Spring Security权限控制框架使用指南.docx

第

SpringSecurity权限控制框架使用指南

在常用的后台管理系统中，通常都会有访问权限控制的需求，用于限制不同人员对于接口的访问能力，如果用户不具备指定的权限,则不能访问某些接口。

本文将用waynboot-mall项目举例，给大家介绍常见后管系统如何引入权限控制框架SpringSecurity。大纲如下，

一、什么是SpringSecurity

SpringSecurity是一个基于Spring框架的开源项目，旨在为Java应用程序提供强大和灵活的安全性解决方案。SpringSecurity提供了以下特性：

认证：支持多种认证机制，如表单登录、HTTP基本认证、OAuth2、OpenID等。

授权：支持基于角色或权限的访问控制，以及基于表达式的细粒度控制。

防护：提供了多种防护措施，如防止会话固定、点击劫持、跨站请求伪造等攻击。

集成：与Spring框架和其他第三方库和框架进行无缝集成，如SpringMVC、Thymeleaf、Hibernate等。

二、如何引入SpringSecurity

在waynboot-mall项目中直接引入spring-boot-starter-security依赖，

dependencies

dependency

groupIdorg.springframework.boot/groupId

artifactIdspring-boot-starter-security/artifactId

version3.1.0/version

/dependency

/dependencies

三、如何配置SpringSecurity

在SpringSecurity3.0中要配置SpringSecurity跟以往是有些不同的，比如不在继承WebSecurityConfigurerAdapter。在waynboot-mall项目中，具体配置如下，

@Configuration

@EnableWebSecurity

@AllArgsConstructor

@EnableMethodSecurity(securedEnabled=true,jsr250Enabled=true)

publicclassSecurityConfig{

privateUserDetAIlsServiceImpluserDetailsService;

privateAuthenticationEntryPointImplunauthorizedHandler;

privateJwtAuthenticationTokenFilterjwtAuthenticationTokenFilter;

privateLogoutSuccessHandlerImpllogoutSuccessHandler;

@Bean

publicSecurityFilterChainfilterChain(HttpSecurityhttpSecurity)throwsException{

httpSecurity

//cors启用

.cors(httpSecurityCorsConfigurer-{})

.csrf(AbstractHttpConfigurer::disable)

.sessionManagement(httpSecuritySessionManagementConfigurer-{

httpSecuritySessionManagementConfigurer.sessionCreationPolicy(SessionCreationPolicy.STATELESS);

.exceptionHandling(httpSecurityExceptionHandlingConfigurer-{

httpSecurityExceptionHandlingConfigurer.authenticationEntryPoint(unauthorizedHandler);

//过滤请求

.authorizeHttpRequests(authorizationManagerRequestMatcherRegistry-{

authorizationManagerRequestMatcherRegistry

.requestMatchers(/favicon.