散文網(wǎng) » 科技 »學(xué)習(xí) » Spring Security 如何實現(xiàn)身份認(rèn)證和授權(quán)？

Spring Security 如何實現(xiàn)身份認(rèn)證和授權(quán)？

2023-05-23 14:19 作者:程序員徐公 0人讀過 | 我要投稿

Spring Security 是一個開源的安全框架，提供了基于權(quán)限的訪問控制、身份認(rèn)證、安全性事件發(fā)布等功能。在 Spring Boot 應(yīng)用中使用 Spring Security 可以非常方便地實現(xiàn)用戶身份認(rèn)證和授權(quán)。

Spring Security 實現(xiàn)身份認(rèn)證的主要方式是使用認(rèn)證過濾器鏈，該過濾器鏈包含多個過濾器，用于對用戶進行身份驗證和授權(quán)。在 Spring Security 中，認(rèn)證和授權(quán)處理是通過過濾器鏈中的過濾器來實現(xiàn)的，最終返回一個認(rèn)證成功的用戶對象。本文將介紹 Spring Security 如何實現(xiàn)身份認(rèn)證和授權(quán)，并提供示例代碼。

1. Spring Security 的身份認(rèn)證

Spring Security 的身份認(rèn)證是通過 AuthenticationManager 接口實現(xiàn)的。AuthenticationManager 接口是一個認(rèn)證管理器，用于對用戶進行身份驗證。在 Spring Security 中，AuthenticationManager 接口的默認(rèn)實現(xiàn)是 ProviderManager。

ProviderManager 是一個認(rèn)證管理器，它包含一個或多個 AuthenticationProvider 實現(xiàn)，用于對用戶進行身份驗證。AuthenticationProvider 接口是一個認(rèn)證提供者，用于驗證用戶身份。在 Spring Security 中，AuthenticationProvider 的默認(rèn)實現(xiàn)是 DaoAuthenticationProvider。

DaoAuthenticationProvider 是一個認(rèn)證提供者，用于對用戶進行身份驗證。它需要一個 UserDetailsService 實現(xiàn)來獲取用戶信息和密碼，然后使用 PasswordEncoder 進行密碼校驗。UserDetailsService 接口是一個用戶詳細(xì)信息服務(wù)接口，用于獲取用戶信息和密碼。PasswordEncoder 接口是一個密碼編碼器接口，用于對密碼進行編碼和解碼。

下面是一個基本的 Spring Security 配置示例，用于實現(xiàn)身份認(rèn)證：

@Configuration @EnableWebSecurity public?class?SecurityConfig?extends?WebSecurityConfigurerAdapter?{ ????@Autowired ????private?UserDetailsService?userDetailsService; ????@Autowired ????private?PasswordEncoder?passwordEncoder; ????@Override ????protected?void?configure(HttpSecurity?http)?throws?Exception?{ ????????http.authorizeRequests() ????????????.antMatchers("/admin/**").hasRole("ADMIN") ????????????.antMatchers("/user/**").hasRole("USER") ????????????.anyRequest().authenticated() ????????????.and() ????????????.formLogin() ????????????.and() ????????????.logout() ????????????.and() ????????????.csrf().disable(); ????} ????@Override ????protected?void?configure(AuthenticationManagerBuilder?auth)?throws?Exception?{ ????????auth.userDetailsService(userDetailsService) ????????????.passwordEncoder(passwordEncoder); ????} ??}

在上面的代碼中，使用 @EnableWebSecurity 注解啟用 Spring Security。configure(HttpSecurity http) 方法用于配置訪問控制，指定哪些 URL 需要哪些角色才能訪問，以及任何請求都需要經(jīng)過身份驗證。formLogin() 方法啟用基于表單的身份驗證，logout() 方法啟用注銷支持，csrf().disable() 方法禁用 CSRF 保護。

configure(AuthenticationManagerBuilder auth) 方法用于配置身份驗證，指定使用哪個 UserDetailsService 實現(xiàn)來獲取用戶信息和密碼，以及使用哪個 PasswordEncoder 實現(xiàn)進行密碼校驗。

2. Spring Security 的授權(quán)

Spring Security 的授權(quán)是通過 AccessDecisionManager 接口實現(xiàn)的。AccessDecisionManager 接口是一個訪問決策管理器，用于決定用戶是否有權(quán)限訪問某個資源。在 Spring Security 中，AccessDecisionManager 接口的默認(rèn)實現(xiàn)是 AffirmativeBased。

AffirmativeBased 是一個訪問決策管理器，它包含一個或多個 AccessDecisionVoter 實現(xiàn)，用于決定用戶是否有權(quán)限訪問某個資源。AccessDecisionVoter 接口是一個投票者，用于決定用戶是否有權(quán)限訪問某個資源。在 Spring Security 中，AccessDecisionVoter 的默認(rèn)實現(xiàn)是 RoleVoter。

RoleVoter 是一個投票者，用于根據(jù)用戶的角色決定用戶是否有權(quán)限訪問某個資源。在 Spring Security 中，我們可以通過實現(xiàn) AccessDecisionVoter 接口來自定義投票者，根據(jù)自己的需求來決定用戶是否有權(quán)限訪問某個資源。

