在Java开发领域，Spring Security 是一个强大的框架，用于为基于Spring的应用程序提供认证和授权功能。在这篇文章中，我们将探讨如何使用基于注解的配置来设置Spring Security，这种方式提供了更高的灵活性和更直观的配置选项。

开始之前

确保你的Spring项目中已经加入了必要的Spring Security依赖。如果是使用Maven，可以在pom.xml文件中添加如下依赖：

<dependencies>
    <!-- Spring Security -->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>5.7.0</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.7.0</version>
    </dependency>
</dependencies>

配置Security Config

1. 创建Security配置类

   使用@EnableWebSecurity注解启用Spring Security的Web安全支持，并且扩展WebSecurityConfigurerAdapter类来自定义安全配置。

   import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
   import org.springframework.security.config.annotation.web.builders.HttpSecurity;
   import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
   import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
   import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
   
   @EnableWebSecurity
   public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
       @Override
       protected void configure(HttpSecurity http) throws Exception {
           http
               .authorizeRequests()
                   .antMatchers("/admin/**").hasRole("ADMIN")
                   .antMatchers("/user/**").hasRole("USER")
                   .antMatchers("/", "/home", "/about").permitAll()
               .and()
               .formLogin()
                   .loginPage("/login")
                   .permitAll()
               .and()
               .logout()
                   .permitAll();
       }
   
       @Override
       protected void configure(AuthenticationManagerBuilder auth) throws Exception {
           auth
               .inMemoryAuthentication()
                   .passwordEncoder(new BCryptPasswordEncoder())
                   .withUser("user")
                       .password(new BCryptPasswordEncoder().encode("password"))
                       .roles("USER")
               .and()
                   .withUser("admin")
                       .password(new BCryptPasswordEncoder().encode("admin"))
                       .roles("ADMIN");
       }
   }
   

解释配置

• @EnableWebSecurity：启用Spring Security的Web安全支持。
• authorizeRequests()：定义哪些URL需要被保护、哪些不需要。
• antMatchers()：通过匹配URL来定义访问权限。
• permitAll()：允许所有用户访问。
• hasRole()：指定特定角色的用户才能访问。
• formLogin()：自定义登录过程。
• loginPage()：自定义登录页面。
• logout()：提供注销支持。

配置密码编码器

在上述示例中，我们使用了BCryptPasswordEncoder来编码和验证密码，这是防止存储明文密码的一个好方法。

测试配置

启动你的Spring应用并访问不同的URL来测试安全配置是否按预期工作。尝试使用不同角色的用户登录并访问受保护的资源。

结论

通过使用基于注解的配置，Spring Security提供了一种强大且灵活的方式来保护你的Spring应用。这种方法不仅使安全配置更加集中和清晰，而且还便于维护和扩展。