SpringBoot -- 集成Spring Security (二)

一、Spring Security 简介

Spring Security 是 Spring 家族中的安全框架，主要提供：

• 认证（Authentication）：用户是谁（登录验证）。

• 授权（Authorization）：用户能做什么（访问权限控制）。

• 防护（Protection）：常见攻击防护，如 CSRF、会话劫持等。

在 Spring Boot 项目中，Spring Security 常见的使用方式是：

• 配置 安全拦截规则（哪些 URL 需要登录、哪些需要权限）。

• 定义 用户认证信息来源（内存 / 数据库 / 第三方服务）。

• 配置 密码加密 和 登录 / 登出页面。

---

二、核心代码与配置

1. 视图配置（代替 SpringMVC.xml）

@Configuration // 相当于 springmvc.xml
public class WebConfig implements WebMvcConfigurer {@Overridepublic void addViewControllers(ViewControllerRegistry registry) {// 访问根路径 “/” 时，重定向到 /login-viewregistry.addViewController("/").setViewName("redirect:/login-view");// 配置登录页映射：/login-view -> login.jspregistry.addViewController("/login-view").setViewName("login");}
}

---

2. Spring Security 核心配置

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
// 开启基于方法的权限控制（@PreAuthorize、@Secured）
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {//定义用户信息服务（查询用户信息），使用了SpringDataUserDetailsService类 就不用使用这个方法
/*@Beanpublic UserDetailsService userDetailsService(){InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());
manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());return manager;}
*///密码编码器（不对密码进行加密，密码是明文存储 & 明文校验。）【不推荐使用】/*@Beanpublic PasswordEncoder passwordEncoder(){return NoOpPasswordEncoder.getInstance();}*/// 密码编码器（推荐使用 BCrypt，避免明文存储）@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}// 安全拦截配置@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable() // 关闭 CSRF（前后端分离常关闭，表单需开启）.authorizeRequests()
//               .antMatchers("/r/r1").hasAuthority("p1")//基于url的方式授权，但是一般使用基于方法的方式授权即一般在controller的方法上加@PreAuthorize("hasAuthority('p1')")
//              .antMatchers("/r/r2").hasAuthority("p2")//基于url的方式授权，但是一般使用基于方法的方式授权即一般在controller的方法上加@PreAuthorize("hasAuthority('p2')").antMatchers("/r/**").authenticated() // 所有 /r/** 需要认证.anyRequest().permitAll() // 其他请求直接放行.and().formLogin() // 开启表单登录.loginPage("/login-view") //用户没有登录的话要跳转到 /login-view 这个路径 ，如果不指定，Spring Security会生成一个默认的login登录页面.loginProcessingUrl("/login") // 登录表单提交地址【与jsp中定义的<form action="login" method="post">的action要相同】.successForwardUrl("/login-success") // 登录成功跳转.and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) // 按需创建 session.and().logout().logoutUrl("/logout") // 登出请求.logoutSuccessUrl("/login-view?logout"); // 登出成功后跳转}
}

---

3. 登录 & 资源访问控制器

@RestController
public class LoginController {// 登录成功后跳转到这里@RequestMapping(value = "/login-success", produces = {"text/plain;charset=UTF-8"})public String loginSuccess() {return getUsername() + " 登录成功";}// 资源1：需要 p1 权限@GetMapping(value = "/r/r1", produces = {"text/plain;charset=UTF-8"})@PreAuthorize("hasAuthority('p1')")public String r1() {return getUsername() + " 访问资源1";}// 资源2：需要 p2 权限@GetMapping(value = "/r/r2", produces = {"text/plain;charset=UTF-8"})@PreAuthorize("hasAuthority('p2')")public String r2() {return getUsername() + " 访问资源2";}// 获取当前登录用户private String getUsername() {Authentication authentication = SecurityContextHolder.getContext().getAuthentication();Object principal = authentication.getPrincipal();if (principal instanceof UserDetails) {return ((UserDetails) principal).getUsername();}return principal.toString();}
}

