配置Spring Security授权

配置Spring Security授权

在这篇文章中，您将学习如何配置Spring Security以及实现授权。授权是检查请求是否有权限执行所需操作。我们将使用一个包含多个API的Spring应用程序，并学习如何启用或禁用对这些API的访问。根据登录用户的身份，您可以配置Spring Security授权来实现许多不同的功能。我将在这里教您如何配置授权，以便您可以将这些知识应用到任何Spring Security应用程序中。

首先，假设我们有一个基本的Spring Boot应用程序，并添加了Spring Security依赖项，同时系统中有几个用户。这些用户可以是内存中的，也可以来自数据库或其他来源，只要我们有两个不同角色的用户，以便我们能够根据角色配置不同的访问权限。为了学习目的，最简单的用户设置方式是使用内存身份验证。

Spring Security的默认行为：
当您将Spring Security依赖添加到类路径时，您会发现Spring Security会自动授权所有请求。所有的API在登录时才能访问，需要输入系统中用户的用户名和密码，无论这些用户是如何配置的。现在，我们希望对一些API设置不同的访问控制级别。主要有三个API：

第一个API应该对所有人开放，无论他们是否登录。
第二个API只能被已认证的用户访问，无论他们是用户角色还是管理员角色。
第三个API只能被具有管理员角色且已认证的用户访问。如果某人已登录但只有用户角色，他们不应该能够访问该API。
实现步骤：

创建API： 我们将创建两个API，一个是/admin，返回"Admin"，另一个是/user，返回"Welcome User"。
配置Spring Security： 我们需要使用HttpSecurity对象来配置不同路径的访问权限。我们可以通过扩展WebSecurityConfigurerAdapter类并重写其中的configure方法来获取HttpSecurity对象。
代码实现：
在WebSecurityConfigurerAdapter类中重写configure方法，并配置HttpSecurity对象：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers("/").permitAll()  // 允许所有人访问根路径
        .antMatchers("/user").hasAnyRole("USER", "ADMIN")  // 仅已认证用户和管理员可以访问/user
        .antMatchers("/admin").hasRole("ADMIN")  // 仅管理员可以访问/admin
        .and()
        .formLogin();  // 使用表单登录
}

测试配置：

确保根路径可以被任何人访问，即使他们未登录。
确保/user路径只能被具有USER或ADMIN角色的已认证用户访问。
确保/admin路径只能被具有ADMIN角色的用户访问。
在测试时，如果使用普通用户登录，他们应该能够访问/user，但不能访问/admin。如果使用管理员登录，他们应该能够访问所有路径。

总结：
这段视频展示了如何配置Spring Security以根据用户角色限制对不同API的访问。这种配置方式适用于大多数应用程序，确保不同角色的用户只能访问他们被授权的资源。在了解了基本的认证和授权配置后，您可以深入研究Spring Security的工作原理，以进行更高级的开发。