本指南将引导您完成使用受Spring Security保护的资源创建简单的Web应用程序的过程。
你会建立什么
您将构建一个Spring MVC应用程序,该应用程序使用由固定用户列表支持的登录表单来保护页面的安全。
你需要什么
-
约15分钟
-
最喜欢的文本编辑器或IDE
-
JDK 1.8或更高版本
-
您还可以将代码直接导入到IDE中:
如何完成本指南
像大多数Spring 入门指南一样,您可以从头开始并完成每个步骤,也可以绕过您已经熟悉的基本设置步骤。无论哪种方式,您最终都可以使用工作代码。
要从头开始 ,请继续使用Gradle构建 。
要跳过基础知识 ,请执行以下操作:
-
下载并解压缩本指南的源存储库,或使用Git对其进行克隆:
git clone https://github.com/spring-guides/gs-securing-web.git -
光盘进入
gs-securing-web/initial
完成后 ,您可以根据中的代码检查结果gs-securing-web/complete 。
用Gradle构建
用Gradle构建
首先,您设置一个基本的构建脚本。在使用Spring构建应用程序时,可以使用任何喜欢的构建系统,但是此处包含使用Gradle和Maven所需的代码。如果您都不熟悉,请参阅使用Gradle 构建Java项目或使用Maven构建Java项目 。
创建目录结构
在您选择的项目目录中,创建以下子目录结构;例如, mkdir -p src/main/java/hello在* nix系统上:
└── src
└── main
└── java
└── hello
创建一个Gradle构建文件
以下是最初的Gradle构建文件 。
build.gradle
buildscript {
repositories {
mavenCentral()
}
dependencies {
classpath("org.springframework.boot:spring-boot-gradle-plugin:2.1.6.RELEASE")
}
}
apply plugin: 'java'
apply plugin: 'eclipse'
apply plugin: 'idea'
apply plugin: 'org.springframework.boot'
apply plugin: 'io.spring.dependency-management'
bootJar {
baseName = 'gs-securing-web'
version = '0.1.0'
}
repositories {
mavenCentral()
}
sourceCompatibility = 1.8
targetCompatibility = 1.8
dependencies {
compile("org.springframework.boot:spring-boot-starter-thymeleaf")
compile("org.springframework.boot:spring-boot-starter-web")
testCompile("junit:junit")
testCompile("org.springframework.boot:spring-boot-starter-test")
testCompile("org.springframework.security:spring-security-test")
}Spring Boot gradle插件提供了许多方便的功能:
-
它收集类路径上的所有jar,并构建一个可运行的单个“über-jar”,这使执行和传输服务更加方便。
-
它搜索
public static void main()标记为可运行类的方法。 -
它提供了一个内置的依赖项解析器,用于设置版本号以匹配Spring Boot依赖项 。您可以覆盖所需的任何版本,但是它将默认为Boot选择的一组版本。
用Maven构建
用Maven构建
创建目录结构
在您选择的项目目录中,创建以下子目录结构;例如, mkdir -p src/main/java/hello在* nix系统上:
└── src
└── main
└── java
└── hello
pom.xml
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>org.springframework</groupId>
<artifactId>gs-securing-web</artifactId>
<version>0.1.0</version>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.1.6.RELEASE</version>
</parent>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
<properties>
<java.version>1.8</java.version>
</properties>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>Spring Boot Maven插件提供了许多方便的功能:
-
它收集类路径上的所有jar,并构建一个可运行的单个“über-jar”,这使执行和传输服务更加方便。
-
它搜索
public static void main()标记为可运行类的方法。 -
它提供了一个内置的依赖项解析器,用于设置版本号以匹配Spring Boot依赖项 。您可以覆盖所需的任何版本,但是它将默认为Boot选择的一组版本。
使用您的IDE进行构建
使用您的IDE进行构建
-
阅读如何将本指南直接导入Spring Tool Suite中 。
-
在IntelliJ IDEA中阅读如何使用本指南。
创建一个不安全的Web应用程序
在将安全性应用于Web应用程序之前,需要Web应用程序进行安全保护。本节中的步骤将引导您创建一个非常简单的Web应用程序。然后,在下一部分中使用Spring Security保护它。
该Web应用程序包括两个简单的视图:主页和“ Hello World”页面。主页在以下Thymeleaf模板中定义:
src/main/resources/templates/home.html
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org" xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
<title>Spring Security Example</title>
