几行代码，优雅的实现 SpringBoot 鉴权

在Spring Boot中实现鉴权（Authentication and Authorization），我们通常依赖于Spring Security这一强大的安全框架。Spring Security提供了全面的安全解决方案，包括认证、授权、加密通信等。下面，我将通过几行代码来展示如何在Spring Boot项目中优雅地实现基本的鉴权功能。

1. 添加Spring Security依赖

首先，你需要在你的Spring Boot项目的pom.xml文件中添加Spring Security的依赖。如果你使用的是Gradle，则需要在build.gradle文件中添加相应的依赖。

Maven 示例：

<dependency>  
    <groupId>org.springframework.boot</groupId>  
    <artifactId>spring-boot-starter-security</artifactId>  
</dependency>

2. 配置Spring Security

接下来，你可以通过配置类来定制Spring Security的行为。虽然Spring Security提供了大量的默认配置，但你可能需要根据你的应用需求进行一些调整。

示例配置类：

import org.springframework.context.annotation.Configuration;  
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;  
import org.springframework.security.config.annotation.web.builders.HttpSecurity;  
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;  
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;  
  
@Configuration  
@EnableWebSecurity  
public class SecurityConfig extends WebSecurityConfigurerAdapter {  
  
    @Override  
    protected void configure(HttpSecurity http) throws Exception {  
        http  
            .authorizeRequests()  
                .antMatchers("/", "/home").permitAll() // 允许访问首页和home页面  
                .anyRequest().authenticated() // 其他所有请求都需要认证  
                .and()  
            .formLogin() // 开启表单登录  
                .loginPage("/login") // 自定义登录页面  
                .permitAll() // 允许所有人访问登录页面  
                .and()  
            .logout() // 开启注销功能  
                .permitAll(); // 允许所有人访问注销页面  
    }  
  
    @Override  
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {  
        auth  
            .inMemoryAuthentication() // 使用内存中的用户存储  
                .withUser("user").password("{noop}password").roles("USER"); // 创建一个用户  
    }  
}

3. 自定义登录页面

在上面的配置中，我们指定了登录页面为/login。你需要在你的src/main/resources/templates目录下创建一个名为login.html的HTML文件，用于自定义登录页面的样式和行为。

login.html 示例：

<!DOCTYPE html>  
<html xmlns:th="http://www.thymeleaf.org">  
<head>  
    <title>Login</title>  
</head>  
<body>  
    <h2>Login Page</h2>  
    <form th:action="@{/login}" method="post">  
        <div><label> Username : </label><input type="text" name="username"/></div>  
        <div><label> Password: </label><input type="password" name="password"/></div>  
        <div><button type="submit">Sign In</button></div>  
    </form>  
</body>  
</html>

4. 运行和测试

现在，你的Spring Boot应用已经具备了基本的鉴权功能。启动应用后，尝试访问需要认证的页面（如/admin），你将被重定向到登录页面。登录成功后，你将能够访问受保护的资源。

5. 优雅之处

• 简洁性：通过几行代码和简单的配置，你就可以为你的Spring Boot应用添加鉴权功能。
• 灵活性：Spring Security提供了丰富的API和配置选项，允许你根据需要进行定制，如自定义用户存储、认证方式、授权策略等。
• 安全性：Spring Security是业界广泛使用的安全框架，它提供了强大的安全保护，包括防止CSRF攻击、SQL注入等。

通过以上步骤，你可以优雅地在Spring Boot项目中实现鉴权功能，为你的应用提供安全保障。