Java Spring Security 详细配置与使用

一.Spring Security 功能介绍

Spring Security 是一个基于 Spring 框架的安全性框架，它提供了全面的安全性解决方案，可以帮助我们轻松地处理认证、授权、加密、会话管理和访问控制等问题。Spring Security 旨在为企业级应用程序提供可配置的、可扩展的安全性支持。

Spring Security 基于一个简单的原则，即通过在应用程序中添加安全性层来提高安全性，而不是完全依赖于应用程序的安全性。它为开发人员提供了一组 API，以便在应用程序中实现安全性，并且可以与任何现有的安全性技术集成。

Spring Security 主要包括以下模块：

1. 认证机制模块（Authentication）：提供身份验证功能，用于确定用户是否可以访问系统资源。

2. 授权机制模块（Authorization）：提供授权功能，用于确定哪些用户可以访问系统资源。

3. 安全性过滤器模块（Security Filter）：定义了需要保护的 URL、关联的角色、自定义过滤器等信息，基于这些信息来完成身份验证、授权和访问控制。

4. 加密解密模块（Encryption/Decryption）：提供了一组 API，用于加密和解密数据。

使用 Spring Security 的步骤如下：

1. 添加 Spring Security 依赖到项目中。

2. 配置 Spring Security，包括安全性过滤器链、用户认证和授权等信息。

3. 实现自定义身份验证或授权逻辑。

4. 在应用程序中使用 Spring Security 提供的 API。

Spring Security 的使用可以帮助我们更轻松地实现应用程序中的安全性功能，同时也可以提高我们应用程序的安全性。

二.SpringSecurity的使用

引入Spring Security的依赖包

<dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Spring Security 的配置类是一个 Java 类，用于配置 Spring Security，通常是通过扩展抽象类WebSecurityConfigurerAdapter来创建。

配置类可以包含以下内容：

1. @Configuration 注解：用于将类标注为一个配置类。

2. @EnableWebSecurity 注解：用于启用 Spring Security。

3. 继承 WebSecurityConfigurerAdapter：用于提供默认的安全性配置和自定义的安全性配置。

4. configure(HttpSecurity http) 方法：用于配置 HttpSecurity 对象，用于定义规则、路径、权限等。

5. configure(AuthenticationManagerBuilder auth) 方法：用于自定义用户认证逻辑。

Spring Security 配置类示例：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    // 配置用户认证
    @Autowired
    protected void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication()
                .dataSource(dataSource)
                .usersByUsernameQuery("select username,password,enabled from users where username=?")
                .authoritiesByUsernameQuery("select username,authority from authorities where username=?")
                .passwordEncoder(new BCryptPasswordEncoder());
    }

    // 配置 HTTP 请求规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
                .logout()
                .permitAll();
    }
}

在上面的示例中，我们通过 @Configuration 注解将类标注为一个配置类，并通过 @EnableWebSecurity 注解启用 Spring Security。

在 configureGlobal() 方法中，我们通过 auth.jdbcAuthentication() 方法自定义了用户认证逻辑，使用了数据库中的用户表和角色表，同时使用了 BCryptPasswordEncoder 加密器对密码进行加密。

在 configure() 方法中，我们定义了 HTTP 请求规则，例如：/admin/** 路径需要 ADMIN 角色才能访问，其他的 URL 需要经过身份认证，同时设置了登录页面和注销功能。

总之，Spring Security 配置类提供了广泛的自定义能力，可以帮助我们轻松地实现各种安全性规则和功能。