使用Spring Security搭建极简的安全网站教程

Spring Security 简介

Spring Security 项目是一个安全框架，提供了认证，授权和常见的网络攻击保护功能。在基于 Spring 开发的应用中，Spring Security 是一个被广泛应用的安全框架，成为了实际的标准。与所有 Spring 项目类似，Spring Security 易于扩展，满足定制要求。主要特点如下：

• 对认证和授权的全面、可扩展的支持
• 防范会话固定攻击、点击劫持攻击和跨站点伪造攻击等风险
• Servlet API 集成
• Spring Web MVC 集成
• 还有更多…

本文将搭建一个极简的项目，初步体验一下 Spring Security.

创建项目

开发工具使用 IntelliJ IDEA，也可以选择自己喜欢的集成开发工具。

首先，打开新建项目向导，选择 Spring Initializr 向导。
然后，填写项目的配置信息。
接着，选择 Spring Web 和 Spring Security 两个依赖模块。

Spring Security 依赖

最后，选择项目的保存路径，完成项目创建。

安全配置

完成项目创建后，在 pom.xml 中，会出现下面两个依赖配置，分别对应 Spring Security 和 Spring Web.

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

首次运行项目

直接运行上面创建的项目，访问项目首页：http://localhost:8080/. 你会发现，出现的不是首页，而是一个登录页面（虽然样子有点丑）。

Spring Security 默认登录页面

这就说明了一个问题。虽然我们还没有写一行代码，但是，首页的 URL 已经被 Spring Security 保护起来了，需要登录才能访问。

那么，如何登录呢？Spring Security 默认为我们创建了一个用户：user。该用户的登录口令需要从控制台输出查询：

Using generated security password: 0d243837-c61c-4717-b30a-9f6ff783b69e

登录成功后，出现下面的页面。

未配置首页

因为我们没有配置首页的 URL 路径，所以首页显示有问题。但是，用户登录已经成功了，起到了资源保护作用。

添加控制器

接下来，我们添加一个控制器，让首页能够正常显示。

@RestController
public class HomeController {
  @GetMapping("/")
  public String home() {
    return "Welcome to Learn Spring Security.";
  }
}

再次运行项目

重新启动运行项目，访问首页。再次登录成功后，首页正常显示。

已配置首页

注意：每次启动项目，产生的随机登录口令都不相同。因此，重启项目后，需要重新拷贝控制台中输出的登录口令。

源代码 Github: https://github.com/nilpoint/spring-security-sample

小结

本文创建了一个基本的 Web 访问安全控制项目，了解了 Spring Security 对资源保护 的一些默认配置行为。下一篇文章中，我们就对这些默认行为做进一步研究，更多关于Spring Security搭建网站的资料请关注脚本之家其它相关文章！

最新评论