上一篇文章我們介紹了Spring Security的基礎(chǔ)架構(gòu)，這一節(jié)我們通過Spring官方給出的一個(gè)guides例子，來了解Spring Security是如何保護(hù)我們的應(yīng)用的，之后會(huì)對(duì)其進(jìn)行一個(gè)解讀。

2.1 引入依賴

由于我們集成了springboot，所以不需要顯示的引入Spring Security文檔中描述core，config依賴，只需要引入spring-boot-starter-security即可。

2.2 創(chuàng)建一個(gè)不受安全限制的web應(yīng)用

這是一個(gè)首頁，不受安全限制：

src/main/resources/templates/home.html

這個(gè)簡(jiǎn)單的頁面上包含了一個(gè)鏈接，跳轉(zhuǎn)到"/hello"。對(duì)應(yīng)如下的頁面

src/main/resources/templates/hello.html

接下來配置Spring MVC，使得我們能夠訪問到頁面。

2.3 配置Spring Security

一個(gè)典型的安全配置如下所示：

<1> @EnableWebSecurity注解使得SpringMVC集成了Spring Security的web安全支持。另外，WebSecurityConfig配置類同時(shí)集成了WebSecurityConfigurerAdapter，重寫了其中的特定方法，用于自定義Spring Security配置。整個(gè)Spring Security的工作量，其實(shí)都是集中在該配置類，不僅僅是這個(gè)guides，實(shí)際項(xiàng)目中也是如此。

<2>configure(HttpSecurity)定義了哪些URL路徑應(yīng)該被攔截，如字面意思所描述："/", "/home"允許所有人訪問，"/login"作為登錄入口，也被允許訪問，而剩下的"/hello"則需要登陸后才可以訪問。

<3>configureGlobal(AuthenticationManagerBuilder)在內(nèi)存中配置一個(gè)用戶，admin/admin分別是用戶名和密碼，這個(gè)用戶擁有USER角色。

我們目前還沒有登錄頁面，下面創(chuàng)建登錄頁面：

這個(gè)Thymeleaf模板提供了一個(gè)用于提交用戶名和密碼的表單,其中name="username"，name="password"是默認(rèn)的表單值，并發(fā)送到“/ login”。 在默認(rèn)配置中，Spring Security提供了一個(gè)攔截該請(qǐng)求并驗(yàn)證用戶的過濾器。 如果驗(yàn)證失敗，該頁面將重定向到“/ login?error”，并顯示相應(yīng)的錯(cuò)誤消息。 當(dāng)用戶選擇注銷，請(qǐng)求會(huì)被發(fā)送到“/ login?logout”。

最后，我們?yōu)閔ello.html添加一些內(nèi)容，用于展示用戶信息。

我們使用Spring Security之后，HttpServletRequest#getRemoteUser()可以用來獲取用戶名。 登出請(qǐng)求將被發(fā)送到“/ logout”。 成功注銷后，會(huì)將用戶重定向到“/ login?logout”。

2.4 添加啟動(dòng)類

2.5 測(cè)試

訪問首頁 http://localhost:8080:

點(diǎn)擊here，嘗試訪問受限的頁面： /hello,由于未登錄，結(jié)果被強(qiáng)制跳轉(zhuǎn)到登錄也 /login：

輸入正確的用戶名和密碼之后，跳轉(zhuǎn)到之前想要訪問的 /hello:

點(diǎn)擊Sign out退出按鈕，訪問: /logout,回到登錄頁面:

2.6 總結(jié)

本篇文章沒有什么干貨，基本算是翻譯了Spring Security Guides的內(nèi)容，稍微了解Spring Security的朋友都不會(huì)對(duì)這個(gè)翻譯感到陌生?？紤]到受眾的問題，一個(gè)入門的例子是必須得有的，方便后續(xù)對(duì)Spring Security的自定義配置進(jìn)行講解。下一節(jié)，以此guides為例，講解這些最簡(jiǎn)化的配置背后，Spring Security都幫我們做了什么工作。

本節(jié)所有的代碼，可以直接在Spring的官方倉庫下載得到，git clone https://github.com/spring-guides/gs-securing-web.git。不過，建議初學(xué)者根據(jù)文章先一步步配置，出了問題，再與demo進(jìn)行對(duì)比。

原文鏈接：https://mp.weixin.qq.com/s?__biz=MzAxODcyNjEzNQ==&mid=2247484347&idx=1&sn=7695359acce014d6f3d519ab0c2b6156&chksm=9bd0ae23aca7273517a34106239ea7503a24758764d2d34e5eff5ab4b4c641b481ac4a70fd3e&scene=21#wechat_redirect