快捷導(dǎo)航

Spring Security實現(xiàn)身份認(rèn)證和授權(quán)的示例代碼

更新時間：2023年06月16日 16:07:04 作者：2013crazy

在 Spring Boot 應(yīng)用中使用 Spring Security 可以非常方便地實現(xiàn)用戶身份認(rèn)證和授權(quán)，本文主要介紹了Spring Security實現(xiàn)身份認(rèn)證和授權(quán)的示例代碼，感興趣的可以了解一下

Spring Security 實現(xiàn)身份認(rèn)證的主要方式是使用認(rèn)證過濾器鏈，該過濾器鏈包含多個過濾器，用于對用戶進(jìn)行身份驗證和授權(quán)。在 Spring Security 中，認(rèn)證和授權(quán)處理是通過過濾器鏈中的過濾器來實現(xiàn)的，最終返回一個認(rèn)證成功的用戶對象。本文將介紹 Spring Security 如何實現(xiàn)身份認(rèn)證和授權(quán)，并提供示例代碼。

1. Spring Security 的身份認(rèn)證

Spring Security 的身份認(rèn)證是通過 AuthenticationManager 接口實現(xiàn)的。AuthenticationManager 接口是一個認(rèn)證管理器，用于對用戶進(jìn)行身份驗證。在 Spring Security 中，AuthenticationManager 接口的默認(rèn)實現(xiàn)是 ProviderManager。

ProviderManager 是一個認(rèn)證管理器，它包含一個或多個 AuthenticationProvider 實現(xiàn)，用于對用戶進(jìn)行身份驗證。AuthenticationProvider 接口是一個認(rèn)證提供者，用于驗證用戶身份。在 Spring Security 中，AuthenticationProvider 的默認(rèn)實現(xiàn)是 DaoAuthenticationProvider。

DaoAuthenticationProvider 是一個認(rèn)證提供者，用于對用戶進(jìn)行身份驗證。它需要一個 UserDetailsService 實現(xiàn)來獲取用戶信息和密碼，然后使用 PasswordEncoder 進(jìn)行密碼校驗。UserDetailsService 接口是一個用戶詳細(xì)信息服務(wù)接口，用于獲取用戶信息和密碼。PasswordEncoder 接口是一個密碼編碼器接口，用于對密碼進(jìn)行編碼和解碼。

下面是一個基本的 Spring Security 配置示例，用于實現(xiàn)身份認(rèn)證：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
? ? @Autowired
? ? private UserDetailsService userDetailsService;
? ? @Autowired
? ? private PasswordEncoder passwordEncoder;
? ? @Override
? ? protected void configure(HttpSecurity http) throws Exception {
? ? ? ? http.authorizeRequests()
? ? ? ? ? ? .antMatchers("/admin/**").hasRole("ADMIN")
? ? ? ? ? ? .antMatchers("/user/**").hasRole("USER")
? ? ? ? ? ? .anyRequest().authenticated()
? ? ? ? ? ? .and()
? ? ? ? ? ? .formLogin()
? ? ? ? ? ? .and()
? ? ? ? ? ? .logout()
? ? ? ? ? ? .and()
? ? ? ? ? ? .csrf().disable();
? ? }
? ? @Override
? ? protected void configure(AuthenticationManagerBuilder auth) throws Exception {
? ? ? ? auth.userDetailsService(userDetailsService)
? ? ? ? ? ? .passwordEncoder(passwordEncoder);
? ? }
? }

在上面的代碼中，使用 @EnableWebSecurity 注解啟用 Spring Security。configure(HttpSecurity http) 方法用于配置訪問控制，指定哪些 URL 需要哪些角色才能訪問，以及任何請求都需要經(jīng)過身份驗證。formLogin() 方法啟用基于表單的身份驗證，logout() 方法啟用注銷支持，csrf().disable() 方法禁用 CSRF 保護(hù)。

configure(AuthenticationManagerBuilder auth) 方法用于配置身份驗證，指定使用哪個 UserDetailsService 實現(xiàn)來獲取用戶信息和密碼，以及使用哪個 PasswordEncoder 實現(xiàn)進(jìn)行密碼校驗。

2. Spring Security 的授權(quán)

Spring Security 的授權(quán)是通過 AccessDecisionManager 接口實現(xiàn)的。AccessDecisionManager 接口是一個訪問決策管理器，用于決定用戶是否有權(quán)限訪問某個資源。在 Spring Security 中，AccessDecisionManager 接口的默認(rèn)實現(xiàn)是 AffirmativeBased。

AffirmativeBased 是一個訪問決策管理器，它包含一個或多個 AccessDecisionVoter 實現(xiàn)，用于決定用戶是否有權(quán)限訪問某個資源。AccessDecisionVoter 接口是一個投票者，用于決定用戶是否有權(quán)限訪問某個資源。在 Spring Security 中，AccessDecisionVoter 的默認(rèn)實現(xiàn)是 RoleVoter。

RoleVoter 是一個投票者，用于根據(jù)用戶的角色決定用戶是否有權(quán)限訪問某個資源。在 Spring Security 中，我們可以通過實現(xiàn) AccessDecisionVoter 接口來自定義投票者，根據(jù)自己的需求來決定用戶是否有權(quán)限訪問某個資源。

