Spring Security權限控制系列(二)
作者:Spring全家桶實戰案例
默認項目中引入Spring Security后會攔截所有的請求,這其中包括了靜態資源,這肯定不是我們希望的,接下來我們看如何進行資源自定義的攔截。
本篇主要內容:請求攔截及自定義登錄頁面。
上一篇:《??Spring Security權限控制系列(一)??》
自定義攔截請求
默認項目中引入Spring Security后會攔截所有的請求,這其中包括了靜態資源,這肯定不是我們希望的,接下來我們看如何進行資源自定義的攔截。
- 新建如下靜態資源
- 配置靜態資源訪問路徑
由于靜態資源默認訪問路徑是/**,這里為了區分靜態資源與Controller給靜態資源加一個前綴。
spring: mvc: static-path-pattern: /resources/**
- 訪問靜態資源
先將Spring Security從項目中移除,然后進行訪問。分別訪問index.js和index.html。
都能正常訪問,接下來將Spring Security加到項目中后,再進行訪問會發現之前還能訪問的現在直接跳轉到了登錄頁面。
- 靜態資源放行
自定義配置設置路徑方向規則。
@Configurationpublic class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() // 獲取基于SpEL表達式的基于URL的授權對象 .antMatchers("/resources/**") // 設定URI路徑規則以/resoures開頭的任意請求 .permitAll() ; // 只要是基于上面/resources開頭的請求都進行放行 http.formLogin() ; // 如果請求不是上面配置的訪問uri前綴則進行登錄 }}再次訪問靜態資源,這時候就能正常訪問了,沒有跳轉到登錄頁面,在訪問Controller接口 GET /demos/home運行結果。
發現靜態資源能訪問,同時我們的Controller也能訪問。
- 修改配置只放行指定的資源
protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/resources/**") .permitAll() ; // 方向/resource請求的資源 ① http .authorizeRequests() .anyRequest() // 任意請求 .authenticated() ; // 必須進行登錄認證授權 ② http.formLogin() ;}以上配置后以/resources前綴的請求都會方向,其它任意的請求都會進行攔截跳轉到登錄頁面。
注意:上面的 ① ② 如果順序進行顛倒后服務啟動會報錯。報錯信息如下。
Caused by: java.lang.IllegalStateException: Can't configure antMatchers after anyRequestat org.springframework.util.Assert.state(Assert.java:76) ~[spring-core-5.3.12.jar:5.3.12]
不能在anyRequest之后配置antMatchers。
- 為請求配置角色
定義2個Controller。
@RestController@RequestMapping("/demos")public class DemoController { @GetMapping("home") public Object home() { return "demos home" ; }}@RestController@RequestMapping("/api")public class ApiController { @GetMapping("/{id}") public Object get(@PathVariable("id") Integer id) { return "獲取 - " + id + " - 數據" ; }}我們期望/demos/**接口訪問必須擁有USERS權限,/api/**接口訪問必須擁有ADMIN權限, 配置如下:
@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception { // 配置guest用戶,該用戶擁有ADMIN角色 auth.inMemoryAuthentication().passwordEncoder(NoOpPasswordEncoder.getInstance()).withUser("guest").password("123456").roles("ADMIN") ;}@Overrideprotected void configure(HttpSecurity http) throws Exception { http.csrf().disable() ; http.authorizeRequests().antMatchers("/resources/**").permitAll() ; // 這里無需使用ROLE_前綴,系統會自動插入該前綴 http.authorizeRequests().antMatchers("/demos/**").hasRole("USERS") ; // /demos/**必須具備USERS角色 http.authorizeRequests().antMatchers("/api/**").hasRole("ADMIN") ; // /api/**必須具備ADMIN角色 http.authorizeRequests().anyRequest().authenticated() ; http.formLogin() ;}分別訪問/demos/home 和 /api/1接口。
通過guest/123456登錄后,該接口之間返回了403的狀態錯誤(讀取403.html)。
我的項目中在static/error下新建了403.html錯誤頁面
/api/**接口訪問正常,接下來我們在配置一個用于USERS權限的用戶。
protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .passwordEncoder(NoOpPasswordEncoder.getInstance()) .withUser("guest").password("123456").roles("ADMIN") .and() .withUser("test").password("666666").roles("USERS") ;}通過test用戶訪問/demos/home接口登錄后能正常訪問。
- 配置多權限
在很多情況下我們期望只要用戶用于任意其中一個權限就認定可以訪問該資源,如何配置?
http.authorizeRequests().antMatchers("/demos/**").hasAnyRole("USERS", "AKKF", "BLLE") ;http.authorizeRequests().antMatchers("/api/**").hasAnyRole("ADMIN", "MGR", "SYSTEM") ;通過上面的配置即可滿足只要擁有任意一個權限就可以放行。
- 其它配置
多個URI具有相同的權限。
http.authorizeRequests().antMatchers("/demos/**", "/api/**").hasAnyAuthority("ROLE_USERS", "ROLE_ADMIN") ;對請求的Method控制。
http.authorizeRequests().antMatchers(HttpMethod.GET).permitAll() ;
自定義登錄頁面
- 引入依賴
<dependency> <groupId>org.thymeleaf</groupId> <artifactId>thymeleaf-spring5</artifactId></dependency><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId></dependency>
- thymeleaf配置
spring: thymeleaf: prefix: classpath:/templates/
- 登錄頁面
在/resources/templates/下新建login.html頁面。
這里省去無關緊要的東西。
<div class="loginContainer"> <div class="pageTitle"> <h3>認證登錄</h3> </div> <div class="loginPanel"> <div class="loginTitle">安全登錄</div> <div class="loginContent"> <form method="post" action="login"> <div class="c-row"> <label>安全帳號</label> <input type="text" class="input-control" id="username" name="username" placeholder="帳號"> </div> <div class="c-row"> <label>安全密碼</label> <input type="password" class="input-control" id="password" name="password" placeholder="密碼"> </div> <div class="c-row" style="height: auto;"> <input type="checkbox" class="checkbox-control" id="remember-me" name="remember-me"/><label for="remember-me">記住我</label> </div> <div class="c-row" style="margin-top: 20px;"> <button type="submit" class="btn btn-sm btn-primary" style="padding: 10px 15px;width: 60%;border-radius: 20px;">安全登錄</button> </div> </form> <div class="c-row"> <div th:if="${param.error}" th:text="${session.SPRING_SECURITY_LAST_EXCEPTION?.message }" class="alert alert-danger" style="padding:5px; margin-bottom:5px;"></div> </div> </div> </div></div>- Controller定義login頁面
@Controllerpublic class LoginController { @GetMapping("/custom/login") public String login() { return "login" ; }}- 自定義配置登錄頁
protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() ; http.authorizeRequests().antMatchers("/resources/**").permitAll() ; http.authorizeRequests().antMatchers("/demos/**").hasRole("USERS") ; http.authorizeRequests().antMatchers("/api/**").hasRole("ADMIN") ; // 登錄頁面指向上面配置的Controller即可 http.formLogin().loginPage("/custom/login") ;}測試:
總結:
- Spring Security如何配置攔截請求。
- 資源訪問必須具備權限的配置。
- 自定義登錄頁面。
責任編輯:姜華
來源:
今日頭條
