常见的Java认证授权框架有哪些？

常见的Java认证授权框架有很多，比如Spring Security、Shiro、Apache Knox等。下面我将重点介绍Spring Security的使用攻略。

1. 配置Spring Security

首先，在Spring Boot项目中，我们可以在pom.xml文件中引入Spring Security依赖：

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-web</artifactId>
  <version>5.2.1.RELEASE</version>
</dependency>

然后，在我们的Spring Boot应用的入口类中，我们需要配置一些东西来启用Spring Security：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // ...

}

这里我们继承了WebSecurityConfigurerAdapter，并添加了@EnableWebSecurity注解。

1. 配置用户和角色

为了对用户进行认证和授权，我们需要创建一些用户和角色。在Spring Security中，我们可以通过实现UserDetails和GrantedAuthority接口来创建用户和角色。

例如，我们可以创建一个名为“admin”的用户，并且给他授予一个名为“ROLE_ADMIN”的角色：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // ...

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      auth.inMemoryAuthentication()
        .withUser("admin")
        .password("{noop}password")
        .roles("ADMIN");
    }
}

这里我们在configure(AuthenticationManagerBuilder auth)方法中调用了inMemoryAuthentication()，表示我们想要在内存中存储用户信息。然后我们将一个名为“admin”的用户添加到内存中，并将密码设置为“password”。注意，我们在密码前添加了一个{noop}，这是因为Spring Security 5之后默认需要使用加密密码。因为我们这里演示的是简单的例子，所以我们使用{noop}，表示我们不需要加密密码。

1. 配置URL安全性

接下来，我们需要配置URL安全性，即哪些URL需要认证才能访问。我们可以通过调用WebSecurity对象的authorizeRequests()方法来配置这个。

例如，我们可以配置只有管理员可以访问/admin路径下的URL：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // ...

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      http.authorizeRequests()
        .antMatchers("/admin/**").hasRole("ADMIN")
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .and()
        .httpBasic();
    }
}

这里我们使用了antMatchers()方法来匹配所有以/admin/开头的URL，并且配置了hasRole()方法来确保只有管理员可以访问这些URL。除了/admin/开头的URL之外，我们使用了anyRequest().authenticated()来表示所有其他URL都需要进行认证，即需要登录才能访问。

1. 配置登出

接下来，我们需要配置注销功能。我们可以使用logout()方法来配置登出功能，并且指定在登出后重定向到哪个页面：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // ...

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      http.logout()
        .logoutUrl("/logout")
        .logoutSuccessUrl("/")
        .invalidateHttpSession(true)
        .deleteCookies("JSESSIONID");
    }
}

这里我们使用logoutUrl()方法来指定注销URL，使用logoutSuccessUrl()方法来指定在注销成功后重定向到哪个页面。我们还使用了invalidateHttpSession()方法来使会话无效，以及deleteCookies()方法来删除会话的Cookie。

示例1：使用Spring Security进行基本认证和授权

假设我们有一个REST API，它允许管理员访问所有用户信息，而普通用户只能访问自己的信息。我们可以在Spring Security中使用基本认证和授权来实现这一点。

首先，我们需要创建两个用户，一个是管理员，一个是普通用户：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // ...

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      auth.inMemoryAuthentication()
        .withUser("admin").password("{noop}password").roles("ADMIN")
        .and()
        .withUser("user1").password("{noop}password").roles("USER");
    }
}

然后，我们可以配置URL安全性：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // ...

    @Override
    protected void configure(HttpSecurity http) throws Exception {
      http.authorizeRequests()
        .antMatchers("/users/**").access("hasRole('ROLE_ADMIN')")
        .anyRequest().access("@mySecurityService.canAccess(request, authentication)")
        .and()
        .httpBasic();
    }
}

这里我们使用了access()方法来配置用户是否可以访问某个URL。对于/admin/开头的URL，我们可以使用hasRole()方法来进行简单的角色检查。对于所有其他URL，我们调用了自定义的mySecurityService.canAccess()方法来进行复杂的授权判断。要使用这种复杂的授权判断，我们需要创建一个名为MySecurityService的类，并在它上面添加@Service注解：

@Service
public class MySecurityService {

  public boolean canAccess(HttpServletRequest request, Authentication authentication) {
    // 根据Authentication和request中的信息，进行复杂的授权判断

    return true; // true表示有权限访问，false表示无权限访问
  }

}

示例2：使用Spring Security进行OAuth2认证

OAuth2认证是常见的一种认证方式，它可以让用户使用自己的第三方账户登录我们的网站。Spring Security提供了一个OAuth2客户端，可以轻松地与其他服务（例如GitHub、Facebook）进行OAuth2认证。

首先，我们需要在pom.xml中添加如下依赖：

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-oauth2-client</artifactId>
  <version>5.2.1.RELEASE</version>
</dependency>

然后，在我们的Spring Boot应用程序的yml或properties文件中，我们需要配置OAuth2客户端的一些信息。例如，我们可以在application.yml中添加如下配置：

spring:
  security:
    oauth2:
      client:
        registration:
          github:
            clientId: <your-client-id>
            clientSecret: <your-client-secret>
            clientName: GitHub
            scope:
              - read:user
              - user:email
        provider:
          github:
            authorizationUri: https://github.com/login/oauth/authorize
            tokenUri: https://github.com/login/oauth/access_token
            userInfoUri: https://api.github.com/user
            userNameAttribute: id

这里我们添加了一个名为“GitHub”的OAuth2客户端，并且指定了clientId、clientSecret、clientName和scope等信息。

最后，在我们的应用程序中，我们需要提供一个登录页面，让用户选择他们想要使用的OAuth2客户端。例如：

@RequestMapping("/login")
public String login(Model model) {
  return "login";
}

然后在login.html中，我们可以使用Thymeleaf等模板引擎来生成一个OAuth2登录页面，例如：

<html>
  <body>
    <h2>Choose a provider to authenticate with:</h2>
    <ul>
      <li><a href="/oauth2/authorization/github">GitHub</a></li>
    </ul>
  </body>
</html>

这个页面包含一个链接，让用户可以选择使用GitHub进行认证。当用户点击这个链接时，Spring Security会跳转到GitHub的认证页面，并要求用户进行登录。如果用户成功登录了，GitHub会将授权码发送回到我们的应用程序中。然后我们的应用程序可以使用这个授权码（以及我们之前在application.yml中配置的信息）来获取一个访问令牌，从而为用户创建一个认证会话。