Spring Security 集成：保护你的应用，轻松搞定认证与授权！

🏆本文收录于「滚雪球学SpringBoot」专栏，手把手带你零基础入门Spring Boot，从入门到就业，助你早日登顶实现财富自由🚀；同时，欢迎大家关注&&收藏&&订阅！持续更新中，up！up！up！！

@TOC

环境说明：Windows 10 + IntelliJ IDEA 2021.3.2 + Jdk 1.8

🚀 前言

嘿，亲爱的开发者！在现代的Web应用开发中，安全性是我们不得不重视的一环。无论是用户数据的保护，还是防止恶意攻击，应用的安全性直接影响到用户体验和系统稳定性。那么，如何让我们的应用安全可靠呢？这时，Spring Security 就发挥了它的重要作用！

Spring Security是Spring生态中的一个强大安全框架，它提供了全面的认证、授权、攻击防护功能，确保应用不受外部威胁的干扰。今天，我们将深入了解如何将Spring Security集成到Spring Boot中，配置用户的认证与授权，确保你的应用安全无忧！💪

🧐 前言：为什么Spring Security如此重要？

在Web应用中，用户的认证和授权是确保应用安全的基础。我们需要确保谁可以访问我们的应用（身份认证），以及哪些用户可以访问哪些资源（授权）。而Spring Security正是为了这一目标而设计的，它为我们提供了一整套安全保障。

Spring Security的优势在于：

1. 全面的认证与授权管理：不仅可以通过用户名和密码进行认证，还可以通过OAuth2、JWT等方式进行身份验证。
2. 防御性设计：提供了防止常见安全攻击的功能，如CSRF、XSS、SQL注入等。
3. 灵活的扩展性：可以根据需求自定义安全配置，比如集成数据库、LDAP认证等。

从简单的用户登录到复杂的权限控制，Spring Security都能够提供无缝的支持，让你在开发中可以专注于业务逻辑，而无需担心安全性问题。

🔧 Spring Security 集成：如何保护你的应用？

1. 集成 Spring Security 保护应用

在Spring Boot中集成Spring Security非常简单。我们只需要在pom.xml中添加相关的依赖，Spring Boot会自动配置Spring Security相关的功能，帮我们快速建立起应用的安全防护。

1.1 添加Spring Security依赖

首先，我们需要在项目的pom.xml文件中添加Spring Security的依赖。如果你是使用Maven作为构建工具，那么可以这样添加：

<dependencies>
    <!-- 添加Spring Security依赖 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
</dependencies>

Spring Boot会自动帮你配置Spring Security的基础设置，包括默认的HTTP安全配置（例如，所有的请求都需要进行认证）。

1.2 Spring Boot默认配置

在集成了Spring Security后，Spring Boot默认会为你提供一些基础的安全配置：

• 默认启用了HTTP Basic认证（适用于API）和表单登录（适用于Web页面）。
• 所有的URL默认都需要进行认证，只有通过认证的用户才能访问。

如果你启动了应用并访问http://localhost:8080，你会看到Spring Security要求输入用户名和密码进行认证。

2. 配置用户认证与授权

Spring Security为我们提供了强大的认证与授权配置功能。我们可以配置不同的用户认证方式、权限控制等。这里我们将重点介绍两种常见的认证方式：内存身份验证和JDBC身份验证。

2.1 使用内存身份验证

内存身份验证是最简单的认证方式，我们可以在Spring Security配置类中直接定义用户、角色及权限信息。适合用于开发、测试或者小型应用。

配置内存身份验证：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")  // 只有ADMIN角色可以访问/admin路径
                .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")  // USER和ADMIN角色可以访问/user路径
                .anyRequest().authenticated()  // 其他请求需要认证
            .and()
            .formLogin();  // 启用表单登录
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER")  // 配置内存中的用户user
                .and()
                .withUser("admin").password("{noop}admin123").roles("ADMIN");  // 配置内存中的用户admin
    }
}

• 通过inMemoryAuthentication()方法，我们可以直接在内存中创建用户和角色。
• withUser()方法用于定义用户名，password()方法用于定义密码，密码使用{noop}表示明文密码。

