Spring Security基础：如何为你的应用构建一层坚固的安全防护墙

🏆本文收录于「滚雪球学SpringBoot」专栏，手把手带你零基础入门Spring Boot，从入门到就业，助你早日登顶实现财富自由🚀；同时，欢迎大家关注&&收藏&&订阅！持续更新中，up！up！up！！

环境说明：Windows 10 + IntelliJ IDEA 2021.3.2 + Jdk 1.8

前言

  在现代应用开发中，安全性往往是我们最容易忽视但却最为关键的部分。不管是电商平台、社交应用，还是企业内部系统，如何确保用户数据的安全、系统的访问控制以及防止恶意攻击，都是开发者必须面对的重要问题。而Spring Security，作为Spring生态系统中的核心安全框架，它为我们提供了全面而强大的安全功能，帮助我们轻松应对这些挑战。

  本文将从Spring Security的基础讲起，带你一步步了解如何将Spring Security集成到Spring Boot项目中，如何通过内存身份验证实现用户管理和权限控制，如何使用注解启用Web安全功能，最终使你的应用具备足够的安全防护能力！🔥

📜 目录

1. 🧐 Spring Security概述：一个强大的安全框架
2. 🔧 如何将Spring Security集成到Spring Boot项目中
3. 🔑 基于内存的身份验证与权限控制
4. 🔒 如何使用@EnableWebSecurity注解启用Web安全功能
5. 💡 深入了解Spring Security的高级功能
6. 🔍 总结：让你的应用更安全！

🧐 Spring Security概述：一个强大的安全框架

  如果你还不清楚Spring Security是干什么的，简单来说，它是一个可以帮助开发者轻松实现身份验证（Authentication）和权限控制（Authorization）的框架。无论你是想保护应用免受未授权访问，还是为用户实现细粒度的权限管理，Spring Security都能提供一站式的解决方案。✨

  Spring Security的功能非常强大且灵活，它不仅支持基于表单的登录、HTTP Basic、OAuth2、JWT等多种认证方式，还可以通过配置拦截器、过滤器等机制，确保应用的每个细节都受到保护。它为你提供了一个非常细粒度的权限管理控制，允许你根据角色、路径、方法等多种条件来控制用户的访问权限。💪

  另外，Spring Security默认还提供了对一些常见安全漏洞的保护，例如：防止跨站请求伪造（CSRF）、Session固定攻击、点击劫持等。这些内建的安全机制，可以有效地提升应用的安全性，避免很多常见的安全隐患。

🔧 如何将Spring Security集成到Spring Boot项目中

  好，知道Spring Security多么强大之后，我们来看看如何将它集成到Spring Boot应用中。其实，集成Spring Security非常简单，只需要添加一个Maven依赖即可。打开你的pom.xml，加入以下依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

  添加完成后，Spring Boot会自动加载Spring Security的默认配置，这意味着你的应用已经具备了基本的身份验证和访问控制机制。这时候，Spring Boot会自动启用默认的基本身份验证，应用启动后，你访问任何需要认证的页面时，都会被提示输入用户名和密码。默认情况下，Spring Security会为你生成一个随机的用户名和密码。你可以在控制台中查看到这个默认用户名和密码，方便你进行测试。

  当然，作为开发者，我们往往需要对这些默认配置进行自定义，来满足不同的业务需求。接下来，我们就通过一些具体的配置，来看看如何让Spring Security更符合你的需求。

🔑 基于内存的身份验证与权限控制

  在Spring Security中，身份验证是通过认证管理器（Authentication Manager）来完成的。一个典型的身份验证流程是：用户输入用户名和密码，系统通过认证管理器来验证该用户的身份。Spring Security支持多种身份验证方式，其中最简单的一种就是基于内存的身份验证。

  对于开发阶段或者简单的项目，你可以选择基于内存的身份验证方式，它允许你将用户数据（如用户名、密码和角色）存储在内存中。这样，我们不需要连接数据库，快速实现身份验证功能。

  下面是一个基于内存的身份验证和权限控制的简单示例：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password(passwordEncoder().encode("password")).roles("USER")
            .and()
            .withUser("admin").password(passwordEncoder().encode("admin")).roles("ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .anyRequest().authenticated()
            .and()
            .formLogin();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