下面是一個基本的 Spring Security 配置示例，用于實現(xiàn)授權(quán)：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
? ? @Autowired
? ? private UserDetailsService userDetailsService;
? ? @Autowired
? ? private PasswordEncoder passwordEncoder;
? ? @Override
? ? protected void configure(HttpSecurity http) throws Exception {
? ? ? ? http.authorizeRequests()
? ? ? ? ? ? .antMatchers("/admin/**").hasRole("ADMIN")
? ? ? ? ? ? .antMatchers("/user/**").hasRole("USER")
? ? ? ? ? ? .anyRequest().authenticated()
? ? ? ? ? ? .and()
? ? ? ? ? ? .formLogin()
? ? ? ? ? ? .and()
? ? ? ? ? ? .logout()
? ? ? ? ? ? .and()
? ? ? ? ? ? .csrf().disable();
? ? }
? ? @Override
? ? protected void configure(AuthenticationManagerBuilder auth) throws Exception {
? ? ? ? auth.userDetailsService(userDetailsService)
? ? ? ? ? ? .passwordEncoder(passwordEncoder);
? ? }

@Bean在上面的代碼中，使用 @Bean 注解創(chuàng)建了一個自定義的 AccessDecisionVoter 實例，用于自定義投票邏輯。在 configure(HttpSecurity http) 方法中，通過 accessDecisionManager() 方法將自定義的 AccessDecisionVoter 實例添加到訪問決策管理器中。

3. 完整的示例代碼

下面是一個完整的 Spring Security 配置示例代碼，用于實現(xiàn)身份認(rèn)證和授權(quán)：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
? ? @Autowired
? ? private UserDetailsService userDetailsService;
? ? @Autowired
? ? private PasswordEncoder passwordEncoder;
? ? @Override
? ? protected void configure(HttpSecurity http) throws Exception {
? ? ? ? http.authorizeRequests()
? ? ? ? ? ? .antMatchers("/admin/**").hasRole("ADMIN")
? ? ? ? ? ? .antMatchers("/user/**").hasRole("USER")
? ? ? ? ? ? .anyRequest().authenticated()
? ? ? ? ? ? .and()
? ? ? ? ? ? .formLogin()
? ? ? ? ? ? .and()
? ? ? ? ? ? .logout()
? ? ? ? ? ? .and()
? ? ? ? ? ? .csrf().disable()
? ? ? ? ? ? .exceptionHandling()
? ? ? ? ? ? .accessDeniedPage("/403");
? ? }
? ? @Override
? ? protected void configure(AuthenticationManagerBuilder auth) throws Exception {
? ? ? ? auth.userDetailsService(userDetailsService)
? ? ? ? ? ? .passwordEncoder(passwordEncoder);
? ? }
? ? @Bean
? ? public AccessDecisionVoter<Object> accessDecisionVoter(){
? ? ? ? RoleHierarchyVoter roleHierarchyVoter = new RoleHierarchyVoter(roleHierarchy());
? ? ? ? return roleHierarchyVoter;
? ? }
? ? @Bean
? ? public RoleHierarchyImpl roleHierarchy() {
? ? ? ? RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
? ? ? ? roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
? ? ? ? return roleHierarchy;
? ? }
? ? @Bean
? ? public PasswordEncoder passwordEncoder() {
? ? ? ? return new BCryptPasswordEncoder();
? ? }
}

在上面的代碼中，使用 @EnableWebSecurity 注解啟用 Spring Security。configure(HttpSecurity http) 方法用于配置訪問控制，指定哪些 URL 需要哪些角色才能訪問，以及任何請求都需要經(jīng)過身份驗證。formLogin() 方法啟用基于表單的身份驗證，logout() 方法啟用注銷支持，csrf().disable() 方法禁用 CSRF 保護(hù)，并且使用 accessDeniedPage() 方法指定訪問被拒絕時跳轉(zhuǎn)的頁面。

configure(AuthenticationManagerBuilder auth) 方法用于配置身份驗證，指定使用哪個 UserDetailsService 實現(xiàn)來獲取用戶信息和密碼，以及使用哪個 PasswordEncoder 實現(xiàn)進(jìn)行密碼校驗。

accessDecisionVoter() 方法創(chuàng)建了一個自定義的 AccessDecisionVoter 實例，用于自定義投票邏輯。在這個例子中，我們使用了 RoleHierarchyVoter 類實現(xiàn)了一個基于角色繼承關(guān)系的投票邏輯。RoleHierarchyImpl 類用于定義角色繼承關(guān)系。

passwordEncoder() 方法用于創(chuàng)建一個密碼編碼器實例，這里我們使用了 BCryptPasswordEncoder 類實現(xiàn)密碼編碼。

最后，我們需要實現(xiàn) UserDetailsService 接口，用于獲取用戶信息和密碼。下面是一個簡單的實現(xiàn)示例：

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
? ? @Autowired
? ? private UserRepository userRepository;
? ? @Override
? ? public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
? ? ? ? User user = userRepository.findByUsername(username)
? ? ? ? ? ? ? ? .orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username));
? ? ? ? return new org.springframework.security.core.userdetails.User(
? ? ? ? ? ? ? ? user.getUsername(),
? ? ? ? ? ? ? ? user.getPassword(),
? ? ? ? ? ? ? ? user.getRoles().stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList()));
? ? }
}

在上面的代碼中，我們使用 UserRepository 類獲取用戶信息和密碼，并將其包裝成一個 UserDetails 實例返回。在這個例子中，我們使用了 org.springframework.security.core.userdetails.User 類實現(xiàn)了 UserDetails 接口。

結(jié)語

Spring Security 是一個非常強(qiáng)大的安全框架，可以為 Spring Boot 應(yīng)用提供完整的身份認(rèn)證和授權(quán)功能。本文介紹了 Spring Security 如何實現(xiàn)身份認(rèn)證和授權(quán)，并提供了示例代碼。使用 Spring Security 可以非常方便地保護(hù)應(yīng)用程序，防止惡意攻擊和數(shù)據(jù)泄露。

到此這篇關(guān)于Spring Security實現(xiàn)身份認(rèn)證和授權(quán)的示例代碼的文章就介紹到這了,更多相關(guān)Spring Security身份認(rèn)證和授權(quán)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: