【玩转Spring】Spring Security(三)

图片来自于百度图片

内容提前知

1、Spring security访问控制

2、基于数据库用户验证

访问控制

先说说什么访问控制,通俗一点讲就是看当前登陆人是否有权限访问当点URL。在这之前我们需要先认识几个函数,这些函数将是我们实现访问控制的重要方式。

authorizeRequests:此方法属于HttpSecurity,表示允许使用基于HttpServletRequest请求的访问限制。

antMatchers:此方法属于AbstractRequestMatcherRegistry,有多个重载方法,主要作用是匹配URL。

anyRequest:此方法属于AbstractRequestMatcherRegistry,表示任意请求,

hasRole:此方法来自于ExpressionUrlAuthorizationConfigurer.AuthorizedUrl,表示拥有什么角色才能访问。

authenticated:此方法来自于ExpressionUrlAuthorizationConfigurer.AuthorizedUrl,表示访问是需要认证的。

permitAll:来自于AbstractAuthenticationFilterConfigurer,表示任意人都可以访问。

程序一:所有URL均需要认证

上面代码会导致一个结果,那就是我们的静态文件(如css文件)也不能访问,这是时候就需要我们的permitAll方法了

程序二:对静态文件不设置认证方式一

程序三:对静态文件不设置认证方式二

程序四:不同角色访问不同文件

基于数据库用户验证

Spring Security对于数据库的用户验证提供了两种方法,auth.jdbcAuthentication()与 auth.userDetailsService() ,我们重点介绍userDetailsService,因为此方法同样兼容NOSQL数据库。

程序五:数据认证方式一(SQL)

需要注意上述SQL是仿照Spring security源码中SQL写的,请按照此模式来书写你的SQL

程序六:自定义userDetailsService

在这里省略了查询数据库(缓存)的步骤,可以在loadUserByUsername中加上。

用户的角色要与访问控制的对上哦。

OK,数据库认证的两种方式大功告成,当然Spring security还支持LDAP与CAS,不过最常用的就是数据库和缓存了,因此我们在这里仅仅介绍了数据库(含NOSQL)认证的方式。

下期预告

Spring MVC与Spring security暂时告一段落,当然不能面面俱到,主要以实际项目中使用为导向进行了使用说明。

下期开始将主要分享Spring MVC 与 REST,不要错过我,现在REST可是替代传统SOAP WEB服务的流行方案。

如果你对Linux、Java后端、分布式系统感兴趣,扫描上方二维码,欢迎加入我们的知识星球。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180710G0AH2Y00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券