要理解Spring Security,我们先来看类图:
security类图.png
spring security 3.2 引入了java配置方案。要求只要是实现了WebSecurityConfigurer的bean都可以用来配置Spring Security。
WebSecurityConfigurerAdapter 实现了WebSecurityConfigurer,因此,扩展这个类,是最简单的配置SpringSecurity的方法。
package com.mingpin.web.userpermissions.security;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}
此时,系统是被完全锁定的,并且log提供的user也会失效。
我们需要重载configure()方法,来配置系统。
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
super.configure(auth);
}
@Override
public void configure(WebSecurity web) throws Exception {
super.configure(web);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
super.configure(http);
}
}
解释:
AuthenticationManagerBuilder :通过重载,配置user-detail服务。(用户存储权限验证)
WebSecurity :通过重载,配置Spring Security的Filter链。
HttpSecurity :通过重载,配置如何通过拦截器保护请求。
系统此时需要:
- 配置用户(用户名、密码)。并且可以提供用户权限。
- 指定哪些请求需要认证,哪些不需要,以及需要的权限。
- 提供自定义的登录页面,替代原先的登录页面。
