当前位置：首页 > news >正文

Spring Boot整合Spring Security

news 2025/6/23 21:59:43

Spring Boot 专栏：Spring Boot 从零单排
Spring Cloud 专栏：Spring Cloud 从零单排
GitHub：SpringBootDemo
Gitee：SpringBootDemo

Spring Security是针对Spring项目的安全框架，也是Spring Boot底层安全模块的默认技术选型，仅需引入spring-boot-starter-security模块，进行少量配置，即可实现强大的Web安全控制。

Spring Security的两个主要目标是认证和授权（访问控制）

官方文档：https://docs.spring.io/spring-security/site/docs/5.2.0.RELEASE/reference/htmlsingle/

0 开发环境

JDK：1.8
Spring Boot：2.7.18

Spring Boot 版本升级为2.7.18，专栏中其他Spring Boot相关环境同步升级

1 引入依赖

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>

2 测试

2.1 新建Controller

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "query")public String query() {return "用户查询成功";}
}

2.2 测试

启动服务，浏览器访问 127.0.0.1:8090/user/query，页面自动跳转到授权登录页

在这里插入图片描述

默认用户名为user，控制台上会打印默认密码，默认密码每次启动服务都会刷新

在这里插入图片描述

登录成功后，就可以正常访问了

在这里插入图片描述

3 自定义密码

该部分会使用到Spring Security的几个关键类，如下：

WebSecurityConfigurerAdapter 自定义Security策略
AuthenticationManagerBuilder 自定义认证策略
@EnableWebSecurity 开启WebSecurity模式

3.1 通过application.yml 配置

spring:security:user:name: adminpassword: 123456

3.2 自定义配置类配置

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码加密BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();//配置用户名、密码，该配置方式下，用户名和密码保存在内存中auth.inMemoryAuthentication()//密码加密方式.passwordEncoder(new BCryptPasswordEncoder()).withUser("admin").password(passwordEncoder.encode("123456")).roles("admin");}
}

3.3 自定义实现类配置

3.3.1 编写UserDetailsService实现类

这里我们就直接固定写死用户名和密码，实际生产中可以从数据库中获取

@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Overridepublic UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {//设置角色，角色的概念后续介绍List<GrantedAuthority> roles = AuthorityUtils.commaSeparatedStringToAuthorityList("admin");return new User("admin", new BCryptPasswordEncoder().encode("123456"), roles);}
}

3.3.2 编写配置类

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate UserDetailsServiceImpl userDetailsService;@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//使用UserDetailsServiceImpl 查询用户名、密码auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());}
}

分别测试，都通过

4 用户认证和授权/基于角色和权限的访问控制

实际生产中，需要根据用户角色的权限来控制可访问的页面、可执行的操作等

4.1 新建4个页面

level-1.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<h1 style="color: red">这是用户等级1可访问的页面</h1>
</body>
</html>

level-2.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<h1 style="color: green">这是用户等级2可访问的页面</h1>
</body>
</html>

level-3.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<h1 style="color: blue">这是用户等级3可访问的页面</h1>
</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<a href="level-1.html">等级1</a><br><br>
<a href="level-2.html">等级2</a><br><br>
<a href="level-3.html">等级3</a>
</body>
</html>

4.2 修改配置类

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权，表示用户拥有指定角色//hasAuthority 为权限授权，表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录，无权限时进入登录页面http.formLogin();}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码加密BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();//配置用户名、密码，该配置方式下，用户名和密码保存在内存中auth.inMemoryAuthentication()//密码加密方式.passwordEncoder(new BCryptPasswordEncoder()).withUser("admin").password(passwordEncoder.encode("123456")).roles("admin").and().withUser("admin1").password(passwordEncoder.encode("123456")).roles("level1").and().withUser("admin2").password(passwordEncoder.encode("123456")).roles("level2").and().withUser("admin3").password(passwordEncoder.encode("123456")).authorities("level3").and().withUser("admin0").password(passwordEncoder.encode("123456")).authorities("ROLE_level1", "ROLE_level2", "level3");}
}

