今日观点!Spring Boot的安全配置（一）

来源：腾讯云 2023-04-07 02:20:59

Spring Boot是一个非常流行的Java开发框架，提供了各种实用的功能和组件来快速构建应用程序。安全是任何Web应用程序开发的关键方面，因为它涉及到用户的身份验证和授权。Spring Boot提供了一些安全功能来保护Web应用程序免受恶意攻击，包括身份验证、授权、加密、防止跨站脚本攻击（XSS）和跨站请求伪造（CSRF）等。

本文将介绍Spring Boot的安全配置，包括身份验证和授权方面的详细文档和示例。

【资料图】

Spring Boot的安全配置

Spring Boot提供了许多安全功能，包括基于角色的访问控制、表单身份验证、HTTP Basic身份验证和OAuth 2.0身份验证等。这些功能可以通过Spring Security库来实现，它是Spring Boot的一部分，提供了许多可用的安全功能。

Spring Security的配置可以通过Java配置或XML配置来完成。Java配置更加灵活，可以提供更多的配置选项。XML配置则更加易于理解和管理。本文将使用Java配置来演示Spring Boot的安全配置。

配置基本身份验证

基本身份验证是一种最简单的身份验证方式，它使用用户名和密码来验证用户的身份。在Spring Boot中，可以使用HTTP Basic身份验证来实现基本身份验证。HTTP Basic身份验证使用Base64编码对用户名和密码进行编码，然后将它们放在HTTP请求的头部中。服务器端可以使用Spring Security的UserDetailsService接口来验证用户名和密码。

以下是使用Java配置实现基本身份验证的示例：

@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {    @Autowired    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {        auth            .inMemoryAuthentication()            .withUser("user").password("password").roles("USER");    }    @Override    protected void configure(HttpSecurity http) throws Exception {        http            .authorizeRequests()                .anyRequest().authenticated()                .and()            .httpBasic();    }}

在上面的示例中，SecurityConfig类继承自WebSecurityConfigurerAdapter类，并使用@EnableWebSecurity注解启用Spring Security。configureGlobal()方法使用AuthenticationManagerBuilder来配置用户的用户名、密码和角色。在这个示例中，只有一个用户"user"，密码为"password"，角色为"USER"。

configure()方法配置HTTP请求的安全性，使用authorizeRequests()来指定哪些请求需要授权，使用httpBasic()来启用HTTP Basic身份验证。anyRequest().authenticated()表示所有请求都需要进行身份验证。

配置表单身份验证

表单身份验证是一种常见的身份验证方式，它使用Web表单来收集用户的用户名和密码。在Spring Boot中，可以使用`表单身份验证需要配置的比基本身份验证更多。以下是使用Java配置实现表单身份验证的示例：

@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter {    @Autowired    private DataSource dataSource;    @Override    protected void configure(AuthenticationManagerBuilder auth) throws Exception {        auth.jdbcAuthentication().dataSource(dataSource)                .usersByUsernameQuery("select username, password, enabled "                        + "from users "                        + "where username = ?")                .authoritiesByUsernameQuery("select username, authority "                        + "from authorities "                        + "where username = ?");    }    @Override    protected void configure(HttpSecurity http) throws Exception {        http.authorizeRequests()            .antMatchers("/admin/**").hasRole("ADMIN")            .antMatchers("/user/**").hasRole("USER")            .anyRequest().authenticated()            .and()            .formLogin()                .loginPage("/login")                .usernameParameter("username")                .passwordParameter("password")                .defaultSuccessUrl("/")                .permitAll()            .and()            .logout()                .logoutUrl("/logout")                .logoutSuccessUrl("/login")                .permitAll();    }}

在上面的示例中，SecurityConfig类继承自WebSecurityConfigurerAdapter类，并使用@EnableWebSecurity注解启用Spring Security。configure()方法使用AuthenticationManagerBuilder来配置数据库的用户信息。dataSource是一个javax.sql.DataSource对象，它提供了数据库连接信息。usersByUsernameQuery()和authoritiesByUsernameQuery()分别查询用户信息和权限信息。

configure()方法使用HttpSecurity对象来配置HTTP请求的安全性。antMatchers()方法指定了哪些请求需要授权。.hasRole("ADMIN")表示只有具有"ADMIN"角色的用户才能访问"/admin/"路径。.hasRole("USER")表示只有具有"USER"角色的用户才能访问"/user/"路径。anyRequest().authenticated()表示所有请求都需要进行身份验证。

formLogin()方法指定了表单登录的页面和参数。.loginPage("/login")表示登录页面的路径为"/login"。.usernameParameter("username")和.passwordParameter("password")分别指定了用户名和密码的参数名。.defaultSuccessUrl("/")表示登录成功后跳转到根路径"/"。.permitAll()表示登录页面不需要进行身份验证。

logout()方法指定了注销的URL和成功注销后的跳转页面。.logoutUrl("/logout")表示注销URL为"/logout"。.logoutSuccessUrl("/login")表示注销成功后跳转到登录页面。.permitAll()表示注销页面不需要进行身份验证。