  在上面的配置中，我们通过AuthenticationManagerBuilder定义了两个用户：user和admin，并分别为他们设置了不同的角色（USER和ADMIN）。我们还使用了BCryptPasswordEncoder来加密密码，确保它们的安全性。

  然后，在configure(HttpSecurity http)方法中，我们通过authorizeRequests()方法配置了路径级别的权限控制。比如，/admin/**路径只能被具有ADMIN角色的用户访问，而/user/**路径只能被USER角色的用户访问。其他路径则需要进行身份验证。

🔒 如何使用@EnableWebSecurity注解启用Web安全功能

  Spring Security通过@EnableWebSecurity注解来启用Web安全功能。它会自动配置Spring Security的相关设置，并允许开发者在此基础上进行自定义。

  例如，你可以通过继承WebSecurityConfigurerAdapter并重写configure(HttpSecurity http)和configure(AuthenticationManagerBuilder auth)方法，来自定义应用的安全配置。这样，你就可以灵活地控制用户的访问权限、身份验证方式以及其他安全设置。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
            .logout()
            .permitAll();
    }
}

  在上面的例子中，我们对/public/**路径进行了特殊配置，允许所有用户访问，而其他路径则要求用户进行认证登录。同时，我们也自定义了登录页面的路径/login，并允许所有人访问。

💡 深入了解Spring Security的高级功能

  除了基本的身份验证和权限控制，Spring Security还提供了许多高级功能，比如：

• OAuth2认证：支持与OAuth2认证服务器集成，实现基于第三方认证（如Google、Facebook等）的登录功能。
• JWT（JSON Web Token）认证：支持JWT方式的认证，适用于无状态的RESTful API应用。
• CSRF保护：默认开启CSRF保护，可以防止跨站请求伪造攻击。
• 自定义认证和授权机制：你可以根据自己的业务需求，定制身份验证和授权逻辑。

🔍 总结：让你的应用更安全！

  Spring Security是一个功能强大的安全框架，能够帮助我们快速实现身份验证和权限控制。通过基于内存的身份验证，我们可以轻松地为应用设置基本的安全配置，并通过@EnableWebSecurity注解开启Web安全功能，灵活地定制应用的安全策略。

  随着我们应用的不断发展和需求的变化，Spring Security还提供了许多高级功能供我们进一步探索，帮助我们提升应用的安全性。安全并非一蹴而就，它是一个持续不断的过程，而Spring Security为我们提供了一个坚固的安全堡垒。💪

🧧福利赠与你🧧

  无论你是计算机专业的学生，还是对编程有兴趣的小伙伴，都建议直接毫无顾忌的学习此专栏「滚雪球学SpringBoot」，bug菌郑重承诺，凡是学习此专栏的同学，均能获取到所需的知识和技能，全网最快速入门SpringBoot，就像滚雪球一样，越滚越大， 无边无际，指数级提升。

  最后，如果这篇文章对你有所帮助，帮忙给作者来个一键三连，关注、点赞、收藏，您的支持就是我坚持写作最大的动力。

  同时欢迎大家关注公众号:「猿圈奇妙屋」 ，以便学习更多同类型的技术文章，免费白嫖最新BAT互联网公司面试题、4000G pdf电子书籍、简历模板、技术文章Markdown文档等海量资料。

✨️ Who am I?

我是bug菌，CSDN | 掘金 | InfoQ | 51CTO | 华为云 | 阿里云 | 腾讯云 等社区博客专家，C站博客之星Top30，华为云多年度十佳博主/价值贡献奖，掘金多年度人气作者Top40，掘金等各大社区平台签约作者，51CTO年度博主Top12，掘金/InfoQ/51CTO等社区优质创作者；全网粉丝合计 30w+；更多精彩福利点击这里；硬核微信公众号「猿圈奇妙屋」，欢迎你的加入！免费白嫖最新BAT互联网公司面试真题、4000G PDF电子书籍、简历模板等海量资料，你想要的我都有，关键是你不来拿。

-End-