一、建立專案並匯入依賴

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>

二、相關配置和程式碼

在建立完專案時，我們得springboot專案所有介面都被保護起來了，如果要想訪問必須登陸，使用者名稱預設是user，密碼在專案啟動時生成在控制檯。

1）我們可以設定自己得賬戶和密碼，有兩種方法配置

1.1）在application.properties中配置

spring.security.user.name=fernfei

spring.security.user.password=fernfei

spring.security.user.roles=admin

1.2）在配置類中配置

　　注：需要在配置類上加上@configuration註解

步驟1.2.1）

建立SecurityConfig繼承WebSecurityConfigurerAdpater

步驟1.2.2）

實現WebSecurityConfigurerAdpater中的configure(AuthenticationManagerBuilder auth)方法

步驟1.2.3）

從 Spring5 開始，強制要求密碼要加密，如果非不想加密，可 以使用一個過期的 PasswordEncoder 的例項

NoOpPasswordEncoder，但是不建議這麼做，畢竟不安全。

這樣就算完成自己定義賬戶密碼了。

2）HttpSecurity配置

2.1）實現config(HttpSecurity http）方法

2.2）相關程式碼

@Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/admin/**").hasRole("admin")
        .antMatchers("/db/**").hasAnyRole("admin","user")
        .antMatchers("/user/**").access("hasAnyRole('admin','user')")
        //剩下的其他路徑請求驗證之後就可以訪問
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginProcessingUrl("/dologin")
        .loginPage("/login")
        .usernameParameter("uname")
        .passwordParameter("pwd")
        .successHandler(new AuthenticationSuccessHandler() {
          @Override
          public void onAuthenticationSuccess(HttpServletRequest request,HttpServletResponse response,Authentication authentication) throws IOException,ServletException {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter pw = response.getWriter();
            Map<String,Object> map = new HashMap<String,Object>();
            map.put("status",200);
            map.put("msg",authentication.getPrincipal());
            pw.write(new ObjectMapper().writeValueAsString(map));
            pw.flush();
            pw.close();
          }
        })
        .failureHandler(new AuthenticationFailureHandler() {
          @Override
          public void onAuthenticationFailure(HttpServletRequest request,AuthenticationException exception) throws IOException,401);
            if (exception instanceof LockedException) {
              map.put("msg","賬戶被鎖定，登陸失敗！");
            } else if (exception instanceof BadCredentialsException) {
              map.put("msg","賬戶或者密碼錯誤，登陸失敗！");
            } else if (exception instanceof DisabledException) {
              map.put("msg","賬戶被禁用，登陸失敗！");
            } else if (exception instanceof AccountExpiredException) {
              map.put("msg","賬戶已過期，登陸失敗！");
            } else if (exception instanceof CredentialsExpiredException) {
              map.put("msg","密碼已過期，登陸失敗！");
            } else {
              map.put("msg","登陸失敗！");
            }
            pw.write(new ObjectMapper().writeValueAsString(map));
            pw.flush();
            pw.close();
          }
        })
        .permitAll()
        .and()
        .csrf().disable();
  }

2.3）程式碼解釋

2.3.1）/admin/**路徑下的必須有admin角色才能訪問

.antMatchers("/admin/**").hasRole("admin")

2.3.2）/db/**和/user/**下的路徑，admin和user角色都可以訪問

.antMatchers("/db/**").hasAnyRole("admin","user")

.antMatchers("/user/**").access("hasAnyRole('admin','user')")

2.3.3）表示剩下的任何請求只要驗證之後都可以訪問

.anyRequest().authenticated()

2.3.4）開啟表單登陸

.formLogin()

2.3.5）登陸處理的路徑

.loginProcessingUrl("/dologin")

2.3.6）登陸的頁面，如果不寫會使用預設的登陸頁面

.loginPage("/login")

2.3.7）定義登入時，使用者名稱的 key，預設為 username

.usernameParameter("uname")

2.3.7）定義登入時，使用者名稱的 key，預設為 password

.passwordParameter("pwd")

2.3.8）登陸成功的處理（用於前後端分離時，直接返回json

.successHandler()

紅框裡面的類是存放登陸成功後的使用者資訊

2.3.9）下圖就是登陸成功後直接返回url的方法

2.3.10）同上，登陸失敗的處理

.failureHandler()

判斷屬於哪個異常可以更友好給使用者作出提示

可以進入這個類按Ctrl+H檢視類的繼承關係，方便更好使用

2.3.11）permitALL()表示放開和登陸有關的介面，csrf是關閉csrf，以便我們在 postman類似的軟體測試被系統給攔截了

.permitAll()

.and()

.csrf().disable();

3）controller層設定一些介面以便我們測試

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支援我們。