【springboot】整合spring-security_spring security整合springboot

Spring Security 是一个强大且高度可定制的安全框架，用于保护基于 Spring Boot 的应用程序。以下是整合 Spring Boot 与 Spring Security 的基本步骤：

1. 添加依赖

   在 Maven 或 Gradle 构建文件中添加 Spring Security 依赖：

   Maven:

   <dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-security</artifactId>
   </dependency>
   1
   2
   3
   4

   Gradle:

   implementation 'org.springframework.boot:spring-boot-starter-security'
   1

2. 配置 Spring Security

   创建一个配置类并继承 WebSecurityConfigurerAdapter，覆盖 configure(HttpSecurity http) 方法以定义安全规则。以下是一个简单的登录认证配置示例：

   @Configuration
   @EnableWebSecurity
   public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
       @Override
       protected void configure(HttpSecurity http) throws Exception {
           http
               .authorizeRequests()
                   .antMatchers("/", "/home").permitAll()
                   .anyRequest().authenticated()
                   .and()
               .formLogin()
                   .loginPage("/login")
                   .permitAll()
                   .and()
               .logout()
                   .permitAll();
       }
   
       @Autowired
       public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
           // 使用内存用户存储，仅作演示，实际应用中可能需要从数据库加载用户信息
           auth.inMemoryAuthentication()
               .withUser("user").password("{noop}password").roles("USER");
       }
   }
   1
   2
   3
   4
   5
   6
   7
   8
   9
   10
   11
   12
   13
   14
   15
   16
   17
   18
   19
   20
   21
   22
   23
   24
   25
   26

   上述配置指定了：

   • / 和 /home 路径对所有人开放。
   • 其他任何请求都需要认证。
   • 登录页面为 /login，任何人都可以访问。
   • 用户可通过表单登录，密码使用明文（{noop} 表示不加密，生产环境中应使用BCryptPasswordEncoder等加密工具）。
   • 配置了一个内存用户 “user”，密码为 “password”，拥有 “USER” 角色。

3. 配置登录和登出页面

   创建登录和登出页面视图，例如 src/main/resources/templates/login.html 和 logout.html，并配置登录成功和失败后的跳转页面。

4. 自定义用户DetailsService

   在实际项目中，您可能需要从数据库或其他存储中加载用户信息。为此，您可以实现 UserDetailsService 接口，并覆盖 loadUserByUsername 方法，从数据库加载用户详细信息。

5. 配置权限管理

   如果需要细粒度的权限控制，可以使用 .hasRole() 或 .hasAuthority() 方法，也可以使用 @PreAuthorize 和 @PostAuthorize 等注解实现方法级别的权限控制。

通过上述步骤，您可以在 Spring Boot 应用中实现基本的登录认证功能。后续可根据实际需求进一步定制身份验证、授权、会话管理等方面的功能。