今日观点!Spring Boot的安全配置（一）

Spring Boot的安全配置

配置基本身份验证

配置表单身份验证

资讯

汽车产销呈明显恢复性增长 新能源汽车依旧延续高增长态势

加强标准推广应用 我国智能制造能力成熟度水平稳步提升

挪威选手夺得本届冬奥会首金

中国代表团首金入账（盛会进行时）

最近更新

今日观点!Spring Boot的安全配置（一）

晶升股份: 晶升股份首次公开发行股票并在科创板上市网上路演公告

特斯拉市值一夜蒸发超2700亿元，是降价惹的祸还是泡沫被戳破？

视讯！分析师爆料三星Galaxy Z Flip5与Galaxy Z Fold5机身配色

小米正式开启2023米粉节，Redmi K60 Pro闪降300

悠游自在造句(悠闲自在怎么造句)_天天日报

天天新动态：新城野心不小，它要对标博枫了！

吉林银屑病医院实时排行榜［TOP3］吉林银屑病医院

广东省残运会游泳比赛落幕，广州队斩获51金成最大赢家-当前聚焦

90亿天价离婚 周鸿祎深陷套现说

今亮点！术士升级天赋加点顺序_术士升级天赋

内蒙古自治区通辽市2023-04-06 09:40发布大风蓝色预警

湘潭向“两新”企业派驻工会指导员

北京：科技助力大气治理精细到“格”到“点”

抖音内测“抖音故事”功能-天天视点

杭州一男子坐地铁自带沙发 只因每次都抢不到座位

买了共有产权房还能买商品房吗 买了共有产权房还能买商品房吗北京

七夕要送网恋对象什么礼物|环球视讯

如何购买重疾险保险

应天辉

四川德阳一18岁男生寝室内死亡 警方最新通报_环球动态

第五人格COAVI全球总决赛前瞻：中国大陆赛区战队状态拉满，迎战黑马战队-环球简讯

当前速读：福布斯发布2023全球亿万富豪榜，路易威登巨头跃升全球首富

【全球快播报】出逃不到俩月即落网！西安市粮食局原局长李西安被缉捕归案

每日头条!“围剿”Chat GPT运动开启！欧洲多国禁用，企业也开始跳反！

英雄之光丨于无声处

B站向左 UP主向右

世界即时：江西省上饶市婺源县江湾镇篁岭村——传统文化点亮古村（全面推进乡村振兴）

【全球新要闻】再降！机票燃油附加费今起有变

4月5日财经早餐：美数据疲软强化美联储放缓加息押注，金价站上2000美元/盎司大关创三十二个月新高 环球最新

5岁左右的小女孩一般喜欢什么礼物好

天天热点评！大力促进电动汽车发展 印尼将电动汽车增值税下掉至1%

环球观热点：互联网证券开户广告(沃森生物股票)

王羲之的代表作千字文（王羲之的代表作）

【自拍】《TAROMAN编年史》（上）|播资讯

国网湖北电力应对极端天气4000余人投入保电

德商银行：周五美国非农就业数据公布后，美元料将继续走弱-全球速看料

百万操作分享，情况不妙，大举减仓了_世界播报

金海通(603061)龙虎榜数据(04-04)

天天速读：英雄之光｜时隔76年！五条岭烈士陵园这19名烈士等来了亲人

加拿大一男子在公交车上施袭割喉 被控恐怖主义罪名

微资讯！手机炒股票用什么软件最好

王者之师！康涅狄格大学5次闯入NCAA决赛 全部获得冠军 世界最资讯

达里奥纳哈里斯的结局_达里奥 纳哈里斯

川藏两地间再添500千伏输电线路电力互济能力再提升_全球简讯

突发！以色列再对邻国发动导弹袭击，致2人死|短讯

废墟成了一群人的“狂欢之地”-聚焦

两市融资余额增加99.38亿元，融资客交易活跃度上升|世界快播报

全球实时：亚行预测亚洲发展中经济体今明两年经济增长为4.8%

天天精选！头盔尺寸规格增至5类！新版国家标准，修订发布

小强终于又发威，奉上继《24小时》之后的最强力作！

每日动态!赢得作文600字初中记叙文_赢得作文

京东方A：2022年度净利润同比下降71% 拟10派0.61元

表格函数公式意义及其用法_常用表格函数公式大全 世界快报

“五个一百”里看乡村振兴“兴农人”

