首先引入Spring Security依赖,然后通过SecurityConfig配置安全策略,接着实现UserDetailsService加载用户信息,并配置BCrypt密码编码器。具体为:添加spring-boot-starter-security依赖后,所有接口默认受保护;在SecurityConfig中定义permitAll允许公开访问路径,hasRole限制ADMIN接口访问,启用formLogin和httpBasic认证方式;CustomUserDetailsService从数据库加载用户并构建UserDetails对象;使用BCryptPasswordEncoder确保密码加密存储。角色需注意默认的ROLE_前缀匹配规则。初期可使用内置登录页验证流程,后续可集成JWT实现无状态认证。
Spring Security 是 Java 后端开发中实现用户认证和授权的主流框架,能有效保护 Web 应用的安全。要使用它实现基本的用户登录认证和接口权限控制,核心步骤包括引入依赖、配置安全策略、定义用户详情服务以及设置角色权限。
添加 Spring Security 依赖
在基于 Spring Boot 的项目中,只需在 pom.xml 中加入以下依赖:
引入后,所有接口默认会被保护,访问时需要登录。
配置 SecurityConfig 类
创建一个配置类继承 WebSecurityConfigurerAdapter(旧版本)或直接使用新式组件方式(Spring Security 5.7+ 推荐),以下是较新的函数式配置示例:
立即学习“Java免费学习笔记(深入)”;
@Configuration@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(auth -> auth
.requestMatchers("/api/public/**").permitAll()
.requestMatchers("/api/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
)
.formLogin(withDefaults())
.httpBasic(withDefaults());
return http.build();
}
}
说明:
mallcloud商城
下载
mallcloud商城基于SpringBoot2.x、SpringCloud和SpringCloudAlibaba并采用前后端分离vue的企业级微服务敏捷开发系统架构。并引入组件化的思想实现高内聚低耦合,项目代码简洁注释丰富上手容易,适合学习和企业中使用。真正实现了基于RBAC、jwt和oauth2的无状态统一权限认证的解决方案,面向互联网设计同时适合B端和C端用户,支持CI/CD多环境部署,并提
- permitAll():允许所有人访问公开接口
- hasRole("ADMIN"):只有拥有 ADMIN 角色的用户才能访问
- formLogin():启用表单登录页面
- httpBasic():支持 HTTP Basic 认证(适合 API 调试)
自定义用户认证逻辑
通过实现 UserDetailsService 接口加载用户信息:
@Servicepublic class CustomUserDetailsService implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepository.findByUsername(username)
.orElseThrow(() -> new UsernameNotFoundException("用户不存在: " + username));
return org.springframework.security.core.userdetails.User
.withUsername(user.getUsername())
.password(user.getPassword())
.roles(user.getRoles().toArray(new String[0]))
.build();
}
}
确保数据库中的密码是使用 PasswordEncoder 加密存储的。
配置密码编码器
推荐使用 BCrypt:
@Beanpublic PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
注册或保存用户时,必须用此编码器对明文密码加密后再存入数据库。
基本上就这些。配合 REST 接口和 JWT 可进一步实现无状态认证。初期用内置登录页快速验证流程即可。安全机制不复杂但容易忽略细节,比如角色前缀 ROLE_ 和权限表达式的匹配规则。
