Spring Boot 整合 Spring Security 构建安全 Web 应用

2. 配置 Spring Security

在 Spring Boot 2.x/3.x 版本中，推荐使用 SecurityFilterChain Bean 来替代已废弃的 WebSecurityConfigurerAdapter 类。这种方式更加灵活且符合函数式编程风格。

创建一个配置类 SecurityConfig：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(auth -> auth
                // 允许匿名访问首页和登录页
                .requestMatchers("/", "/home", "/login", "/css/**", "/js/**").permitAll()
                // 其他所有请求需要认证
                .anyRequest().authenticated()
            )
            // 配置表单登录
            .formLogin(form -> form
                .loginPage("/login")
                .permitAll()
                .defaultSuccessUrl("/home", true)
            )
            // 配置登出
            .logout(logout -> logout
                .logoutUrl("/logout")
                .logoutSuccessUrl("/")
                .invalidateHttpSession(true)
                .deleteCookies("JSESSIONID")
            )
            // 启用 CSRF 保护
            .csrf(csrf -> csrf.disable()); // 开发环境可暂时禁用，生产环境建议启用

        return http.build();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

配置说明：

• authorizeHttpRequests: 定义 URL 的访问权限规则。
• formLogin: 启用默认表单登录，指定登录页面路径及成功跳转地址。
• logout: 定义登出行为，包括登出 URL 和登出后跳转地址。
• PasswordEncoder: 使用 BCrypt 算法对密码进行加密存储。

3. 创建用户服务

Spring Security 通过 UserDetailsService 接口加载用户详细信息。我们需要实现该接口，从数据库或内存中获取用户数据。

import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.Collections;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 实际项目中应从数据库查询用户信息
        // 此处为模拟数据演示
        if (!"admin".equals(username)) {
            throw new UsernameNotFoundException("用户不存在");
        }

        // 使用 BCrypt 加密后的密码示例
        String encodedPassword = "$2a$10$Nz9X2Y5Z8v6q7k4m5p6rR.uVwXyZ1aBcDeFgHiJkLmNoPqRsTuVw";

        return User.withUsername(username)
                .password(encodedPassword)
                .authorities(Collections.singletonList(new SimpleGrantedAuthority("ROLE_USER")))
                .build();
    }
}

注意： 在实际生产环境中，应连接数据库查询用户表，并使用 PasswordEncoder 验证密码是否匹配。

4. 控制器和视图

创建简单的控制器来处理页面跳转逻辑。

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class HomeController {

    @GetMapping("/")
    public String index() {
        return "index";
    }

    @GetMapping("/home")
    public String home() {
        return "home";
    }

    @GetMapping("/login")
    public String login() {
        return "login";
    }

    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }
}

在 src/main/resources/templates 目录下创建对应的 HTML 文件（如使用 Thymeleaf），确保包含基本的表单结构以配合 Spring Security 的登录拦截器。

5. 运行与测试

完成上述配置后，运行 Spring Boot 主程序。访问 http://localhost:8080，系统会自动重定向至 /login 页面。

1. 输入用户名 admin。
2. 输入预设的密码（需与数据库中加密后的密码对应，测试时可使用 BCrypt 工具生成）。
3. 登录成功后将跳转至 /home 页面。
4. 访问 /hello 等受保护资源，未登录状态下将被拦截。
5. 点击登出按钮，会话失效并返回首页。

6. 进阶配置建议

6.1 自定义错误页面

当用户无权访问或发生认证错误时，可以配置自定义错误页面提升用户体验。

.exceptionHandling(ex -> ex
    .accessDeniedPage("/error/403")
    .authenticationEntryPoint((req, res, authEx) -> res.sendRedirect("/error/401"))
);

6.2 会话管理

防止会话固定攻击，设置会话超时时间。

.sessionManagement(session -> session
    .maximumSessions(1)
    .maxSessionsPreventsLogin(false)
    .expiredUrl("/login?expired")
);

6.3 密码编码策略

始终使用强哈希算法（如 BCrypt、Argon2）存储密码，严禁明文存储。在初始化用户数据时，务必调用 passwordEncoder.encode() 方法。

总结

本文详细讲解了如何在 Spring Boot 中集成 Spring Security，涵盖了依赖引入、安全配置、用户服务实现、控制器映射以及运行测试等关键步骤。通过合理的配置，可以快速为 Web 应用建立起完善的身份验证与授权机制。在实际项目中，还需结合业务需求进一步细化权限控制、对接 OAuth2 或 JWT 等高级特性。