Spring Security是Spring框架的核心模块之一，用于保护Web应用程序和微服务的安全。它提供强大的认证和授权功能，并与Spring生态系统无缝集成。本节将详细介绍Spring Security的基础知识及其在实际项目中的应用。

---

1. Spring Security概述与功能

1.1 什么是Spring Security？

Spring Security 是一个功能丰富且高度可扩展的安全框架，用于保护Java应用程序，主要功能包括：

• 认证（Authentication）： 验证用户身份。
• 授权（Authorization）： 确定用户是否有权限访问资源。
• 防护攻击： 提供对常见安全攻击的保护（如CSRF、会话固定攻击等）。

1.2 Spring Security的主要功能

1. 身份验证：

   • 支持多种身份验证机制（数据库、LDAP、OAuth2等）。
   • 提供表单登录、Basic认证等默认方式。

2. 授权管理：

   • 基于角色、权限的访问控制。
   • 支持细粒度权限控制，如方法级别安全。

3. 安全配置：

   • 提供声明式和编程式两种配置方式。
   • 支持链式安全规则。

4. 安全保护：

   • CSRF防护。
   • XSS（跨站脚本攻击）保护。
   • 密码加密和存储。

5. 可扩展性：

   • 开发者可以自定义认证、授权规则。

---

2. 配置用户认证与授权

2.1 集成Spring Security

通过Spring Initializr快速创建项目，并添加以下依赖：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>

默认情况下，Spring Security会自动启用并提供以下功能：

• 启用HTTP Basic认证。
• 默认生成一个用户（用户名为user，密码在控制台打印）。

2.2 自定义安全配置

通过继承 WebSecurityConfigurerAdapter 类来自定义安全规则（Spring Security 5.7后建议使用SecurityFilterChain）：

javascript">import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;@Configuration
@EnableWebSecurity
public class SecurityConfig {@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests(auth -> auth.antMatchers("/public/**").permitAll() // 公开资源.antMatchers("/admin/**").hasRole("ADMIN") // 仅管理员访问.anyRequest().authenticated() // 其他请求需认证).formLogin() // 启用表单登录.and().httpBasic(); // 启用HTTP Basic认证return http.build();}@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder(); // 使用BCrypt加密}
}

2.3 配置用户详情服务

可以通过 InMemoryUserDetailsManager 或自定义数据库认证：

java">import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;@Configuration
public class UserConfig {@Beanpublic UserDetailsService userDetailsService() {UserDetails user = User.builder().username("user").password(new BCryptPasswordEncoder().encode("password")).roles("USER").build();UserDetails admin = User.builder().username("admin").password(new BCryptPasswordEncoder().encode("admin")).roles("ADMIN").build();return new InMemoryUserDetailsManager(user, admin);}
}

---

3. 实现基于角色的访问控制

3.1 基于URL的角色控制

在 SecurityFilterChain 中定义基于角色的访问规则：

java">http.authorizeHttpRequests(auth -> auth.antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasAnyRole("USER", "ADMIN").anyRequest().authenticated()
);

3.2 方法级别的权限控制

使用 @EnableGlobalMethodSecurity 启用方法级别权限控制：

java">import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;@Service
public class UserService {@PreAuthorize("hasRole('ADMIN')")public void adminOnlyMethod() {// 仅管理员可访问}@PreAuthorize("hasRole('USER')")public void userMethod() {// 普通用户访问}
}

3.3 动态权限控制

动态权限控制可以从数据库加载用户角色和权限。例如，通过Spring Data JPA加载用户和角色：

java">@Entity
public class Role {@Id@GeneratedValueprivate Long id;private String name;@ManyToMany(mappedBy = "roles")private Set<User> users;
}@Entity
public class User {@Id@GeneratedValueprivate Long id;private String username;private String password;@ManyToMany@JoinTable(name = "user_roles", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "role_id"))private Set<Role> roles;
}

通过自定义 UserDetailsService 加载用户信息：

java">import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;@Service
public class CustomUserDetailsService implements UserDetailsService {private final UserRepository userRepository;public CustomUserDetailsService(UserRepository userRepository) {this.userRepository = userRepository;}@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userRepository.findByUsername(username).orElseThrow(() -> new UsernameNotFoundException("User not found"));return new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),user.getRoles().stream().map(role -> new SimpleGrantedAuthority(role.getName())).collect(Collectors.toList()));}
}

---

总结

Spring Security通过丰富的功能和模块化设计，为Java开发者提供了一个强大的安全框架。在实际应用中，合理利用Spring Security的认证和授权功能，并结合项目需求自定义扩展，可以极大提升Web应用的安全性和用户体验。同时，结合数据库动态管理用户和角色，可以实现更精细化的权限控制。

关于作者：

15年互联网开发、带过10-20人的团队，多次帮助公司从0到1完成项目开发，在TX等大厂都工作过。当下为退役状态，写此篇文章属个人爱好。本人开发期间收集了很多开发课程等资料，需要可联系我