</head>
<body>
<h1>Welcome!</h1>
<p>Click <a th:href="@{/hello}">here</a> to see a greeting.</p>
</body>
</html>如您所见,此简单视图包含指向“ / hello”页面的链接。在以下Thymeleaf模板中定义了该模板:
src/main/resources/templates/hello.html
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org"
xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
<title>Hello World!</title>
</head>
<body>
<h1>Hello world!</h1>
</body>
</html>该Web应用程序基于Spring MVC。因此,您需要配置Spring MVC并设置视图控制器以公开这些模板。这是用于在应用程序中配置Spring MVC的配置类。
src/main/java/hello/MvcConfig.java
package hello;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
public class MvcConfig implements WebMvcConfigurer {
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/home").setViewName("home");
registry.addViewController("/").setViewName("home");
registry.addViewController("/hello").setViewName("hello");
registry.addViewController("/login").setViewName("login");
}
}的addViewControllers()方法(覆盖相同名称的方法WebMvcConfigurer )添加了四个视图控制器。两个视图控制器引用名称为“ home”的视图(在home.html ),另一个引用了名为“ hello”(在hello.html )。第四个视图控制器引用另一个名为“登录”的视图。您将在下一部分中创建该视图。
此时,您可以继续执行以使该应用程序可执行并运行该应用程序,而无需登录任何内容。
创建基本的简单Web应用程序后,您可以为其添加安全性。
设置Spring Security
假设您要防止未经授权的用户查看“ / hello”中的问候语页面。现在,如果用户单击主页上的链接,他们会看到问候,没有障碍可以阻止他们。您需要添加一个屏障,以强制用户登录才能看到该页面。
您可以通过在应用程序中配置Spring Security来实现。如果Spring Security在类路径中,则Spring Boot 将使用“基本”身份验证自动保护所有HTTP端点 。但是您可以进一步自定义安全设置。您需要做的第一件事是将Spring Security添加到类路径。
有了Gradle,这将是dependencies关闭:
build.gradle
dependencies {
...
compile("org.springframework.boot:spring-boot-starter-security")
...
}使用Maven,这将是一个额外的条目
pom.xml
<dependencies>
...
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
...
</dependencies>这是一个安全配置,可确保只有经过身份验证的用户才能看到秘密问候:
src/main/java/hello/WebSecurityConfig.java
package hello;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/home").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.permitAll();
}
@Bean
@Override
public UserDetailsService userDetailsService() {
UserDetails user =
User.withDefaultPasswordEncoder()
.username("user")
.password("password")
.roles("USER")
.build();
return new InMemoryUserDetailsManager(user);
}
}的WebSecurityConfig该类带有注释@EnableWebSecurity启用Spring Security的Web安全支持并提供Spring MVC集成。它也延伸WebSecurityConfigurerAdapter并覆盖了它的几种方法来设置网络安全配置的某些细节。
的configure(HttpSecurity)方法定义应该保护哪些URL路径,不应该保护哪些URL路径。具体而言,“ /”和“ / home”路径配置为不需要任何身份验证。所有其他路径必须经过验证。
用户成功登录后,他们将被重定向到之前要求身份验证的页面。有一个由指定的自定义“ /登录”页面loginPage() ,每个人都可以查看。
至于userDetailsService()方法,它会与一个用户建立一个内存用户存储。该用户的用户名为“ user”,密码为“ password”,角色为“ USER”。
现在我们需要创建登录页面。已经有一个用于“登录”视图的视图控制器,因此您只需要创建登录视图本身即可:
src/main/resources/templates/login.html
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org"
xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
<title>Spring Security Example </title>
</head>
<body>
<div th:if="${param.error}">
Invalid username and password.
</div>
<div th:if="${param.logout}">
You have been logged out.