**hasRole()和hasAuthority()**用法是类似的，只不过hasRole()方法会给自定义的角色名前加上 ROLE_ 前缀

在这里插入图片描述

因此在自定义用户时，如果使用**authorities()给用户设置角色时，需要自行添加上ROLE_**前缀。

roles()和authorities()设置的角色或权限，最终都存放在authorities参数中，且这两个方法会互相覆盖彼此的值。

在这里插入图片描述

4.3 测试

浏览器访问

在这里插入图片描述

依次点击等级1、等级2、等级3，均自动跳转到授权登录页面，登录对应权限的用户后，可成功访问。

其中，登录admin用户，无法访问任何页面，登录admin0，可访问所有页面

在这里插入图片描述

登录权限不匹配的用户，拒绝访问

在这里插入图片描述

4.4 使用UserDetailsService类实现

UserDetailsServiceImpl

@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Overridepublic UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {List<GrantedAuthority> roles;if ("admin1".equals(s)) {roles = AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_level1");} else if ("admin2".equals(s)) {roles = AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_level2");} else if ("admin3".equals(s)) {roles = AuthorityUtils.commaSeparatedStringToAuthorityList("level3");} else if ("admin0".equals(s)) {roles = AuthorityUtils.createAuthorityList("ROLE_level1", "ROLE_level2", "level3");} else {roles = AuthorityUtils.createAuthorityList("admin");}return new User(s, new BCryptPasswordEncoder().encode("123456"), roles);}
}

SecurityConfig

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate UserDetailsServiceImpl userDetailsService;@Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权，表示用户拥有指定角色//hasAuthority 为权限授权，表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录，无权限时进入登录页面http.formLogin();}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//使用UserDetailsServiceImpl 查询用户名、密码auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());}
}

浏览器访问，测试，通过

5 常用注解

可控制用户认证访问接口

5.1 @Secured()

校验用户具有某个角色，才可访问接口

需在启动类开启注解

@EnableGlobalMethodSecurity(securedEnabled = true)

然后在接口方法上配置注解

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "query")@Secured("ROLE_level1")public String query() {return "用户查询成功";}@GetMapping(value = "update")@Secured({"ROLE_level1", "ROLE_level2"})public String update() {return "用户更新成功";}
}

5.2 @PreAuthorize()

在进入方法前校验用户具有某个权限或角色

需在启动类开启注解

@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)

然后在接口方法上配置注解

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "delete")@PreAuthorize("hasAnyAuthority('ROLE_level1','level3')")public String delete() {return "用户删除成功";}
}

5.3 @PostAuthorize()

在进入方法后校验用户具有某个权限或角色

需在启动类开启注解

@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)

然后在接口方法上配置注解

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "delete")@PostAuthorize("hasAnyAuthority('ROLE_level1','level3')")public String delete() {return "用户删除成功";}
}

5.4 @PostFilter()

校验权限后对数据进行过滤，只返回满足条件的数据

新建实体类

@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserModel {private String username;private String password;
}

然后在方法上加上注解

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "queryList")@PreAuthorize("hasAnyAuthority('ROLE_level1','level3')")@PostFilter("filterObject.username == 'test'")public List<UserModel> queryList() {List<UserModel> userList = new ArrayList<>();userList.add(new UserModel("test", "qwerty"));userList.add(new UserModel("test2", "asdfgh"));userList.add(new UserModel("test3", "zxcvbn"));return userList;}
}

测试，权限验证通过后

在这里插入图片描述

5.5 @PreFilter()

校验权限后对数据进行过滤，只有满足条件的数据才能传入接口方法中

@RestController
@RequestMapping("user")
public class UserController {@PostMapping(value = "queryUser")@PreAuthorize("hasAnyAuthority('ROLE_level1','level3')")@PreFilter("filterObject.username == 'test2'")public List<UserModel> queryUser(@RequestBody List<UserModel> userModels) {return userModels;}
}

