Spring Boot中的SpringSecurity基础教程

下面是“Spring Boot中的SpringSecurity基础教程”的完整攻略，包含两个示例。

1. Spring Security简介

Spring Security是一个基于Spring框架的安全框架，用于处理身份验证和授权问题。Spring Security的功能包括：

• 身份验证
• 授权
• WEB安全
• 记住我
• CSRF防范
• Session管理
• 安全Http Headers支持
• OpenID
• LDAP

2. Spring Security的核心架构

Spring Security的核心架构主要包括以下内容：

• 过滤器链：负责处理请求，进行身份验证和授权。
• 安全上下文：存储用户的身份验证和授权信息。
• 用户详情服务：负责从数据库、LDAP等位置获取用户信息。
• 认证管理器：负责处理 Authentication 对象的创建。
• 访问决策管理器：负责处理用户是否有权访问某个 URL 的决策。

3. Spring Security在Spring Boot项目中的配置

Spring Boot已经内置了Spring Security，因此只需要通过添加依赖来使用它。添加依赖后，默认的配置将会启用基本认证，其中用户名是“user”，密码是随机生成的。

如果需要进行自定义配置，只需要添加一个继承自 WebSecurityConfigurerAdapter 的类即可。下面是一个简单的自定义配置示例：

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .logoutUrl("/logout")
                .permitAll();
    }
}

上述代码展示了如何配置一个简单的表单登录认证，其中 /admin/** 的 URL 需要有 ADMIN 角色才能访问。

4. 示例1：基于内存存储的用户管理

首先，需要添加 spring-security-core、spring-security-config 和 spring-security-web 依赖。然后，在自定义的 WebSecurityConfigurerAdapter 类中进行如下配置：

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER")
                .and()
                .withUser("admin").password("{noop}password").roles("USER", "ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .logoutUrl("/logout")
                .permitAll();
    }
}

上述代码展示了如何使用内存存储方式来管理用户信息。其中，configureGlobal() 方法配置了两个用户，分别是“user”和“admin”，密码均为“password”，分别具有USER和ADMIN角色。

5. 示例2：基于数据库存储的用户管理

首先，需要添加 spring-security-core、spring-security-config、spring-security-web 和spring-jdbc 依赖。然后，在自定义的 WebSecurityConfigurerAdapter 类中进行如下配置：

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Autowired
    private DataSource dataSource;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication().dataSource(dataSource)
            .usersByUsernameQuery("select username,password,enabled from users where username=?")
            .authoritiesByUsernameQuery("select username,authority from authorities where username=?")
            .passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .logoutUrl("/logout")
                .permitAll();
    }
}

上述代码展示了如何使用数据库存储方式来管理用户信息。其中，configure() 方法配置了从数据库中获取用户信息，包括账号、密码、用户状态和用户拥有的权限等。同时，使用了 BCryptPasswordEncoder 密码加密方式来加密用户密码。

总结

以上就是“Spring Boot中的SpringSecurity基础教程”的完整攻略，包含了Spring Security的基础介绍、核心架构、在Spring Boot中的配置和两个示例（基于内存存储和基于数据库存储的用户管理）。希望对您有所帮助，祝学习愉快！