springboot中使用thymeleaf-extras-springsecurity实现权限管理

环境

springboot:2.2.5

thymeleaf-extras-springsecurity:5.x

jdk:1.8

maven:3.6.2

导入依赖

pom.xml中导入thymeleaf和security还有thymeleaf-security整合的相关依赖

<!--thymeleaf-security整合包-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>
        <!--security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!--thymeleaf-->
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>

security配置

继承 WebSecurityConfigurerAdapter
,编写security配置

在config包下新建一个自命名的配置文件,比如SecurityConfig类,继承WebSecurityConfigurerAdapter,重写父类方法,可以配置http拦截请求、登录拦截,权限的拦截等等自定义功能,我这里简单写个demo,如下

package com.ghostwang.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

// aop 拦截器

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //http访问权限
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 首页所有人可以访问, 功能页只有对应有权限的人才能访问
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");


        // 没有权限默认跳到登录页
        http.formLogin();


        // 开启注销功能
        //http.logout().deleteCookies("remove").invalidateHttpSession(true);
        http.logout().logoutSuccessUrl("/");
    }

    // 认证
    // 登录密码需要加密
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        // 这些数据正常应该从数据库中取
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("wangcong").password(new BCryptPasswordEncoder().encode("123456")).roles("vip3","vip2")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("root")).roles("vip1","vip2","vip3")
                .and()
                .withUser("admin").password(new BCryptPasswordEncoder().encode("admin")).roles("vip1");
    }
}

更多的配置信息可以点进父类的源码,其中的注释非常详细!

thymeleaf中使用security

github官方地址

一些常用的属性:

// 展示登录名
<div th:text="${#authentication.name}"></div>

// 使用属性获取登录名
<div sec:authentication="name">
  The value of the "name" property of the authentication object should appear here.
</div>

// 条件判断,判断是否有ADMIN这个角色
<div th:if="${#authorization.expression('hasRole(''ROLE_ADMIN'')')}">
  This will only be displayed if authenticated user has role ROLE_ADMIN.
</div>

// 使用属性判断是否有相应的角色(权限)
<div sec:authorize="${hasRole(#vars.expectedRole)}">
  This will only be displayed if authenticated user has a role computed by the controller.
</div>

// 获取登录用户的相应权限(角色)
<div th:text="${#authentication.getAuthorities()}"></div>

更多的可以看官网或者源码获取。

登录注销小案例

<!--登录注销-->
            <div class="right menu">
                <!--如果未登录-->
                <div sec:authorize="${!isAuthenticated()}">
                    <a class="item" th:href="@{/toLogin}">
                        <i class="address card icon"></i> 登录
                    </a>
                </div>
                <!--如果一已登录,显示登录名加注销按钮-->
                <div sec:authorize="${isAuthenticated()}">
                    <a class="item">
                        用户名: <span th:text="${#authentication.name}"></span>
                        角色: <span th:text="${#authentication.getAuthorities()}"></span>
                    </a>
                </div>
                <div sec:authorize="${isAuthenticated()}">
                    <a class="item" th:href="@{/logout}">
                        <i class="sign-out icon"></i> 注销
                    </a>
                </div>
            </div>

记录一个踩过的小坑:

thymeleaf-security如果是使用 4.x
版本的,那么html文件中的命名空间xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4
,如果是用的 5.x
的版本,html头文件申明的命名空间应该是 xmlns:sec="http://www.thymeleaf.org/extras/spring-security"

原文 

https://segmentfault.com/a/1190000022067693

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » springboot中使用thymeleaf-extras-springsecurity实现权限管理

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址