Spring Boot 中使用 Spring Security 实现安全访问权限管理：详尽指南

本文由 简悦 SimpRead 转码， 原文地址 blog.csdn.net

引言：

在现代 Web 应用开发中，安全是一个至关重要的环节。Spring Security 是一个功能强大且高度可定制的安全框架，能够为 Spring Boot 应用提供全面的安全解决方案，包括认证（Authentication）和授权（Authorization）。本文将手把手教你如何在 Spring Boot 应用中集成 Spring Security，实现用户登录验证、角色权限控制等安全访问权限操作。

一、引入 Spring Security 依赖

首先，确保你的 Spring Boot 项目中包含了 Spring Security 依赖。在pom.xml文件中加入以下依赖：

Xml

1<dependency>
2    <groupId>org.springframework.boot</groupId>
3    <artifactId>spring-boot-starter-security</artifactId>
4</dependency>

二、基本配置

2.1 自动配置

Spring Boot 自动配置 Spring Security，一旦添加了上述依赖，应用就具备了基本的安全功能，比如对所有端点的默认登录页面和身份验证要求。

2.2 自定义配置

为了更细致地控制安全策略，我们可以创建一个配置类，扩展WebSecurityConfigurerAdapter。

Java

1@Configuration
2@EnableWebSecurity
3public class SecurityConfig extends WebSecurityConfigurerAdapter {
5    @Autowired
6    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
7        auth
8            .inMemoryAuthentication()
9            .withUser("user").password(passwordEncoder().encode("password")).roles("USER")
10            .and()
11            .withUser("admin").password(passwordEncoder().encode("adminpass")).roles("USER", "ADMIN");
12    }
14    @Bean
15    public PasswordEncoder passwordEncoder() {
16        return new BCryptPasswordEncoder();
17    }
19    @Override
20    protected void configure(HttpSecurity http) throws Exception {
21        http.authorizeRequests()
22            .antMatchers("/").permitAll()
23            .antMatchers("/admin/**").hasRole("ADMIN")
24            .anyRequest().authenticated()
25            .and()
26            .formLogin().permitAll()
27            .and()
28            .logout().permitAll();
29    }
30}

三、认证（Authentication）

认证是指确认用户身份的过程。上述配置中，我们通过inMemoryAuthentication配置了两个用户，分别拥有 "USER" 和 "ADMIN" 角色，并使用 BCryptPasswordEncoder 加密了密码。

四、授权（Authorization）

授权是决定已认证用户可以访问哪些资源的过程。在configure(HttpSecurity http)方法中，我们使用了.antMatchers()来定义访问规则：

• / 对所有人开放。
• /admin/** 只允许具有 "ADMIN" 角色的用户访问。
• 其他所有请求需要认证。

五、登录与登出

• formLogin().permitAll() 开启基于表单的登录功能，并允许所有人访问登录页面。
• logout().permitAll() 允许所有人访问登出功能。

六、自定义登录页面

如果你希望使用自定义的登录页面，可以通过以下配置：

Java

1http.formLogin()
2    .loginPage("/custom-login") // 自定义登录页面URL
3    .loginProcessingUrl("/login") // 处理登录请求的URL
4    .defaultSuccessUrl("/") // 登录成功后的跳转URL
5    .permitAll();

并创建对应的custom-login.html页面。

七、总结

通过以上步骤，我们已经成功在 Spring Boot 应用中集成了 Spring Security，实现了基本的用户认证和权限控制。Spring Security 的强大之处在于其高度的可定制性，你可以根据需要扩展用户认证逻辑、集成 OAuth2、JWT 令牌等，以满足不同应用场景的安全需求。希望这篇指南能够为你提供一个良好的起点，开启你的安全开发之旅。

感谢你的点赞！关注！收藏