测试，权限验证通过后

在这里插入图片描述

6 记住我

配置类中开启记住我

    @Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权，表示用户拥有指定角色//hasAuthority 为权限授权，表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录，无权限时进入登录页面http.formLogin();//记住我http.rememberMe();}

启动服务，访问页面，登录页面增加了记住我选择框

在这里插入图片描述

登录成功后，cookie中已保存用户信息，默认时间为2周

在这里插入图片描述

7 注销

7.1 配置类中开启注销

    @Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权，表示用户拥有指定角色//hasAuthority 为权限授权，表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录，无权限时进入登录页面http.formLogin();//记住我http.rememberMe();//开启注销，注销成功后回首页http.logout().logoutSuccessUrl("/");}

7.2 level-* 页面增加注销按钮

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<h1 style="color: red">这是用户等级1可访问的页面</h1>
<br><br>
<a href="/logout">注销</a>
</body>
</html>

其他两个页面做相同修改

启动服务，登录成功后点击注销按钮，注销成功，返回首页，访问页面需再次登录

8 自定义登录页

8.1 新建登录页login.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title><meta charset="UTF-8"><title>Login Page</title><style>body {font-family: Arial, sans-serif;background-color: #f5f5f5;}.container {width: 300px;margin: auto;padding: 40px;border: 1px solid #ccc;background-color: white;box-shadow: 0 0 10px rgba(0, 0, 0, 0.1);}h2 {text-align: center;}label {display: block;margin-bottom: 10px;}input[type="text"],input[type="password"] {width: 100%;padding: 6px;border: 1px solid #ccc;outline: none;}button {width: 100%;padding: 10px;color: white;background-color: #4CAF50;cursor: pointer;border: none;outline: none;}button:hover {opacity: 0.9;}</style>
</head>
<body>
<div class="container"><h2>登录</h2><form action="/login" method="post"><label for="username">用户名</label><input type="text" id="username" name="username"><br><br><label for="password">密码</label><input type="password" id="password" name="password"><br><br><input type="checkbox" name="remember-me" title="记住我">记住我<br><br><button type="submit">登 录</button></form>
</div>
</body>
</html>

8.2 配置类中开启自定义登录页

    @Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权，表示用户拥有指定角色//hasAuthority 为权限授权，表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录，无权限时进入登录页面//自定义登录页http.formLogin().loginPage("/login.html").loginProcessingUrl("/login");//关闭csrf防护http.csrf().disable();//记住我http.rememberMe();//开启注销，注销成功后回首页http.logout().logoutSuccessUrl("/");}

这里，自定义登录，默认用户参数是username，默认密码参数是password，默认记住我参数是remember-me，如果需要自定义登录表单的参数，做如下修改

        //开启登录，无权限时进入登录页面http.formLogin().loginPage("/login.html").loginProcessingUrl("/login").usernameParameter("username").passwordParameter("password");//关闭csrf防护http.csrf().disable();//记住我http.rememberMe().rememberMeParameter("remember-me");

启动服务，访问地址，跳转到自定义登录页

在这里插入图片描述

9 自定义403页面

9.1 新建403.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
权限不足，无法访问
</body>
</html>

9.2 配置类中开启自定义403页面

    @Overrideprotected void configure(HttpSecurity http) throws Exception {//...其他代码...//自定义403页面http.exceptionHandling().accessDeniedPage("/403.html");}

启动服务，浏览器访问，登录无权限用户后提示

在这里插入图片描述

至此，Spring Boot整合Spring Security实现用户认证和授权基本用法已讲解完毕，且测试通过。

Spring Boot整合Spring Security

Spring Boot 专栏：Spring Boot 从零单排 Spring Cloud 专栏：Spring Cloud 从零单排 GitHub：SpringBootDemo Gitee：SpringBootDemo Spring Security是针对Spring项目的安全框架，也是Spring Boot底层安全模块的默认技术…...