全球快消息！马斯克母亲“打卡”中国：悠久的历史文化令人着迷！

环球观察：汤姆猫股东王健因违规减持股份收监管函 此前曾因涉嫌内幕交易被罚300万元

奥迪全新SUV曝光！与保时捷Macan同台打造，最快下半年发布-世界今头条

上海虹桥医院口碑怎样——皮肤科方寸之间尽显匠心做皮肤健康守护者

环球快资讯：欧克科技（001223）4月3日主力资金净卖出551.06万元

天天微头条丨Xiaohe Village, Longshan County: A small village surrounded by the morning fog

保险柜怎么开锁图解_保险柜怎么开

14位大学生受聘洪山区狮子山街道“社区助理”

一问到底丨黄河全域禁渔 母亲河如何重现生机？ 环球滚动

TVB知名艺人晒出母子多次受伤的照片，引发家暴嫌疑，很高兴回答

天天日报丨从“自由购物”到“货比三家” 通胀改变法国人购物习惯

2022世界跆拳道大满贯总决赛举行 四川运动员宋洁勇夺一金

3月份中国仓储指数继续位于扩张区间

用爱融化孤独 你好星星的孩子——“拾”光公益音乐会奏响云端 每日动态

消费者表示：易开得净水器安装完当天就出现严重质量问题

汽车产销呈明显恢复性增长新能源汽车依旧延续高增长态势

加强标准推广应用我国智能制造能力成熟度水平稳步提升

90亿天价离婚周鸿祎深陷套现说

杭州一男子坐地铁自带沙发只因每次都抢不到座位

买了共有产权房还能买商品房吗买了共有产权房还能买商品房吗北京

四川德阳一18岁男生寝室内死亡警方最新通报_环球动态

4月5日财经早餐：美数据疲软强化美联储放缓加息押注，金价站上2000美元/盎司大关创三十二个月新高环球最新

天天热点评！大力促进电动汽车发展印尼将电动汽车增值税下掉至1%

加拿大一男子在公交车上施袭割喉被控恐怖主义罪名

王者之师！康涅狄格大学5次闯入NCAA决赛全部获得冠军世界最资讯

达里奥纳哈里斯的结局_达里奥纳哈里斯

表格函数公式意义及其用法_常用表格函数公式大全世界快报

环球观察：汤姆猫股东王健因违规减持股份收监管函此前曾因涉嫌内幕交易被罚300万元

一问到底丨黄河全域禁渔母亲河如何重现生机？环球滚动

2022世界跆拳道大满贯总决赛举行四川运动员宋洁勇夺一金

用爱融化孤独你好星星的孩子——“拾”光公益音乐会奏响云端每日动态

亚历山大空砍39+9马图林15分步行者险胜雷霆

焦点速读：图知道｜为母亲河立法，护黄河安澜

协鑫科技将退出棒状硅领域颗粒硅目标市占率将翻番

乐卡克男鞋（乐卡克）天天热闻

多方利益勾结美国深陷枪支暴力的“恶性循环”|天天报道

中国-盖茨基金会农村基本卫生保健项目二期启动，继续助力加强健康乡村和整合型基本卫生保健体系建设_世界快报

今年以来定增累计募资2492.50亿元环球观点

危机暂时缓解美国银行业从美联储借入资金持续减少

2019年抖音最火十大神曲_好听的歌曲 2019年抖音神曲|时快讯

让机器人拥有“类人”触觉东南大学成功研发超属性电子皮肤天天聚看点

坦克500试驾翻车车企回应：司机操作不当所致天天日报

「多彩新论」共享清朗网络空间当前讯息

中航证券：给予协鑫集成买入评级每日快播

安徽省铜陵市科技局创新建立企事业单位技术需求征集与评比机制世界今日讯

截至二〇二二年底全国登记在册企业超五千万户

“7万级品质家轿新卷王”来袭全新艾瑞泽5 GT上市售价7.99万起_天天简讯

河南杞县开展应急救护培训全面提升应急处置能力

天天信息:惠氏闵慧琳：专注母乳研究推动配方不断升级

加拿大放宽海外买家购房禁令工签持有者获豁免今日热闻

2023广东选调生公告官网_2020广东选调生会出公告吗世界讯息

40岁后手脚发麻是中风了吗谁才是高危人群全球微速讯

中塘镇开展河长制宣传活动看点