SpringSecurity
controller中登录请求配置
@RequestMapping("/toLogin") public String toLogin(){ return "views/login"; }
.新建配置类SecurityConfig,配置用户登录,实现不同用户不同访问权限
//AOP实现,不更改其他代码,安全框架代替拦截器
//Enable注解表示开启功能
@EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter{ //授权 @Override protected void configure(HttpSecurity http) throws Exception { //首页所有人可以访问,功能页指定权限访问 //请求授权规则 http.authorizeRequests() .antMatchers("/").permitAll() .antMatchers("/level1/**").hasRole("vip1") .antMatchers("/level2/**").hasRole("vip2") .antMatchers("/level3/**").hasRole("vip3"); //没有权限默认跳转至登录页 http.formLogin(); } //认证 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { //此处手动添加用户名密码,一般从DB中取出 //密码编码:passwordEncoder //springsecurity中新增很多加密方法 auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()) .withUser("alan").password(new BCryptPasswordEncoder().encode("123")).roles("vip1") .and() .withUser("root").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip2","vip3"); } }
配置注销功能,引入springsecurity-thymeleaf的整合包,启用页面中sec的标签功能,同时加入申明,
显示登录或注销按钮的判断逻辑,已经登录则只显示注销,没有登录则只显示登录
<!-- 可能存在版本兼容问题,可尝试使用springsecurity5--> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</artifactId> <version>3.0.4.RELEASE</version> </dependency>
//认证中开启注销功能 http.logout().logoutSuccessUrl("/");
注销可能存在报错,原因是需要关闭csrf功能,CSRF跨站点请求伪造
页面上配置sec,指定权限显示指定内容
自定义登录页面,将默认的login指向tologin,开启记住用户名密码功能,
此处注意前后端传参的参数名不一致问题
默认的login页面,自带参数username和password,如果我们在前端的用户名和密码参数名和默认不一致,
则必须在自定义登录页的时候配置自定义的参数名