---

4. 数据库访问层

@Repository
public class UserDao {@AutowiredJdbcTemplate jdbcTemplate;// 根据账号查询用户信息public UserDto getUserByUsername(String username) {String sql = "select id,username,password,fullname,mobile from t_user where username = ?";List<UserDto> list = jdbcTemplate.query(sql,new Object[]{username},new BeanPropertyRowMapper<>(UserDto.class));return (list != null && list.size() == 1) ? list.get(0) : null;}// 根据用户id查询权限public List<String> findPermissionsByUserId(String userId) {String sql = "SELECT * FROM t_permission WHERE id IN(" +"SELECT permission_id FROM t_role_permission WHERE role_id IN(" +"  SELECT role_id FROM t_user_role WHERE user_id = ? ))";List<PermissionDto> list = jdbcTemplate.query(sql,new Object[]{userId},new BeanPropertyRowMapper<>(PermissionDto.class));List<String> permissions = new ArrayList<>();list.forEach(c -> permissions.add(c.getCode()));return permissions;}
}

---

5. 用户与权限 DTO

@Data
public class UserDto {private String id;private String username;private String password;private String fullname;private String mobile;
}@Data
public class PermissionDto {private String id;private String code;        // 权限标识private String description; // 描述private String url;         // 资源路径
}

---

6. 自定义 UserDetailsService（认证逻辑）

//这个就是4.2 认证（Authentication）流程中的图解的第五步
//我们实现UserDetailsService接口，重写了loadUserByUsername方法，返回我们定义的UserDetails 
@Service
public class SpringDataUserDetailsService implements UserDetailsService {@AutowiredUserDao userDao;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {// 查询用户信息UserDto userDto = userDao.getUserByUsername(username);if (userDto == null) {throw new UsernameNotFoundException("用户不存在");}// 查询用户权限List<String> permissions = userDao.findPermissionsByUserId(userDto.getId());String[] permissionArray = permissions.toArray(new String[0]);// 构造 Spring Security Userreturn User.withUsername(userDto.getUsername()).password(userDto.getPassword()).authorities(permissionArray).build();}
}

---

7. 启动类

@SpringBootApplication
public class SecuritySpringBootApp {public static void main(String[] args) {SpringApplication.run(SecuritySpringBootApp.class, args);}
}

---

8. 配置文件（application.properties）

server.port=8080
server.servlet.context-path=/security-springboot
spring.application.name=security-springbootspring.mvc.view.prefix=/WEB-INF/view/
spring.mvc.view.suffix=.jspspring.datasource.url=jdbc:mysql://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=mysql
spring.datasource.driver-class-name=com.mysql.jdbc.Driver

---

9. 登录页面（login.jsp）

<%@ page contentType="text/html;charset=UTF-8" pageEncoding="utf-8" %>
<html>
<head><title>用户登录</title>
</head>
<body>
<form action="login" method="post">用户名：<input type="text" name="username"><br>密码：<input type="password" name="password"><br><input type="submit" value="登录">
</form>
</body>
</html>

---

10. Maven 依赖

<dependencies><!-- Web 依赖 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><!-- Security 依赖 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><!-- JDBC + MySQL --><dependency><groupId>mysql</groupId><artifactId>mysql-connector-java</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-jdbc</artifactId></dependency><!-- JSP 视图支持 --><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-jasper</artifactId></dependency><dependency><groupId>javax.servlet</groupId><artifactId>jstl</artifactId></dependency>
</dependencies>

---

三、总结

1. 登录认证：由 Spring Security 接管，使用 UserDetailsService 从数据库加载用户信息。

2. 权限控制：支持 URL 拦截（antMatchers）和方法级拦截（@PreAuthorize）。

3. 密码加密：使用 BCryptPasswordEncoder，避免明文存储。

4. 前后端交互：表单方式（JSP）提交到 /login，由 Security 自动处理。