SpringSecurity快速入门摘要

1. SpringSecurity简介

Spring Security是基于Spring的安全框架，提供了认证和授权的解决方案。它充分利用了Spring IOC和AOP功能，为企业应用系统提供声明式安全访问控制功能。Spring Security支持Web请求级别和方法调用级别的身份认证与授权。

官网地址: https://spring.io/projects/spring-security

2. SpringSecurity工程搭建

工程搭建包括以下步骤：

• 创建工程并引入必要依赖，如 spring-boot-starter-security。
• 编写引导类 MySecurityApplication。
• 创建控制器 TestController，定义一些测试接口。
• 通过访问接口测试默认的用户名和密码（用户名为user，密码为控制台输出的随机数）。

可以通过配置文件自定义用户名和密码。

3. SpringSecurity自定义认证配置

为了提高用户体验，可以通过定义配置类来自行声明合法的账户信息。通过 UserDetailsService 类，可定义用户信息，如用户名、密码和权限，并注入到Spring容器中。

当前示例使用内存存储用户认证信息（InMemoryUserDetailsManager），后续可通过实现 UserDetailsService 接口来自定义用户数据来源（如数据库）。

测试时，访问接口如 /hello，验证配置的账户和密码是否有效。

4. SpringSecurity自定义授权配置

用户认证通过后，可以为不同用户指定不同的资源访问权限：

4.1 基于编码方式定义授权

通过 HttpSecurity 配置类，可定义资源访问权限，例如：

• /register：所有用户可访问。
• /hello：需具有权限P5的用户可访问。
• /say：需具有角色ROLE_ADMIN的用户可访问。

测试时，通过不同权限的账户验证资源访问情况。

5.2 基于注解方式定义授权

Spring Security提供基于注解的集中化权限配置方式，例如使用 @PreAuthorize 注解来定义资源权限。推荐使用注解方式进行权限管理。

调整配置类以开启注解支持（@EnableGlobalMethodSecurity(prePostEnabled=true)），并在控制器方法上使用注解定义权限规则。

• @PreAuthorize("hasAuthority('P5')")：限制方法需具有权限P5。
• @PreAuthorize("hasRole('ADMIN')")：限制方法需具有角色ROLE_ADMIN。
• @PermitAll：允许所有用户访问。

总结

Spring Security提供了灵活的认证和授权配置方式，支持基于编码和注解的权限管理。通过合理配置，可以满足不同场景的安全需求。