下面我来详细讲解一下“springsecurity 基本使用详解”的完整攻略。

Spring Security 基本使用详解

什么是 Spring Security

Spring Security 是针对 Spring 框架的安全性认证框架。也是 Spring Boot 应用中最常用的安全框架之一。它提供了全面的安全性解决方案，以保护应用程序的各个方面，从身份验证和授权到漏洞利用、拒绝服务攻击和其他攻击。Spring Security 提供了许多插件，使得应用程序可以快速地添加安全功能。最重要的是，Spring Security 可以轻松集成到 Spring Boot 应用程序中，使得您的应用程序更加安全可靠。

Spring Security 基本使用步骤

在 Spring Boot 应用程序中使用 Spring Security 可以通过一下简单的步骤来实现：

1. 导入 Spring security 依赖：

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>5.2.1.RELEASE</version>
</dependency>

1. 创建一个 WebSecurityConfigurerAdapter：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // TODO 配置请求过滤规则
    }
}

1. 配置请求过滤规则：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/admin/**").hasRole("ADMIN")
        .antMatchers("/user/**").hasAnyRole("ADMIN", "USER")
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginPage("/login")
        .defaultSuccessUrl("/home")
        .permitAll()
        .and()
        .logout()
        .logoutUrl("/logout")
        .logoutSuccessUrl("/login")
        .invalidateHttpSession(true)
        .permitAll();
}

在上面的代码中，我们配置了请求过滤规则。当用户想要访问 /admin/** 中的任何 URL 时，该用户必须拥有 "ADMIN" 的角色。当访问 /user/** 中的任何 URL 时，用户必须拥有 "ADMIN" 或 "USER" 的角色。对于其它所有 URL，用户都必须经过身份验证才能进行访问。另外，我们还配置了登录页、登出和会话无效化等相关内容。

1. 配置 AuthenticationManagerBuilder：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .passwordEncoder(passwordEncoder())
            .withUser("admin").password(passwordEncoder().encode("123456")).roles("ADMIN")
            .and()
            .withUser("user").password(passwordEncoder().encode("123456")).roles("USER");
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

在上面的代码中，我们配置了一个内存中的用户服务。我们为 "admin" 和 "user" 创建了帐户，并分配了相应的角色。我们还加密了密码，以确保安全性。在 Spring Boot 应用程序中，我们可以使用更高级的技术来实现认证服务，如 JDBC、LDAP、OAuth 等。

至此，我们已经完成了一个基本的 Spring Security 配置，并可以在应用程序中使用它来加强安全性。

示例1：基于 Spring Security 的 RESTful API 认证

下面介绍一个示例，演示如何使用 Spring Security 来保护 RESTful API。我们可以通过以下步骤来实现：

1. 在主应用程序类上添加注解 @EnableWebSecurity。

@SpringBootApplication
@EnableWebSecurity
public class MyApplication extends WebSecurityConfigurerAdapter {
    // 主要代码实现
}

1. 重写 configure(HttpSecurity http) 方法，并定义需要保护的 URL。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/api/**").authenticated()
            .anyRequest().permitAll()
            .and()
        .httpBasic();
}

在上面的代码中，我们定义了 API URL（/api/**）需要身份验证，而其他 URL 则允许任何人访问。

1. 配置 AuthenticationManager。

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
        .passwordEncoder(passwordEncoder())
        .withUser("user").password(passwordEncoder().encode("password")).roles("USER");
}

在上面的代码中，我们向内存添加了一个用户，并使用 PasswordEncoder 加密用户密码。

1. 添加一个 RESTful API 控制器。

@RestController
@RequestMapping("/api")
public class MyRestController {
    @GetMapping("/hello")
    public String hello() {
       return "Hello World!";
    }
}

我们的 RESTful API 已经完成了身份验证和认证配置。在浏览器中访问 http://localhost:8080/api/hello，将要求您进行身份验证。

示例2：Spring Security 实现基本身份验证

现在，让我们来看一个示例，演示如何使用 Spring Security 来实现基本身份验证。我们可以通过以下步骤来实现：

1. 在主应用程序类上添加注解 @EnableWebSecurity。

@SpringBootApplication
@EnableWebSecurity
public class MyApplication extends WebSecurityConfigurerAdapter {
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password(passwordEncoder().encode("password")).roles("USER");
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/secured/**").authenticated()
                .anyRequest().permitAll()
                .and()
            .httpBasic();
    }
}

1. 配置 AuthenticationManagerBuilder，并定义一个用户以及密码加密方式。

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
        .withUser("user").password(passwordEncoder().encode("password")).roles("USER");
}

@Bean
public PasswordEncoder passwordEncoder(){
    return new BCryptPasswordEncoder();
}

在上面的代码中，我们使用 inMemoryAuthentication 实现了一个用户认证服务，并使用 BCryptPasswordEncoder 来加密用户密码。

1. 定义需要进行身份验证的 URL。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/secured/**").authenticated()
            .anyRequest().permitAll()
            .and()
        .httpBasic();
}

在上面的代码中，我们定义了一个 URL（/secured/**）需要进行身份验证，而其他 URL 则允许任何人访问。

1. 在控制器中，定义一个可以对需要进行身份验证的 URL 进行访问的 API。

@RestController
@RequestMapping("/secured")
public class MySecuredController {
    @GetMapping("/")
    public String greet() {
       return "Hello, you are authenticated!";
    }
}

现在，我们已经将 Spring Security 配置到我们的应用程序中，并实现了基本的身份验证。在浏览器中访问 http://localhost:8080/secured/，将要求您进行身份验证。

以上就是关于 Spring Security 基本使用的详细攻略，希望能对您有所帮助。