这样，只有用户名为user和admin的用户才能登录应用，且根据角色进行权限控制。

2.2 使用JDBC身份验证

对于中大型应用，内存身份验证并不适用，因为用户和角色信息通常会存储在数据库中。在这种情况下，我们可以使用JDBC身份验证，将用户信息保存在数据库中。

配置JDBC身份验证：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
                .anyRequest().authenticated()
            .and()
            .formLogin();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .jdbcAuthentication()
            .dataSource(dataSource)
            .usersByUsernameQuery("SELECT username, password, enabled FROM users WHERE username=?")
            .authoritiesByUsernameQuery("SELECT username, authority FROM authorities WHERE username=?")
            .passwordEncoder(new BCryptPasswordEncoder());  // 使用BCrypt加密密码
    }
}

在这个配置中，我们使用了数据库来验证用户和角色。具体的用户和权限信息存储在users和authorities表中：

• users表用于存储用户信息，包括username、password和enabled（用户是否启用）。
• authorities表用于存储用户的角色或权限信息，包含username和authority字段。

usersByUsernameQuery() 和 authoritiesByUsernameQuery() 是查询用户和权限信息的SQL语句。通过这两种查询，Spring Security就能从数据库中获取用户的认证信息。

3. 事务安全与用户授权

除了认证，我们还需要配置授权，即哪些用户有权限访问哪些资源。在Spring Security中，授权的配置通过@PreAuthorize、@Secured注解等方式来实现。

3.1 基于角色的访问控制

你可以通过hasRole()或hasAuthority()来实现基于角色或权限的访问控制：

http
    .authorizeRequests()
    .antMatchers("/admin/**").hasRole("ADMIN")  // 只有管理员可以访问
    .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")  // 用户和管理员都可以访问
    .anyRequest().authenticated();  // 其他路径需要认证

3.2 方法级别授权

你还可以在服务层方法上使用注解来控制方法的访问权限：

@PreAuthorize("hasRole('ADMIN')")
public void performAdminTask() {
    // 执行管理员任务
}

这样，只有拥有ADMIN角色的用户才能调用performAdminTask方法。

🏁 总结：让Spring Security保护你的应用

通过集成Spring Security，你可以轻松为你的应用提供强大的认证和授权功能，确保系统的安全性。从简单的内存身份验证到复杂的JDBC身份验证，Spring Security都能应对自如，并提供灵活的权限控制方式。无论是基于角色的授权，还是方法级的细粒度权限控制，Spring Security都为你提供了多样的解决方案。

只要你合理配置Spring Security的认证和授权功能，结合安全的密码存储、基于角色的访问控制等策略，你的应用将变得更加安全，用户数据也能得到充分保护。

希望通过这篇文章，你对Spring Security的集成和使用有了更清晰的认识。如果你还没开始集成Spring Security，那么现在就可以尝试一下，给你的应用加上一层安全防护吧！💪🚀

🧧福利赠与你🧧

  无论你是计算机专业的学生，还是对编程有兴趣的小伙伴，都建议直接毫无顾忌的学习此专栏「滚雪球学SpringBoot」，bug菌郑重承诺，凡是学习此专栏的同学，均能获取到所需的知识和技能，全网最快速入门SpringBoot，就像滚雪球一样，越滚越大， 无边无际，指数级提升。

最后，如果这篇文章对你有所帮助，帮忙给作者来个一键三连，关注、点赞、收藏，您的支持就是我坚持写作最大的动力。

同时欢迎大家关注公众号:「猿圈奇妙屋」 ，以便学习更多同类型的技术文章，免费白嫖最新BAT互联网公司面试题、4000G pdf电子书籍、简历模板、技术文章Markdown文档等海量资料。

✨️ Who am I?

我是bug菌，CSDN | 掘金 | InfoQ | 51CTO | 华为云 | 阿里云 | 腾讯云 等社区博客专家，C站博客之星Top30，华为云多年度十佳博主/价值贡献奖，掘金多年度人气作者Top40，掘金等各大社区平台签约作者，51CTO年度博主Top12，掘金/InfoQ/51CTO等社区优质创作者；全网粉丝合计 30w+；更多精彩福利点击这里；硬核微信公众号「猿圈奇妙屋」，欢迎你的加入！免费白嫖最新BAT互联网公司面试真题、4000G PDF电子书籍、简历模板等海量资料，你想要的我都有，关键是你不来拿。

-End-