编程日记 2024/3/21 22:50:52

Rust字符串深入理解

一、概述 Rust是一种系统级语言，进行操作系统等底层应用开发，同时又具合理的抽象处理能力。在进行Rust编程时，字符串处理是程序员经常碰到的工作。本文深入解析Rust语言中字符串的使用，包括 static string，String与&a…...

编程日记 2024/3/21 22:47:49

TSINGSEE青犀AI智能分析网关V4酿酒厂安全挂网AI检测算法

在酿酒行业中，安全生产一直是企业经营中至关重要的一环。为了确保酒厂生产过程中的安全，TSINGSEE青犀AI智能分析网关V4的安全挂网AI检测算法发挥了重要作用。 TSINGSEE青犀AI智能分析网关V4的安全挂网检测算法是针对酒厂里酒窖挂网行为进行智能检测与识…...

编程日记 2024/3/21 22:44:45

LeetCode第126场双周赛个人题解

目录 100262. 求出加密整数的和原题链接思路分析 AC代码 3080. 执行操作标记数组中的元素原题链接思路分析 AC代码 100249. 替换字符串中的问号使分数最小原题链接思路分析 AC代码 100241. 求出所有子序列的能量和原题链接思路分析 AC代码 100262. 求出…...

编程日记 2024/3/21 22:43:43

牛客NC403 编辑距离为一【中等模拟法 Java,Go,PHP】

题目题目链接： https://www.nowcoder.com/practice/0b4b22ae020247ba8ac086674f1bd2bc 思路注意：必须要新增一个，或者删除一个，或者替换一个，所以不能相等1.如果s和t相等，返回false,如果s和t长度差大于1…...

编程日记 2024/3/21 22:41:41

在C#中，SetWindowPos函数用于设置窗口的位置和大小。原型： [DllImport("user32.dll", SetLastError true)] [return: MarshalAs(UnmanagedType.Bool)] public static extern bool SetWindowPos(IntPtr hWnd, IntPtr hWndInsertAfter, int …...

编程日记 2024/3/21 22:40:40

zookeeper快速入门五：用zookeeper实现服务注册与发现中心

系列： zookeeper快速入门一：zookeeper安装与启动-CSDN博客 zookeeper快速入门二：zookeeper基本概念-CSDN博客 zookeeper快速入门三：zookeeper的基本操作 zookeeper快速入门四：在java客户端中操作zookeeper-CSDN博客…...

编程日记 2024/3/21 22:29:29

Java 中 BitSet 类的用法

Java 中 BitSet 类的用法 API构造置位为 true清除为 false查找位反转长度运算流其他原理底层数据结构如何工作 API 构造无参构造 ：默认为 64 个 bit 的容量 BitSet bitset new BitSet();有参构造 ：设置为 n 个 bit 的容量 BitSet bitset new BitSe…...

编程日记 2024/3/21 22:23:21

Jenkins-pipeline流水线构建完钉钉通知

添加钉钉机器人在钉钉群设置里添加机器人拿出Webhook地址，设置关键词 Jenkins安装钉钉插件 Dashboard > 系统管理 > 插件管理，搜索构建通知，直接搜索Ding Talk也行安装DingTalk插件，重启Jenkins 来到Dashboard > 系…...

编程日记 2024/3/21 22:22:20

汽车制造业供应商管理会面临哪些问题？要如何解决？

汽车行业的供应链是及其复杂的，并且呈全球化分布，企业在知识产权方面的优势很可能是阶段性的。企业需要持续保持领先，将面临巨大的挑战，尽快地将产品推向市场是保持领先的唯一途径。然而，如果没有正确的方式去实现安全…...

编程日记 2024/3/21 22:16:13

day28|93. 复原 IP 地址|Leetcode 78. 子集|90.子集II

Leetcode 93. 复原 IP 地址链接：93. 复原 IP 地址 class Solution { public:vector<string> res;string path;int pointNum 0;vector<string> restoreIpAddresses(string s) {backtracking(0, s);return res;}void backtracking(int start, string …...

