使用Spring Security搭建极简的安全网站教程
作者:品品下午茶
Spring Security 简介
Spring Security 项目是一个安全框架,提供了认证,授权和常见的网络攻击保护功能。在基于 Spring 开发的应用中,Spring Security 是一个被广泛应用的安全框架,成为了实际的标准。与所有 Spring 项目类似,Spring Security 易于扩展,满足定制要求。主要特点如下:
- 对认证和授权的全面、可扩展的支持
- 防范会话固定攻击、点击劫持攻击和跨站点伪造攻击等风险
- Servlet API 集成
- Spring Web MVC 集成
- 还有更多…
本文将搭建一个极简的项目,初步体验一下 Spring Security.
创建项目
开发工具使用 IntelliJ IDEA,也可以选择自己喜欢的集成开发工具。
首先,打开新建项目向导,选择 Spring Initializr 向导。
然后,填写项目的配置信息。
接着,选择 Spring Web 和 Spring Security 两个依赖模块。
Spring Security 依赖
最后,选择项目的保存路径,完成项目创建。
安全配置
完成项目创建后,在 pom.xml 中,会出现下面两个依赖配置,分别对应 Spring Security 和 Spring Web.
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>首次运行项目
直接运行上面创建的项目,访问项目首页:http://localhost:8080/. 你会发现,出现的不是首页,而是一个登录页面(虽然样子有点丑)。
Spring Security 默认登录页面
这就说明了一个问题。虽然我们还没有写一行代码,但是,首页的 URL 已经被 Spring Security 保护起来了,需要登录才能访问。
那么,如何登录呢?Spring Security 默认为我们创建了一个用户:user。该用户的登录口令需要从控制台输出查询:
Using generated security password: 0d243837-c61c-4717-b30a-9f6ff783b69e
登录成功后,出现下面的页面。
未配置首页
因为我们没有配置首页的 URL 路径,所以首页显示有问题。但是,用户登录已经成功了,起到了资源保护作用。
添加控制器
接下来,我们添加一个控制器,让首页能够正常显示。
@RestController
public class HomeController {
@GetMapping("/")
public String home() {
return "Welcome to Learn Spring Security.";
}
}
再次运行项目
重新启动运行项目,访问首页。再次登录成功后,首页正常显示。
已配置首页
注意:每次启动项目,产生的随机登录口令都不相同。因此,重启项目后,需要重新拷贝控制台中输出的登录口令。
源代码 Github: https://github.com/nilpoint/spring-security-sample
小结
本文创建了一个基本的 Web 访问安全控制项目,了解了 Spring Security 对资源保护 的一些默认配置行为。下一篇文章中,我们就对这些默认行为做进一步研究,更多关于Spring Security搭建网站的资料请关注脚本之家其它相关文章!