Spring Security认证提供程序示例详解

Spring Security提供了强大的身份验证和授权功能，其基础在于认证提供程序的实现。本文将讨论Spring Security认证提供程序示例，并提供两个示例以便更好地理解该功能。

什么是Spring Security认证提供程序？

Spring Security认证提供程序是一个接口，定义了如何获取用户凭据和验证用户身份的方法。它是Spring Security身份验证系统中一个重要的组成部分，负责将客户端提交的用户名和密码等凭据与用户存储机制进行比较。如果提交的凭据正确，则认证提供程序将验证通过，用户将被授权访问他们请求的资源。

示例1：基于内存的身份验证

以下示例展示如何使用Spring Security的基于内存的认证提供程序来验证用户身份。在这个例子中，我们使用用户名和密码存储在内存中进行用户身份验证。在实际应用中，这个示例只是一个演示，你需要将其实现为特定的用户存储机制，如数据库或LDAP。

配置Spring Security内存认证提供程序

以下配置使用Spring Security的内存认证提供程序，实现用户名密码验证：

<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:security="http://www.springframework.org/schema/security">

    <security:authentication-manager>
        <security:authentication-provider>
            <security:user-service>
                <security:user name="admin" password="password" authorities="ROLE_ADMIN"/>
                <security:user name="user" password="password" authorities="ROLE_USER"/>
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

在这个示例中，我们定义了两个用户，admin和user，他们都有一个密码“password”和相应的角色。

配置Spring Security过滤器

为确保Spring Security生效，我们需要在应用中添加一个过滤器链，如下所示：

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

配置Spring Security保护资源

可以保护application.properties中定义的接口，确保只有已通过身份验证的用户才能访问它：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private static final String REALM = "MY_TEST_REALM";

    @Autowired
    public void configureGlobalSecurity(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("admin").password("password").roles("ADMIN");
        auth.inMemoryAuthentication().withUser("user").password("password").roles("USER");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/api/**").hasRole("USER")
            .and().httpBasic().realmName(REALM).authenticationEntryPoint(getBasicAuthEntryPoint());
    }

    @Bean
    public CustomBasicAuthenticationEntryPoint getBasicAuthEntryPoint(){
        return new CustomBasicAuthenticationEntryPoint();
    }
}

在这个例子中，我们定义了使用Spring Security的HTTP Basic认证，只有已通过身份验证的用户才能访问以“/api/”路径开头的资源。用户角色要求是USER。

示例2：基于JDBC的身份验证

以下示例使用Spring Security的基于JDBC的认证提供程序来验证用户身份。

配置Spring Security JDBC认证提供程序

首先，我们需要配置数据源和JDBC身份验证提供程序：

<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:security="http://www.springframework.org/schema/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
                        http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
                        http://www.springframework.org/schema/security 
                        http://www.springframework.org/schema/security/spring-security-4.0.xsd">

    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
        <property name="driverClassName" value="org.hsqldb.jdbc.JDBCDriver"/>
        <property name="url" value="jdbc:hsqldb:mem:testdb"/>
        <property name="username" value="sa"/>
        <property name="password" value=""/>
    </bean>

    <security:authentication-manager>
        <security:authentication-provider>
            <security:jdbc-user-service data-source-ref="dataSource"
                users-by-username-query="select username,password,enabled from users where username=?"
                authorities-by-username-query="select b.username, a.authority from authorities a, users b where b.username=? and a.username=b.username"
            />
        </security:authentication-provider>
    </security:authentication-manager>

</beans>

在这个示例中，我们使用了一个嵌入式HSQLDB数据库进行数据存储。我们还提供了一个访问用户凭据和权限信息的查询。

配置Spring Security过滤器

为确保Spring Security生效，我们需要在应用中添加一个过滤器链，如下所示：

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

配置Spring Security保护资源

可以保护application.properties中定义的接口，确保只有已通过身份验证的用户才能访问它：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private static final String REALM = "MY_TEST_REALM";

    @Autowired
    private DataSource dataSource;

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication().dataSource(dataSource)
            .usersByUsernameQuery("select username,password, enabled from users where username=?")
            .authoritiesByUsernameQuery("select username, role from user_roles where username=?")
            .passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/api/**").hasRole("USER")
            .and().httpBasic().realmName(REALM).authenticationEntryPoint(getBasicAuthEntryPoint());
    }

    @Bean
    public CustomBasicAuthenticationEntryPoint getBasicAuthEntryPoint(){
        return new CustomBasicAuthenticationEntryPoint();
    }
}

在这个例子中，我们定义了使用Spring Security的HTTP Basic认证，只有已通过身份验证的用户才能访问以“/api/”路径开头的资源。用户角色要求是USER。

结论

Spring Security提供了丰富的身份验证和授权功能，认证提供程序是这个过程中至关重要的组成部分。本文提供了两个示例，展示如何使用Spring Security的内存和JDBC认证提供程序来验证用户身份。通过这些示例，你应该能够更好地理解Spring Security认证提供程序的作用和用法。