一、项目依赖配置
-
Maven项目
- 如果使用Maven构建项目,需要在项目的
pom.xml文件中添加Spring Security的依赖。通常包括spring-security-web和spring-security-config。
<dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>(版本号)</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>(版本号)</version> </dependency>- 注意要根据你的Spring版本选择合适的Spring Security版本,以避免兼容性问题。可以参考Spring官方文档中的版本兼容性矩阵。
- 如果使用Maven构建项目,需要在项目的
-
Gradle项目
- 对于Gradle项目,在
build.gradle文件中添加以下依赖:
implementation 'org.springframework.security:spring-security-web:(版本号)' implementation 'org.springframework.security:spring-security-config:(版本号)' - 对于Gradle项目,在
二、配置Security
- 创建配置类
- 创建一个Java配置类(例如
SecurityConfig),该类需要使用@Configuration注解来表明它是一个配置类,并且要继承自WebSecurityConfigurerAdapter。
import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { // 配置方法将在这里添加 } - 创建一个Java配置类(例如
- 配置认证管理器(Authentication Manager)
- 可以重写
configure(AuthenticationManagerBuilder auth)方法来配置用户认证信息。例如,使用内存中的用户认证:
import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user1") .password("{noop}password1") .roles("USER"); } }- 这里创建了一个用户名为
user1,密码为password1,角色为USER的用户。{noop}表示密码没有进行加密处理,在实际应用中应该使用加密后的密码。
- 可以重写
- 配置访问控制(Access Control)
- 重写
configure(HttpSecurity http)方法来配置URL访问权限。例如:
import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .and() .logout(); } }- 上述配置表示:
- 对于
/public/开头的URL路径,允许所有用户访问。 - 对于
/admin/开头的URL路径,要求用户具有ADMIN角色才能访问。 - 其他所有请求都需要用户认证。
- 启用了表单登录(
formLogin)和注销(logout)功能。
- 对于
- 重写
三、启用Spring Security
- 在Spring Boot应用中
- 如果是Spring Boot应用,一旦添加了上述配置类,Spring Security会自动启用。Spring Boot会自动扫描配置类,并应用安全配置。
- 在传统Spring应用中
- 需要在
web.xml文件(如果使用Servlet规范)中配置DelegatingFilterProxy,它会将请求委托给Spring Security的过滤器链。
<filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> - 需要在
这只是Spring Security集成的基本步骤。在实际应用中,可能还需要配置更多的功能,如自定义登录页面、与数据库集成进行用户认证、处理跨域资源共享(CORS)等。例如,要使用自定义登录页面,可以在configure(HttpSecurity http)方法中指定登录页面的路径:
http.formLogin()
.loginPage("/login")
.permitAll();
这样,当用户需要登录时,会被重定向到/login页面。并且这个页面对于所有用户都是可访问的(permitAll)。