Spring Boot 安全认证与授权实战

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 内存认证：仅用于演示，生产环境请使用数据库或 LDAP
        auth.inMemoryAuthentication()
            .passwordEncoder(NoOpPasswordEncoder.getInstance())
            .withUser("admin").password("admin123").roles("ADMIN")
            .and()
            .withUser("user").password("user123").roles("USER");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .antMatchers("/").permitAll()
            .and()
            .formLogin().loginPage("/login").permitAll()
            .and()
            .logout().permitAll();
    }
}

基于数据库的认证

实际开发中，用户信息通常存储在数据库中。核心在于实现 UserDetailsService 接口。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户不存在：" + username);
        }
        // 将角色转换为 GrantedAuthority
        return org.springframework.security.core.userdetails.User.builder()
                .username(user.getUsername())
                .password(user.getPassword())
                .authorities(new SimpleGrantedAuthority("ROLE_" + user.getRole()))
                .build();
    }
}

在配置类中注入这个 Service：

@Autowired
private UserDetailsServiceImpl userDetailsService;

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService);
}

权限控制

Spring Security 支持基于角色（Role）和权限（Permission）的控制。最常用的方法是 hasRole()，它会自动添加 "ROLE_" 前缀。

对于更细粒度的控制，可以使用 hasAuthority()。例如，限制只有管理员才能访问 /admin 路径，普通用户只能访问 /user。

最佳实践提示

1. 密码加密：示例中使用 NoOpPasswordEncoder 是为了方便理解，生产环境务必使用 BCrypt 等强哈希算法。
2. CSRF 保护：表单登录默认开启 CSRF，跨域场景需额外配置。
3. HTTPS：敏感数据传输必须强制使用 HTTPS。

通过上述步骤，你可以快速为 Spring Boot 应用建立起基础的认证与授权防线。根据业务复杂度，后续还可以扩展 OAuth2、JWT 等方案。