Spring Security用户认证和授权（一）

原创

堕落飞鸟

发布于 2023-04-15 08:16:38

6000

发布于 2023-04-15 08:16:38

文章被收录于专栏：飞鸟的专栏飞鸟的专栏

Spring Security是一个开源的安全框架，用于为Java应用程序提供身份验证和授权服务。Spring Security提供了许多功能，例如表单登录。

用户认证

用户认证是验证用户身份的过程。Spring Security提供了多种身份验证方式，例如表单身份验证、基本身份验证、LDAP身份验证等。

表单身份验证

表单身份验证是最常见的身份验证方式之一。用户输入用户名和密码，服务器将这些凭据与存储在数据库中的用户信息进行比较。如果凭据匹配，则用户将被授权访问受保护的资源。

下面是一个简单的示例，展示如何配置Spring Security以进行表单身份验证。

首先，我们需要在pom.xml文件中添加以下依赖项：

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-web</artifactId>
  <version>5.5.0</version>
</dependency>

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-config</artifactId>
  <version>5.5.0</version>
</dependency>

然后，在Spring Security配置文件中添加以下代码：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
}

在这个示例中，我们使用了基于内存的用户存储来验证用户凭据。如果用户输入的用户名和密码匹配，他们将被授予"USER"角色，并被允许访问受保护的资源。这个示例还定义了一个自定义登录页面，以及一个允许用户注销的选项。

基本身份验证

基本身份验证是一种简单的身份验证方式，它要求用户在访问受保护的资源之前提供用户名和密码。这些凭据是使用Base64编码发送到服务器。

下面是一个示例，演示如何配置Spring Security以进行基本身份验证。

在Spring Security配置文件中添加以下代码：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("user")
                .password("{noop}password") // 使用{noop}前缀表示不进行加密
                .roles("USER");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .httpBasic()
                .and()
            .csrf().disable(); // 关闭csrf保护，便于测试
    }
}

这个示例使用了基于内存的用户存储来验证用户凭据，用户名为"user"，密码为"password"。使用{noop}前缀表示不进行密码加密。任何使用这些凭据进行基本身份验证的用户都将被授予"USER"角色，并被允许访问受保护的资源。

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

spring-security

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

spring-security

登录后参与评论

0 条评论

热度