Spring Boot中使用Spring Security进行安全控制

我们在编写Web应用时，经常需要对页面做一些安全控制，比如：对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样，可以通过Aop、拦截器实现，也可以通过框架实现（如：Apache Shiro、Spring Security）。

本文将具体介绍在Spring Boot中如何使用Spring Security进行安全控制。

准备工作

首先，构建一个简单的Web工程，以用于后续添加安全控制，也可以用之前Chapter3-1-2做为基础工程。若对如何使用Spring Boot构建Web应用，可以先阅读《Spring Boot开发Web应用》一文。

Web层实现请求映射

@Controller
public class HelloController {

    @RequestMapping("/")
    public String index() {
        return "index";
    }

    @RequestMapping("/hello")
    public String hello() {
        return "hello";
    }

}

• /：映射到index.html
• /hello：映射到hello.html

实现映射的页面

• src/main/resources/templates/index.html

    
        
    
    
        
欢迎使用Spring Security!
        
点击 这里 打个招呼吧
    

• src/main/resources/templates/hello.html

    
        
    
    
        
Hello world!
    

可以看到在index.html中提供到/hello的链接，显然在这里没有任何安全控制，所以点击链接后就可以直接跳转到hello.html页面。

整合Spring Security

在这一节，我们将对/hello页面进行权限控制，必须是授权用户才能访问。当没有权限的用户访问后，跳转到登录页面。

添加依赖

在pom.xml中添加如下配置，引入对Spring Security的依赖。

    ...
        
            org.springframework.boot
            spring-boot-starter-security
        
    ...

Spring Security配置

创建Spring Security的配置类WebSecurityConfig，具体如下：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }

}

• 通过@EnableWebMvcSecurity注解开启Spring Security的功能
• 继承WebSecurityConfigurerAdapter，并重写它的方法来设置一些web安全的细节
• configure(HttpSecurity http)方法
• 通过authorizeRequests()定义哪些URL需要被保护、哪些不需要被保护。例如以上代码指定了/和/home不需要任何认证就可以访问，其他的路径都必须通过身份验证。
• 通过formLogin()定义当需要用户登录时候，转到的登录页面。
• configureGlobal(AuthenticationManagerBuilder auth)方法，在内存中创建了一个用户，该用户的名称为user，密码为password，用户角色为USER。

新增登录请求与页面

在完成了Spring Security配置之后，我们还缺少登录的相关内容。

HelloController中新增/login请求映射至login.html

@Controller
public class HelloController {

    // 省略之前的内容...

    @RequestMapping("/login")
    public String login() {
        return "login";
    }

}

新增登录页面：src/main/resources/templates/login.html

    
        
    
    
        

            用户名或密码错
        
        

            您已注销成功
        
        

            
 用户名 :  
            
 密  码 :  
            

        
    

可以看到，实现了一个简单的通过用户名和密码提交到/login的登录方式。

根据配置，Spring Security提供了一个过滤器来拦截请求并验证用户身份。如果用户身份认证失败，页面就重定向到/login?error，并且页面中会展现相应的错误信息。若用户想要注销登录，可以通过访问/login?logout请求，在完成注销之后，页面展现相应的成功消息。

到这里，我们启用应用，并访问http://localhost:8080/，可以正常访问。但是访问http://localhost:8080/hello的时候被重定向到了http://localhost:8080/login页面，因为没有登录，用户没有访问权限，通过输入用户名user和密码password进行登录后，跳转到了Hello World页面，再也通过访问http://localhost:8080/login?logout，就可以完成注销操作。

为了让整个过程更完成，我们可以修改hello.html，让它输出一些内容，并提供“注销”的链接。

    
        
    
    
        
Hello [[${#httpServletRequest.remoteUser}]]!
        

            
        
    

本文通过一个最简单的示例完成了对Web应用的安全控制，Spring Security提供的功能还远不止于此，更多Spring Security的使用可参见Spring Security Reference。

完整示例：Chapter4-3-1