SpringSecurity如何实现配置单个HttpSecurity

Spring Security 配置 HttpSecurity Spring Security 是一个功能强大且灵活的安全框架，提供了许多强大的安全功能。今天，我们将详细介绍如何使用 Spring Security 实现配置单个 HttpSecurity。 一、创建项目并导入依赖 在使用 Spring Security 之前，我们需要创建一个 Spring Boot 项目，并导入相关依赖。我们可以使用 Maven 或 Gradle 来管理依赖。下面是一个简单的 Maven 依赖项： ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` 二、相关配置和代码 在创建完项目时，我们的 Spring Boot 项目所有接口都被保护起来了，如果要想访问必须登陆，用户名默认是 user，密码在项目启动时生成在控制台。 1. 配置账户和密码 我们可以通过两种方式来配置账户和密码。 1.1 在 application.properties 中配置 我们可以在 application.properties 文件中添加以下配置： ```properties spring.security.user.name=fernfei spring.security.user.password=fernfei spring.security.user.roles=admin ``` 1.2 在配置类中配置 我们也可以在配置类中配置账户和密码。我们需要创建一个继承 WebSecurityConfigurerAdapter 的配置类，并使用 @Configuration 注解。 ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("fernfei") .password("fernfei") .roles("admin"); } } ``` 需要注意的是，从 Spring 5 开始，强制要求密码要加密，如果不想加密，可以使用一个过期的 PasswordEncoder 的实例 NoOpPasswordEncoder，但是不建议这么做，因为不安全。 2. HttpSecurity 配置 现在，我们需要配置 HttpSecurity 来保护我们的应用程序。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/").hasRole("admin") .antMatchers("/db/").hasAnyRole("admin","user") .antMatchers("/user/").access("hasAnyRole('admin','user')") // 剩下的其他路径请求验证之后就可以访问 .anyRequest().authenticated() .and() .formLogin() .loginProcessingUrl("/dologin") .loginPage("/login") .usernameParameter("uname") .passwordParameter("pwd") .successHandler(new AuthenticationSuccessHandler() { @Override public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException { response.setContentType("application/json;charset=utf-8"); PrintWriter pw = response.getWriter(); Map<String, Object> map = new HashMap<String, Object>(); map.put("status", 200); map.put("message", "登录成功"); pw.write(JSONObject.toJSONString(map)); pw.flush(); pw.close(); } }); } ``` 在上面的代码中，我们配置了 HttpSecurity，以保护我们的应用程序。我们使用 antMatchers 方法来指定不同的路径对应不同的角色，然后使用 formLogin 方法来配置登录页。 使用 Spring Security 可以轻松地保护我们的应用程序，并提供了许多强大的安全功能。