使用 Spring Security 进行基本的 HTTP 认证和授权（二）

HTTP 授权

HTTP 授权是一种基于 HTTP 协议的授权机制，用于限制用户对资源的访问权限。HTTP 授权使用 HTTP 协议中的 Authorization 头来传递用户凭据和授权信息。

Spring Security 提供了多种 HTTP 授权机制，例如基于角色的访问控制和基于资源的访问控制。在本文中，我们将演示如何使用基于角色的访问控制。

基于角色的访问控制

基于角色的访问控制是一种常见的授权机制。在基于角色的访问控制中，用户被分配到一个或多个角色，每个角色代表一组权限。在访问受保护的资源时，系统会检查用户是否有足够的权限来访问该资源。

要使用基于角色的访问控制，需要在 Spring Security 配置文件中配置一个授权过滤器。授权过滤器使用 AccessDecisionManager 来确定用户是否有足够的权限来访问受保护的资源。

以下是使用基于角色的访问控制的示例代码：

@Configuration
@EnableWebSecurity
public class RoleBasedAccessControlConfig extends WebSecurityConfigurerAdapter {

  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
      .withUser("user")
      .password("{noop}password")
      .roles("USER")
      .and()
      .withUser("admin")
      .password("{noop}password")
      .roles("USER", "ADMIN");
  }

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
      .antMatchers("/admin/**").hasRole("ADMIN")
      .anyRequest().authenticated()
      .and()
      .httpBasic();
  }

}

在上面的示例代码中，我们首先定义了一个授权过滤器。授权过滤器使用 AccessDecisionManager 来确定用户是否有足够的权限来访问受保护的资源。默认情况下，AccessDecisionManager 使用 AffirmativeBased 策略，即只要有一个 AccessDecisionVoter 的决策为 "允许"，就允许用户访问资源。

然后，我们使用 inMemoryAuthentication 方法来配置一个基于内存的用户存储。我们将一个名为 "user" 的用户添加到用户存储中，并使用 "{noop}password" 作为密码。我们还将一个名为 "admin" 的用户添加到用户存储中，并为该用户分配了 "USER" 和 "ADMIN" 两个角色。

接下来，我们使用 authorizeRequests 方法来配置授权规则。在这个例子中，我们使用 antMatchers 方法来限制只有具有 "ADMIN" 角色的用户才能访问 "/admin/**" 路径下的资源。任何其他请求都需要进行身份验证。

最后，我们使用 httpBasic 方法来启用基本认证。

现在，我们已经成功配置了基于角色的访问控制，可以使用不同的用户凭据进行测试。