Spring Security 是一个为 Java EE 应用提供安全保障的框架,能够在系统各层级实现精细化访问控制。它支持在 MVC 架构的各个层面通过注解方式灵活配置安全策略。通常用于实现用户身份验证与权限管理,其中身份验证相当于用户登录过程,用于确认身份合法性;权限管理则决定用户可访问的资源范围,确保不同角色只能操作对应权限内的功能模块,从而提升应用整体安全性。
1、 SpringBoot Security 在 Spring Security 基础上进行了封装,并融合了 SpringBoot 的自动配置特性。只需在项目中引入 spring-boot-starter-security 依赖,即可快速集成安全功能,无需繁琐配置,极大简化了安全管理的实现过程,提升开发效率,适用于各类需要权限控制的 Web 应用场景。
2、 要配置Spring Security,需定义一个继承自WebSecurityConfigurerAdapter的配置类,并在该类上添加@EnableWebSecurity注解,以启用Web安全支持。同时使用@Configuration注解标识该类为配置类,使其能够被Spring容器识别并加载。通过此类可自定义安全策略,如用户认证、授权规则和登录机制等,从而实现对Web应用的安全控制,保障系统资源的安全访问。
3、 接下来编写一个方法,注入AuthenticationManagerBuilder类型的Bean,用于在内存中配置认证用户信息,包括用户名、密码和角色。同时设置应用中的所有请求都必须经过身份验证后才能访问,确保系统安全。
4、 启动应用后,系统将自动生成表单,并用预设的用户名和密码完成认证,页面发起HTTP请求时会自动跳转至登录界面。
5、 此时控制台显示HTTP method names must be tokens,表明该接口需要通过认证才能访问,未认证时无法正常请求,需提供相应凭证方可继续操作。
6、 输入账号密码后重新调用接口,即可正常获取返回数据。
