对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

本节介绍了如何将 Spring Security 与 Spring Boot 一起使用的最低设置,然后指导您之后的后续步骤。spring-doc.cn

完整的 starter 应用程序可以在我们的示例存储库中找到。 为方便起见,您可以下载由 Spring Initializr 准备的最小 Spring Boot + Spring Security 应用程序。spring-doc.cn

完整的 starter 应用程序可以在我们的示例存储库中找到。 为方便起见,您可以下载由 Spring Initializr 准备的最小 Spring Boot + Spring Security 应用程序。spring-doc.cn

更新依赖项

您首先需要将 Spring Security 添加到应用程序的 Classpath 中;两种方法是使用 MavenGradlespring-doc.cn

启动 Hello Spring Security Boot

Classpath 上使用 Spring Security,您现在可以运行 Spring Boot 应用程序。 以下代码片段显示了一些输出,这些输出表明在您的应用程序中启用了 Spring Security:spring-doc.cn

运行 Spring Boot 应用程序
$ ./mvnw spring-boot:run
...
INFO 23689 --- [  restartedMain] .s.s.UserDetailsServiceAutoConfiguration :

Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336

...
$ ./gradlew :bootRun
...
INFO 23689 --- [  restartedMain] .s.s.UserDetailsServiceAutoConfiguration :

Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336

...
$ java -jar target/myapplication-0.0.1.jar
...
INFO 23689 --- [  restartedMain] .s.s.UserDetailsServiceAutoConfiguration :

Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336

...

现在您已经运行了它,您可以尝试点击终端节点以查看会发生什么。 如果您点击的终端节点没有凭证,如下所示:spring-doc.cn

查询安全启动应用程序
$ curl -i http://localhost:8080/some/path
HTTP/1.1 401
...

然后 Spring Security 使用 .401 Unauthorizedspring-doc.cn

如果您在浏览器中提供相同的 URL,它将重定向到默认登录页面。

如果您使用凭证(在控制台输出中找到)点击终端节点,如下所示:spring-doc.cn

使用凭证查询
$ curl -i -u user:8e557245-73e2-4286-969a-ff57fe326336 http://localhost:8080/some/path
HTTP/1.1 404
...

然后 Spring Boot 将为请求提供服务,在这种情况下返回一个 because 不存在。404 Not Found/some/pathspring-doc.cn

在这里,您可以:spring-doc.cn

如果您在浏览器中提供相同的 URL,它将重定向到默认登录页面。

运行时预期

Spring Boot 和 Spring Security 的默认安排在运行时提供以下行为:spring-doc.cn

了解 Spring Boot 如何与 Spring Security 协调以实现这一目标可能会有所帮助。 看一下 Boot 的安全自动配置,它执行以下操作(为说明而简化):spring-doc.cn

Spring Boot 安全自动配置
@EnableWebSecurity (1)
@Configuration
public class DefaultSecurityConfig {
    @Bean
    @ConditionalOnMissingBean(UserDetailsService.class)
    InMemoryUserDetailsManager inMemoryUserDetailsManager() { (2)
        String generatedPassword = // ...;
        return new InMemoryUserDetailsManager(User.withUsername("user")
                .password(generatedPassword).roles("USER").build());
    }

    @Bean
    @ConditionalOnMissingBean(AuthenticationEventPublisher.class)
    DefaultAuthenticationEventPublisher defaultAuthenticationEventPublisher(ApplicationEventPublisher delegate) { (3)
        return new DefaultAuthenticationEventPublisher(delegate);
    }
}
  1. 添加批注。(除其他外,这会将 Spring Security 的默认 Filter发布为@EnableWebSecurity@Bean)spring-doc.cn

  2. 发布一个 UserDetailsService,其用户名和随机生成的密码将记录到控制台@Beanuserspring-doc.cn

  3. 发布 AuthenticationEventPublisher 以发布身份验证事件@Beanspring-doc.cn

Spring Boot 将任何作为 a 发布的 添加到应用程序的过滤器链中。 这意味着与 Spring Boot 结合使用会自动为每个请求注册 Spring Security 的过滤器链。Filter@Bean@EnableWebSecurity
Spring Boot 将任何作为 a 发布的 添加到应用程序的过滤器链中。 这意味着与 Spring Boot 结合使用会自动为每个请求注册 Spring Security 的过滤器链。Filter@Bean@EnableWebSecurity

安全用例

您可能想从这里去很多地方。 要弄清楚您和您的应用程序的下一步是什么,请考虑 Spring Security 旨在解决的这些常见用例:spring-doc.cn

如果这些都不符合您要查找的内容,请考虑按以下顺序考虑您的应用程序:spring-doc.cn

  1. 协议:首先,考虑应用程序将用于通信的协议。 对于基于 servlet 的应用程序,Spring Security 支持 HTTP 和 Websocketsspring-doc.cn

  2. 身份验证:接下来,考虑用户将如何进行身份验证,以及该身份验证是有状态的还是无状态的spring-doc.cn

  3. 授权:然后,考虑如何确定用户有权执行哪些操作spring-doc.cn

  4. 防御最后,与 Spring Security 的默认保护集成,并考虑您需要哪些额外的保护spring-doc.cn