springboot2.0 是包含并基于spring 5 的,而且M7相对于M2也有很不小的改变
freemarker的使用过程中,也有不小的挑战,因为资料也不算特别多,而且对freemarker的特性也不是很熟
对于前端的框架,因为好久没用,也是不太熟悉。所以,这三个星期的实战,不太顺利,多次踩坑还没有太多的资料可查。
首先,kotlin下,springBoot的启动方式有以下两种,
1 SpringApplication.run(DemoApplication::class.java,*args)
2 runApplication
方式1,在java下也能使用,在java下的写法 SpringApplication.run(DemoAllication.class, args)
方法2,只能在kotlin下使用
然后,指定的类文件最好是有@SpringBootApplication 这个注解的类文件,虽然指定其他的controller文件之类的,也能启动SpringBoot,但是那样需要额外的配置
(需要增加自动扫描的注解
//@EnableAutoConfiguration
//@ComponentScan(basePackages = ["com.xyz"])
//@EntityScan("com.xyz.entity")
//@EnableJpaRepositories("com.xyz.repository")
,而且那个启动方式本身就是错误的)
@Resource 比 @Autowired 更有效,虽然这两个注解的用法基本相等,具体原因需要补下spring的原来。。。
在kotlin里,自动装载的Bean必须要先实例化或者lateinit(缓初始化)
在spring4.3 之后,加入了 @GetMapping @PostMapping等注解来简化 @RequestMapping
用@Configuration注解该类,等价 与XML中配置beans;用@Bean标注方法等价于XML中配置bean。
需要注册简单请求转发跳转View的RequestMapping 可以扩展WebMvnConfigurer接口进行重写(override)
在springBoot 2 中需要注意,因为使用的是spring5了,原先的方法的是 继承 webMvcConfigurerAdapter抽象类,现在是直接扩展webMvcConfigurer这个接口。原先的方式还能生效,不过已经被5弃用了(@deprecated)
之前需要继承抽象类完成的工作,现在可以全部通过扩展接口来完成。
通过创建类继承WebSecurityConfigurerAdapter这个抽象类,可以对Spring Security 框架下的登录,忽略保护等操作进行修改。
登录页面的修改,需要重写(override)configure(http :HttpSecurity)具体的教材,可以查询网络,这类教程比较多。
举个例子:
override funconfigure(http: HttpSecurity) {
http
.authorizeRequests()
.antMatchers("/").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.permitAll()
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login?logout")
.permitAll()
.and()
.httpBasic()
}
上面的代码片段里,{ .authorizeRequests().antMatchers("/").permitAll().anyRequest().authenticated()}放行了“/”,但是要求了其他任意请求(anyRequest)都是需要登录(authenticated)才能查看的。
{.formLogin().loginPage("/login").permitAll()}“formLogin”说明设置的是登录页面,指定登录页面的mapping是“/login”,并且登录页面的mapping准许任何人访问。
{.logout().logoutUrl("/logout").logoutSuccessUrl("/login?logout").permitAll()},logout功能的mapping“/logout”,注销后跳转页面“/login?logout”,并且登出页面准许任何情况下访问(其实应该是不需要permitAll的,按道理来说,登录了才能注销嘛)
重写configure(web : WebSecurity)可以配置webSecurity,比如忽略某些静态文件的访问控制,或者其他,具体参见网上的各路教程,以下只给个简单的例子
override funconfigure(web: WebSecurity) {
web.ignoring()
.antMatchers("/static/**")
.antMatchers("/register/**")
.antMatchers("/error")
}
这个例子是忽略了三个地址,这三个地址不在权限控制之列。
当然,还有最关键的一个地方没讲,继承WebSecurityConfigurerAdapter最先要做的应该是通过重写(override)configure(auth : AuthenticationManagerBuilder)方法,从而实现,替换spring Security框架自带的userDetailsService,从而使用自己的用户服务,使用自己的用户认证。(非常重要)
@Bean funuserService() : UserDetailsService = UserService()
override funconfigure(auth : AuthenticationManagerBuilder) {
auth.userDetailsService(userService())
}
自己写的userDetailsService类也是需要扩展UserDetailsService接口的