</div>
<form th:action="@{/login}" method="post">
<div><label> User Name : <input type="text" name="username"/> </label></div>
<div><label> Password: <input type="password" name="password"/> </label></div>
<div><input type="submit" value="Sign In"/></div>
</form>
</body>
</html>如您所见,此Thymeleaf模板仅呈现一种捕获用户名和密码并将其发布到“ / login”的表单。根据配置,Spring Security提供了一个过滤器来拦截该请求并验证用户身份。如果用户认证失败,则页面被重定向到“ /登录?”。错误”,我们的页面会显示相应的错误消息。成功注销后,我们的应用程序将发送到“ /登录?注销”,我们的页面会显示相应的成功消息。
最后,我们需要为用户提供一种显示当前用户名和注销的方法。更新hello.html向当前用户问好并包含一个“退出”表单,如下所示
src/main/resources/templates/hello.html
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org"
xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
<title>Hello World!</title>
</head>
<body>
<h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
<form th:action="@{/logout}" method="post">
<input type="submit" value="Sign Out"/>
</form>
</body>
</html>我们通过使用Spring Security与HttpServletRequest#getRemoteUser() 。“注销”表单将POST提交到“ /注销”。成功注销后,它将把用户重定向到“ /登录?登出”。
使应用程序可执行
尽管可以将该服务打包为传统的Web应用程序归档文件或WAR文件,以部署到外部应用程序服务器,但是下面演示的更简单的方法创建了一个独立的应用程序 。您将所有内容打包在一个可运行的JAR文件中,由一个好的旧Java驱动main()方法。在此过程中,您将使用Spring的支持将Tomcat servlet容器作为HTTP运行时嵌入,而不是部署到外部实例。
src/main/java/hello/Application.java
package hello;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
@SpringBootApplication
public class Application {
public static void main(String[] args) throws Throwable {
SpringApplication.run(Application.class, args);
}
}@SpringBootApplication是一个方便注释,它添加了以下所有内容:
-
@Configuration:将类标记为应用程序上下文的Bean定义的源。 -
@EnableAutoConfiguration:告诉Spring Boot根据类路径设置,其他bean和各种属性设置开始添加bean。例如,如果spring-webmvc在类路径上,此注释将应用程序标记为Web应用程序并激活关键行为,例如设置DispatcherServlet。 -
@ComponentScan:告诉Spring在其中寻找其他组件,配置和服务hello包,让它找到控制器。
的main()方法使用Spring Boot的SpringApplication.run()启动应用程序的方法。您是否注意到没有一行XML?没有web.xml文件。该Web应用程序是100%纯Java,因此您无需处理任何管道或基础结构。
构建可执行的JAR
您可以使用Gradle或Maven从命令行运行该应用程序。您还可以构建一个包含所有必需的依赖项,类和资源的可执行JAR文件,然后运行该文件。构建可执行的jar使得在整个开发生命周期中,跨不同环境等等的情况下,可以轻松地将服务作为应用程序进行发布,版本化和部署。
如果您使用Gradle,则可以使用./gradlew bootRun 。或者,您可以通过使用以下命令构建JAR文件: ./gradlew build然后运行JAR文件,如下所示:
如果使用Maven,则可以通过使用以下命令运行应用程序./mvnw spring-boot:run 。或者,您可以使用以下命令构建JAR文件: ./mvnw clean package然后运行JAR文件,如下所示:
| 此处描述的步骤将创建可运行的JAR。您还可以构建经典的WAR文件 。 |
... app starts up ...
应用程序启动后,将浏览器指向http:// localhost:8080 。您应该看到主页:
当您单击链接时,它会尝试将您带到以下位置的问候页面/hello 。但是由于该页面是安全的,并且您尚未登录,因此将您带到登录页面:
| 如果您使用不安全的版本跳到此处,那么您将不会看到此登录页面。随时备份和编写其余的基于安全性的代码。 |
在登录页面上,通过分别在用户名和密码字段中输入“ user”和“ password”,以测试用户身份登录。提交登录表单后,将对您进行身份验证,然后转到问候页面:
如果单击“注销”按钮,则您的身份验证将被撤消,并且将返回到登录页面,并显示一条消息,指示您已注销。
摘要
恭喜你!您已经开发了一个受Spring Security保护的简单Web应用程序。
也可以看看
以下指南也可能会有所帮助:
是否要编写新指南或为现有指南做出贡献?查看我们的贡献准则 。
| 所有指南均以代码的ASLv2许可证和写作的Attribution,NoDerivatives创作共用许可证发布 。 |