下面是一個基本的 Spring Security 配置示例，用于實現(xiàn)授權(quán)：

@Configuration @EnableWebSecurity public?class?SecurityConfig?extends?WebSecurityConfigurerAdapter?{ ????@Autowired ????private?UserDetailsService?userDetailsService; ????@Autowired ????private?PasswordEncoder?passwordEncoder; ????@Override ????protected?void?configure(HttpSecurity?http)?throws?Exception?{ ????????http.authorizeRequests() ????????????.antMatchers("/admin/**").hasRole("ADMIN") ????????????.antMatchers("/user/**").hasRole("USER") ????????????.anyRequest().authenticated() ????????????.and() ????????????.formLogin() ????????????.and() ????????????.logout() ????????????.and() ????????????.csrf().disable(); ????} ????@Override ????protected?void?configure(AuthenticationManagerBuilder?auth)?throws?Exception?{ ????????auth.userDetailsService(userDetailsService) ????????????.passwordEncoder(passwordEncoder); ????}

@Bean在上面的代碼中，使用 @Bean 注解創(chuàng)建了一個自定義的 AccessDecisionVoter 實例，用于自定義投票邏輯。在 configure(HttpSecurity http) 方法中，通過 accessDecisionManager() 方法將自定義的 AccessDecisionVoter 實例添加到訪問決策管理器中。

3. 完整的示例代碼

下面是一個完整的 Spring Security 配置示例代碼，用于實現(xiàn)身份認(rèn)證和授權(quán)：

@Configuration @EnableWebSecurity public?class?SecurityConfig?extends?WebSecurityConfigurerAdapter?{ ????@Autowired ????private?UserDetailsService?userDetailsService; ????@Autowired ????private?PasswordEncoder?passwordEncoder; ????@Override ????protected?void?configure(HttpSecurity?http)?throws?Exception?{ ????????http.authorizeRequests() ????????????.antMatchers("/admin/**").hasRole("ADMIN") ????????????.antMatchers("/user/**").hasRole("USER") ????????????.anyRequest().authenticated() ????????????.and() ????????????.formLogin() ????????????.and() ????????????.logout() ????????????.and() ????????????.csrf().disable() ????????????.exceptionHandling() ????????????.accessDeniedPage("/403"); ????} ????@Override ????protected?void?configure(AuthenticationManagerBuilder?auth)?throws?Exception?{ ????????auth.userDetailsService(userDetailsService) ????????????.passwordEncoder(passwordEncoder); ????} ????@Bean ????public?AccessDecisionVoter<Object>?accessDecisionVoter(){ ????????RoleHierarchyVoter?roleHierarchyVoter?=?new?RoleHierarchyVoter(roleHierarchy()); ????????return?roleHierarchyVoter; ????} ????@Bean ????public?RoleHierarchyImpl?roleHierarchy()?{ ????????RoleHierarchyImpl?roleHierarchy?=?new?RoleHierarchyImpl(); ????????roleHierarchy.setHierarchy("ROLE_ADMIN?>?ROLE_USER"); ????????return?roleHierarchy; ????} ????@Bean ????public?PasswordEncoder?passwordEncoder()?{ ????????return?new?BCryptPasswordEncoder(); ????} }

在上面的代碼中，使用 @EnableWebSecurity 注解啟用 Spring Security。configure(HttpSecurity http) 方法用于配置訪問控制，指定哪些 URL 需要哪些角色才能訪問，以及任何請求都需要經(jīng)過身份驗證。formLogin() 方法啟用基于表單的身份驗證，logout() 方法啟用注銷支持，csrf().disable() 方法禁用 CSRF 保護，并且使用 accessDeniedPage() 方法指定訪問被拒絕時跳轉(zhuǎn)的頁面。

configure(AuthenticationManagerBuilder auth) 方法用于配置身份驗證，指定使用哪個 UserDetailsService 實現(xiàn)來獲取用戶信息和密碼，以及使用哪個 PasswordEncoder 實現(xiàn)進行密碼校驗。

accessDecisionVoter() 方法創(chuàng)建了一個自定義的 AccessDecisionVoter 實例，用于自定義投票邏輯。在這個例子中，我們使用了 RoleHierarchyVoter 類實現(xiàn)了一個基于角色繼承關(guān)系的投票邏輯。RoleHierarchyImpl 類用于定義角色繼承關(guān)系。

passwordEncoder() 方法用于創(chuàng)建一個密碼編碼器實例，這里我們使用了 BCryptPasswordEncoder 類實現(xiàn)密碼編碼。

最后，我們需要實現(xiàn) UserDetailsService 接口，用于獲取用戶信息和密碼。下面是一個簡單的實現(xiàn)示例：

@Service public?class?UserDetailsServiceImpl?implements?UserDetailsService?{ ????@Autowired ????private?UserRepository?userRepository; ????@Override ????public?UserDetails?loadUserByUsername(String?username)?throws?UsernameNotFoundException?{ ????????User?user?=?userRepository.findByUsername(username) ????????????????.orElseThrow(()?->?new?UsernameNotFoundException("User?not?found?with?username:?"?+?username)); ????????return?new?org.springframework.security.core.userdetails.User( ????????????????user.getUsername(), ????????????????user.getPassword(), ????????????????user.getRoles().stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList())); ????} }

在上面的代碼中，我們使用 UserRepository 類獲取用戶信息和密碼，并將其包裝成一個 UserDetails 實例返回。在這個例子中，我們使用了 org.springframework.security.core.userdetails.User 類實現(xiàn)了 UserDetails 接口。

結(jié)語

Spring Security 是一個非常強大的安全框架，可以為 Spring Boot 應(yīng)用提供完整的身份認(rèn)證和授權(quán)功能。本文介紹了 Spring Security 如何實現(xiàn)身份認(rèn)證和授權(quán)，并提供了示例代碼。使用 Spring Security 可以非常方便地保護應(yīng)用程序，防止惡意攻擊和數(shù)據(jù)泄露。

標(biāo)簽：