Spring Security 是一个功能强大且可高度自定义的身份验证和访问控制框架。 它是保护基于Spring的应用程序的事实上的标准。
Spring Security 是一个专注于为Java应用程序提供身份验证和授权的框架。 与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足自定义要求
本次配置一共有两个服务:一个认证服务,一个服务调用者
认证服务器:spring-oauth-server
pom依赖:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency>
Security配置:
@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() // 表单登录。跳转到security默认的登录表单页 // http.httpBasic() //basic登录 .and() .authorizeRequests() // 对请求授权
.antMatchers("/formLogin").permitAll() //允许所有人访问/formLogin .anyRequest() // 任何请求 .authenticated()// 需要身份认证 ; } }
服务调用者:spring-cloud-provider
<dependency> <groupId>com.xwj</groupId> <artifactId>spring-oauth-server</artifactId> <version>0.0.1-SNAPSHOT</version> </dependency>
Controller中:
@RestController public class LoginController { /** * 需要认证的 */ @RequestMapping("/user") public String user() { return "user"; } /** * 不需要认证的 */ @RequestMapping("/formLogin") public String login() { return "formLogin"; } }
启动服务。在日志中,可以看到如下信息:
Using default security password: 90d9e73a-490c-484b-b7c5-5cd75c634e2f
这是security的默认密码,在后面登录时会用到
该服务端口为18081,在浏览器访问 http://localhost:18081/formLogin,该请求是不需要认证的,所以直接进入到我们的服务,如下:
再访问 http://localhost:18081/user,该请求是需要认证的,会先跳到security默认的登录页(也可以自定义登录页),如下:
用户名为user,密码为日志中打印的密码:90d9e73a-490c-484b-b7c5-5cd75c634e2f
点击login按钮,页面返回user。再次访问http://localhost:18081/user,由于已经认证过了,所以直接返回user
至此,最简单的security配置完成