Spring Security 自定义资源服务器实践过程

下面我为你详细讲解“Spring Security 自定义资源服务器实践过程”的完整攻略。

前言

Spring Security 是一款非常流行的安全框架，可以帮助我们管理应用程序中的用户认证、授权、攻击防护等方面的安全问题。其中，Spring Security 的资源服务器模块可以帮助我们提供对受保护资源的安全访问控制机制，本文就是围绕如何自定义资源服务器实现权限控制进行的。

环境准备

在开始之前，需要准备好以下环境：

• Java 8+
• Maven 3+
• Spring Boot 2.4.2+
• Spring Security 5.4.2+

实现过程

步骤一：创建基本项目

首先，我们需要使用 Spring Initializr 创建一个基本的项目，具体可以参考官方文档，这里简要介绍一下要选择的选项：

• Project：Maven Project
• Language：Java
• Spring Boot：2.4.2+
• Group：填写自己的 groupId
• Artifact：填写自己的 artifactId
• Packaging：jar
• Java：8+

• Dependencies：选择以下依赖

• Spring Web

• Spring Security
• Spring Data JPA
• H2 Database

步骤二：实现实体类和仓库类

实体类非常简单，只需要包含 id、username、password、role 四个属性即可，其中 role 属性表示用户的角色：

@Entity
public class User {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String username;
    private String password;
    private String role;

    // 省略 getter 和 setter
}

仓库类则需要继承 JpaRepository，并且提供一个根据用户名查找用户的方法：

@Repository
public interface UserRepository extends JpaRepository<User, Long> {
    User findByUsername(String username);
}

步骤三：实现 Spring Security 配置类

接下来，我们需要实现一个 Spring Security 配置类，用于定义资源服务器的配置。在配置类中，我们需要实现以下两个方法：

• configure(HttpSecurity http)：用于配置 HTTP 请求相关的安全行为。
• configure(ResourceServerSecurityConfigurer resources)：用于配置资源服务器相关的安全行为。

具体代码如下：

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {
    @Autowired
    private UserRepository userRepository;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/api/**").authenticated()
                .anyRequest().permitAll()
                .and().csrf().disable();
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.authenticationEntryPoint(new RestAuthenticationEntryPoint());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public UserDetailsService userDetailsService() {
        return username -> {
            User user = userRepository.findByUsername(username);
            if (user == null) {
                throw new UsernameNotFoundException("username not found");
            }
            return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), Collections.emptyList());
        };
    }
}

上面的配置中，我们定义了一个 /api/** 的请求需要进行身份验证，其他的请求则不需要身份验证。为了在进行身份验证时能够自动检查并使用数据库中的用户信息，我们还需要实现 UserDetailsService 接口，具体可以参考上面的代码实现。

另外，还需要实现一个 RestAuthenticationEntryPoint 类，用于当身份验证失败时，返回一个“401 Unauthorized”响应。代码实现如下：

public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
    }
}

步骤四：实现访问受保护资源的接口

最后，我们需要实现一些访问受保护资源的接口，以验证上面的配置是否有效。由于我们之前定义了 /api/** 的请求需要进行身份验证，因此可以随便选一个 RESTful 接口作为示例，代码实现如下：

@RestController
@RequestMapping("/api")
public class ApiController {
    @GetMapping("/hello")
    public String hello() {
        return "Hello, World!";
    }

    @PreAuthorize("hasAnyAuthority('ROLE_ADMIN')")
    @GetMapping("/admin")
    public String admin() {
        return "Hello, Admin!";
    }
}

上面的代码中，我们定义了一个 /api/hello 的接口可以随意访问，而 /api/admin 的接口则需要用户具有“ROLE_ADMIN”角色才能够访问。可以通过修改用户实体类中的 role 属性，来模拟用户的角色。

步骤五：启动并测试应用程序

最后，启动应用程序，访问 /api/hello 和 /api/admin 接口，分别验证是否能够正常访问和被拒绝访问。如果一切正常，那么你已经成功实现了一个基于 Spring Security 的自定义资源服务器，用于实现权限控制。

可以通过 Postman 等接口测试工具来测试接口的访问权限，例如使用一个受保护的接口 /api/admin，当使用不具有 ROLE_ADMIN 角色的用户进行访问时，会被返回 401 Unauthorized 的错误码。

示例说明

下面，我将给出两个示例，用于说明如何在实现过程中遇到问题时进行解决。

示例一：注入 UserRepository 失败

在实现过程中，我们需要在 ResourceServerConfig 类中注入一个 UserRepository，用于从数据库中检索用户信息。但是，在进行注入时，可能会出现以下错误：

Field userRepository in com.example.demo.config.ResourceServerConfig required a bean of type 'com.example.demo.repository.UserRepository' that could not be found.

出现这个错误的原因是 Spring 没有能够正确地自动扫描到 UserRepository，这时可以在 UserRepository 上添加一个 @Repository 注解，可以解决这个问题。

示例二：使用 OAuth 2.0 进行身份验证

在上面的示例中，我们是使用用户名和密码进行身份验证的，这种方式非常简单和直观，但是如果我们需要使用 OAuth 2.0 这样的更为安全的身份验证方式时，应该怎么办呢？

其实，只需要在 ResourceServerConfig 类中添加一个 OAuth2ResourceServerConfigurerAdapter 类型的实例，并在其中配置 OAuth 2.0 协议的相关参数即可，具体可以参考官方文档。

总结

通过上述步骤，我们成功实现了一个基于 Spring Security 的自定义资源服务器，用于实现权限控制。其中，我们通过实现实体类、仓库类、配置类和受保护资源的接口，来实现一个最小化的示例。此外，还给出了两个使用示例，用于在实现过程中出现问题时进行解决。

最后，本文只是涉及到 Spring Security 资源服务器的一些基本操作，实际情况下，可能还需要涉及到更为复杂和高级的操作，例如支持多种身份验证方式、细粒度的权限控制等，如果需要进一步了解，可以参考官方文档。