基于内存认证的 Spring Security

在Spring Security中，基于内存的认证是一种简单直接的方式，适合于开发环境或者小型应用，它允许我们直接在安全配置中定义用户。在这篇文章中，我们将详细介绍如何使用Spring Security进行基于内存的认证配置。

开始之前

首先，确保你的项目中已经添加了Spring Security的依赖。对于使用Maven的项目，可以在pom.xml中添加以下依赖：

<dependencies>
    <!-- Spring Security -->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>5.7.0</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.7.0</version>
    </dependency>
</dependencies>

创建安全配置类

要配置基于内存的认证，你需要创建一个安全配置类，使用@EnableWebSecurity注解来启用Web安全功能，并扩展WebSecurityConfigurerAdapter。

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        auth.inMemoryAuthentication()
            .passwordEncoder(encoder)
            .withUser("user").password(encoder.encode("password")).roles("USER")
            .and()
            .withUser("admin").password(encoder.encode("admin")).roles("ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .antMatchers("/", "/home", "/about").permitAll()
            .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
            .and()
            .logout()
                .permitAll();
    }
}

解释配置

• 密码编码器：使用BCryptPasswordEncoder来加密存储在内存中的密码。这是为了安全起见，防止使用明文密码。
• 用户详情：在configure(AuthenticationManagerBuilder auth)方法中，我们定义了两个用户：一个普通用户和一个管理员，每个用户都配置了用户名、密码和角色。

测试配置

启动Spring应用程序，并尝试访问受保护的资源。使用不同的用户身份登录，检查是否能够根据用户角色正确授权访问特定的页面。

结论

基于内存的认证是一种快速部署并测试Spring Security特性的方法。虽然它不适合生产环境，但在开发和测试阶段提供了极大的便利。此外，通过扩展配置，开发者可以轻松地从基于内存的认证过渡到更复杂的认证机制，如基于数据库的认证。