控制器类文件在类之前要加@Controller,REST风格的控制器文件,要在前面加@RestController,REST风格的地址方法返回的对象,都会被转换成JSON对象(除了返回对象为 字符串,数字等基础类型这个情况)
对于普通控制器,方法返回的可以是String字符串,也可以是ModelAndView。当然,如果是ajax通信,也可以返回一个实体对象。
spring boot 2 使用的是spring5 ,spring 5 的security,所有的post提交,必须要传token“_csrf.token”,token的name为“_csrf”,不传token的POST提交都会被405,拒绝掉。
spring security 5 中,使用默认的密码解析必须传解码方法,密码的格式为{decoder}password
例如,解析不加密的password的密码应该包装成
{noop}password
,除非你集成并扩展框架的原来的方法,否则都要遵守这个规则,spring security5系统,提供了包括解码在内的5种加密方法,具体请看官方文档。
在spring boot 2 中,已经不能通过写配置文件来忽略某些地址的安全控制,security.*相关的配置已经全部被弃用
在2中,默认集成的hibernate已经是hibernate5了,请注意5的特性。JPA的配置也是曾经的版本有变化。
以下是MYSQL数据库,jpa的配置,请注意,网上的教程案例中的spring.jpa.hibernate.naming.strategy也已经被弃用了。请换成implicit-strategy和physical-strategy
spring.jpa.database=MYSQL
spring.jpa.show-sql=true
spring.jpa.hibernate.ddl-auto=update
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
spring.jpa.hibernate.use-new-id-generator-mappings=true
spring.jpa.hibernate.naming.implicit-strategy=org.hibernate.boot.model.naming.ImplicitNamingStrategyLegacyJpaImpl
spring.jpa.hibernate.naming.physical-strategy=org.hibernate.boot.model.naming.PhysicalNamingStrategyStandardImpl
actuator模块M7版本比M2版本也有很大的变化,其中默认的mapping 由“/application”改成了“/actuator”
web端口下,默认打开的endpoint也很少只有health和status。beans等其他的监控地址,需要另外通过配置来打开。
例子如下:
management.endpoints.web.base-path=/application
management.endpoints.web.expose=*
更具体的情况可以参考官方资料。
以下代码是更改服务端口和“/static”的mapping地址的两条配置
server.port= 8000
spring.mvc.static-path-pattern=/static/**
freemarker模版可以使用tld,但是首先需要注册tld文件的地址
需要扩展WebMvcConfigurer接口,代码片段如下
@Autowired
private varconfigurer: FreeMarkerConfigurer = FreeMarkerConfigurer()
@PostConstruct
funfreeMarkerConfigurer(){
vartlds : MutableList
tlds.add("/META-INF/security.tld")
valtaglibFactory : TaglibFactory =configurer.taglibFactory
taglibFactory.classpathTlds= tlds
if(taglibFactory.objectWrapper==null){
taglibFactory.objectWrapper= configurer.configuration.objectWrapper
}
}
这个是写在class WebMvcConfig : WebMvcConfigurer 中的
然后需要在使用 security.tld文件的ftl文件中加入
security=JspTaglibs["http://www.springframework.org/security/tags";]/>
spring security 5 的tlds的lib也有比较大的更改,之前普遍写法
security.authorizeifAnyGranted="ROLE_ADMIN,ROLE_ADD_FILM">
@security.authorize>
已经无效了,只能用下面的方式
security.authorize access="hasRole('ROLE_ADMIN')">
@security.authorize>
其他变化,也请看官方文档,没有细看
建议引入的另外一个ftl文件是
"/spring.ftl" as spring />
这个可以解析当前地址之类的,这个是spring提供的ftl文件,便于MVC集成ftl模版文件
freemarker模版中,通过session获取登录后,用户名的方法。
${Session.SPRING_SECURITY_CONTEXT.authentication.principal.username}
想在session中获取更多的信息,需要重写或者扩展相关的userdetailsService和集成了UserDetails类的那个文件
注意,在使用freemarker的??符号的时候例如如果Session本身就是null,那么这个FTL命令还是会报错,有??判断某个变量的时候,如果这个变量有n个父级,父级有null的情况会报错。
閱讀更多 程序員小新人學習 的文章
