</maven.compiler.source> <maven.compiler.target>11</maven.compiler.target> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- 引用spring security依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> <exclusions> <exclusion> <groupId>org.junit.vintage</groupId> <artifactId>junit-vintage-engine</artifactId> </exclusion> </exclusions> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project>

编写controller

@RestController public class SecurityTestController { @GetMapping("/hello") public String hello() { return "Hello World!"; } }

但是当我们访问这个接口时，会自动跳转到http://localhost:8080/login。

通过分析网页结构我们可以知道其实由以下几个部分组成：

• 表单的提交方式和路径：post，/login；
• input输入项的name值：username，password；
• 隐藏域input的name：值为：_csrfvalue值为d4329889-796a-447a-9d08-69e56bc7c296
  

还有一个问题，我们在此前并没设计用户名和密码，甚至连数据库都没有！

我们应该怎么样才可以登录进去呢？

我们通过查看系统的日志，发现其用户名是user，密码是909aee59-ec25-4808-bcac-f3b3a82a7aec。

将用户名和密码输入，发现访问成功，这样最基础的SpringSecurity的案例就成功了。