一文读懂SpringSecurity的配置规则

Spring Security 是一个用于保护 Spring Web 应用程序的安全框架。它提供了一系列功能，例如用户认证、授权、访问控制、密码编码、会话管理和异常处理。

Spring Security 的配置主要通过以下两种方式进行：

基于 Java 代码的配置：使用 @EnableWebSecurity 注解启用 Spring Security 并扩展 WebSecurityConfigurerAdapter 类来配置安全规则。

基于 XML 配

基于 Java 代码的配置

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired

private UserRepository userRepository;

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

auth.userDetailsService(new MyUserDetailsService(userRepository));

}

protected void configure(HttpSecurity http) throws Exception {

http

.authorizeRequests()

.antMatchers("/admin/**").hasRole("ADMIN")

.anyRequest().authenticated()

.and()

.formLogin()

.loginPage("/login")

.permitAll()

.and()

.logout()

.logoutUrl("/logout")

.permitAll();

}

}

@EnableWebSecurity 注解启用 Spring Security。

configure(AuthenticationManagerBuilder) 方法配置了身份验证机

configure(HttpSecurity) 方法配置了授权规则，例如哪些 URL 需要身份验证，哪些 URL 可以匿名访问。

基于 XML 配置

以下是一个示例，展示了如何使用 XML 配置 Spring Security：

元素是 Spring Security 命名空间的根元素。

authentication-provider 元素配置了身份验证机制。

user-details-service 元素配置了用户详细信息服务，该服务负责从数据库或其他来源加载用户详细信息。

http 元素配置了授权规则和登录表单。

intercept-url 元素配置了 URL 模式和访问控制规则。

form-login 元素配置了登录表单。

logout 元素配置了退出登录。

Spring Security 的核心配置元素

Spring Security 提供了大量的配置元素，用于配置各种安全功能。以下是一些核心配置元素：

AuthenticationManagerBuilder： 配置身份验证机制。

HttpSecurity： 配置授权规则、登录表单、退出登录等。

UserDetailsService： 从数据库或其他来源加载用户详细信息。

PasswordEncoder： 对密码进行编码和解码。

FilterSecurityInterceptor： 拦截请求并应用安全规则。

AccessDecisionManager： 确定用户是否有权访问特定资源。

SecurityContext： 存储有关当前用户安全上下文的信息。