Spring Boot 安全认证与授权核心解析

添加依赖后，我们需要创建一个配置类来定义安全规则。虽然新版 Spring Security 推荐使用 SecurityFilterChain Bean，但在许多现有项目中，继承 WebSecurityConfigurerAdapter 依然常见。下面展示一个基础的安全配置示例：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 这里配置认证方式，稍后详述
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .antMatchers("/").permitAll()
            .and()
            .formLogin().loginPage("/login").permitAll()
            .and()
            .logout().permitAll();
    }
}

在这个配置中，我们定义了 /admin/** 路径需要管理员角色，/user/** 需要普通用户角色，而首页对所有访客开放。同时启用了表单登录和登出功能。

认证机制详解

基于内存的认证

对于快速原型或简单测试，使用内存中的用户数据是最便捷的方式。这种方式下，用户名和密码直接硬编码在配置类中。

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
        .passwordEncoder(NoOpPasswordEncoder.getInstance())
        .withUser("admin").password("admin123").roles("ADMIN")
        .and()
        .withUser("user").password("user123").roles("USER");
}

注意，生产环境中强烈建议使用加密密码（如 BCrypt），而不是明文存储。这里的 NoOpPasswordEncoder 仅用于演示目的。

基于数据库的认证

实际业务场景中，用户信息通常存储在数据库中。这需要实现 UserDetailsService 接口，从数据库加载用户详情。

首先，定义用户实体类和 Repository：

import javax.persistence.*;

@Entity
@Table(name = "user")
public class User {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String username;
    private String password;
    private String role;

    // Getter 和 Setter 省略
}

import org.springframework.data.jpa.repository.JpaRepository;
import org.springframework.stereotype.Repository;

@Repository
public interface UserRepository extends JpaRepository<User, Long> {
    User findByUsername(String username);
}

接着，编写自定义的用户服务实现：

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import java.util.ArrayList;
import java.util.List;

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户不存在：" + username);
        }
        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_" + user.getRole()));
        return org.springframework.security.core.userdetails.User.builder()
            .username(user.getUsername())
            .password(user.getPassword())
            .authorities(authorities)
            .build();
    }
}

最后，在安全配置中注入这个服务：

@Autowired
private UserDetailsServiceImpl userDetailsService;

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService);
}

授权策略

Spring Security 支持多种授权方式，最常见的是基于角色的访问控制（RBAC）。通过 hasRole() 方法，我们可以轻松限制特定资源只能被拥有特定角色的用户访问。

例如，上述配置中的 .antMatchers("/admin/**").hasRole("ADMIN") 就确保了只有拥有 ADMIN 角色的用户才能访问后台管理接口。如果需要更细粒度的控制，还可以结合注解如 @PreAuthorize 在 Controller 层面进行权限校验。

实际应用场景

在实际开发中，Spring Security 的应用非常广泛。除了基础的登录登出，它还常用于实现单点登录（SSO）、OAuth2 集成以及 API 接口的 Token 验证等。

以下是一个完整的应用启动及控制器示例，展示了如何配合前端页面处理请求：

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@SpringBootApplication
public class SecurityApplication {
    public static void main(String[] args) {
        SpringApplication.run(SecurityApplication.class, args);
    }
}

@Controller
class SecurityController {
    @GetMapping("/")
    public String index() { return "index"; }
    
    @GetMapping("/login")
    public String login() { return "login"; }
    
    @GetMapping("/user")
    public String user() { return "user"; }
    
    @GetMapping("/admin")
    public String admin() { return "admin"; }
}

配合前端模板（如 Thymeleaf），用户可以体验完整的登录流程。未登录状态下访问受保护资源会自动重定向到登录页，登录成功后则根据角色跳转到对应页面。

结语

掌握 Spring Boot 与 Spring Security 的集成，意味着你拥有了为应用构建安全防线的能力。从内存认证到数据库持久化，从角色控制到接口保护，这些知识点构成了后端安全体系的基础。建议在实际项目中尝试替换默认的密码编码器，并探索 OAuth2 等更高级的认证方案，以适应复杂的业务需求。