编程日记 2024/3/21 22:15:12

怎样提升小程序日活？签到抽奖可行吗？

一、日活运营策略小程序应该是即用即走的，每个小程序都在用户中有自己的独特定位，可能是生活日常必备（美食、团购、商城），也可能是工作办公必备（文档、打卡、工具）。如果你想要让自己的小程…...

编程日记 2024/3/21 22:13:10

hive语法树分析，判断 sql语句中有没有select *

pom依赖参考以下博文java 通过 IMetaStoreClient 取 hive 元数据信息-CSDN博客1 节点处理器类 import lombok.Getter; import org.apache.hadoop.hive.ql.lib.Dispatcher; import org.apache.hadoop.hive.ql.lib.Node; import org.apache.hadoop.hive.ql.parse.ASTNode; impor…...

编程日记 2024/3/21 22:11:07

【论文阅读】MSGNet：学习多变量时间序列预测中的多尺度间序列相关性

MSGNet：学习多变量时间序列预测中的多尺度间序列相关性文献介绍摘要总体介绍背景及当前面临的问题现有解决方案及其局限性本文的解决方案及其贡献背景知识的相关工作背景知识问题表述： Method论文主要工作1.输入嵌入和剩余连接 (Input Embedding and R…...

编程日记 2024/3/21 22:08:04

智慧城市与数字孪生：共创未来城市的智慧生活

目录一、智慧城市与数字孪生的概念与特点二、智慧城市与数字孪生共创智慧生活的路径 1、城市规划与建设的智能化 2、城市管理与服务的智慧化 3、城市安全与应急管理的智能化三、智慧城市与数字孪生面临的挑战与对策四、智慧城市与数字孪生的发展趋势与展望 1、技术…...

编程日记 2024/3/21 22:07:02

【Ubuntu】FTP站点搭建

配置顺序前提条件：确保软件仓库可以正常使用，确保已正常配置IP地址 1.安装FTP服务 2.编辑FTP配置文件 3.设置开机自启 4.创建用户 5.配置用户限制名单 6.重启服务 7.查看运行状态 8.测试在同一局域网下的Windows查看文件 1.安装FTP服务 sudo apt insta…...

编程日记 2024/3/21 22:06:01

RK3228H is the same SoC as rk3328.

RK3228H is the same SoC as rk3328....

编程日记 2024/3/21 22:05:00

Golang 开发实战day04 - Standard Library

Golang 开发实战day04 - Standard Library 接下来开始我们第四天学习，Go语言标准库提供了丰富的功能，可以帮助开发者快速完成各种任务。 golang就像其他语言一样，附带了一些非常轻量级的函数和特性，都是开箱即用的，这里…...

编程日记 2024/3/21 22:02:57

程序员排查BUG指南

程序员排查BUG（错误）是软件开发过程中的重要一环, 以下是一份程序员排查BUG的指南，帮助你更有效地识别、定位和修复问题： 1、重现BUG：确保能够准确地重现BUG，这是解决问题的第一步。尽量记录重现BUG的步骤。…...

编程日记 2024/3/21 22:01:56

【Vue】elementUI-MessageBox组件相关

官方代码： <template><el-button type"text" click"open">点击打开 Message Box</el-button> </template><script>export default {methods: {open() {this.$confirm(此操作将永久删除该文件, 是否继续?, 提示…...

编程日记 2024/3/21 21:58:50

Linux应用开发之网络套接字编程(实例篇)

服务端与客户端单连接服务端代码 #include <sys/socket.h> #include <sys/types.h> #include <netinet/in.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <arpa/inet.h> #include <pthread.h> …...

编程新知 2025/6/22 12:56:07

黑马Mybatis

Mybatis 表现层：页面展示业务层：逻辑处理持久层：持久数据化保存在这里插入图片描述 Mybatis快速入门 ![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/6501c2109c4442118ceb6014725e48e4.png //logback.xml <?xml ver…...

编程新知 2025/6/21 3:21:31