Spring Security

Spring Security 是一个功能强大且灵活的安全框架，主要用于保护 Java 应用程序的身份验证和访问控制。以下是 Spring Security 的主要概念、功能和基本用法的详细介绍。
主要概念

1. 认证（Authentication）：
   ○ 验证用户身份的过程。
   ○ 通常通过用户名和密码进行验证。
   ○ 通过 AuthenticationManager 来处理认证。
2. 授权（Authorization）：
   ○ 确定用户是否有权访问特定资源或执行特定操作。
   ○ 通过角色或权限进行控制。
3. 安全上下文（SecurityContext）：
   ○ 保存当前用户的身份信息，通常在整个请求期间可用。
4. 用户详细信息服务（UserDetailsService）：
   ○ 用于加载用户特定数据的接口。
   ○ 需要实现 loadUserByUsername 方法来返回用户的详细信息。
   主要功能
5. 支持多种认证机制：
   ○ 表单登录、基本认证、OAuth、JWT 等。
6. CSRF 保护：
   ○ 防止跨站请求伪造攻击。
7. Session 管理：
   ○ 控制用户会话的行为，例如限制并发会话数量。
8. 方法级安全：
   ○ 使用注解（如 @PreAuthorize、@Secured）来保护方法。
9. 自定义安全配置：
   ○ 通过扩展 WebSecurityConfigurerAdapter 来实现定制化的安全配置。
   基本用法
10. 添加依赖
    在 Maven 项目的 pom.xml 中添加 Spring Security 的依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>

2. 配置安全性
   通过扩展 WebSecurityConfigurerAdapter 来配置应用的安全性：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll() // 公开的 URL
                .anyRequest().authenticated() // 其他 URL 需要认证
                .and()
            .formLogin() // 启用表单登录
                .loginPage("/login")
                .permitAll()
                .and()
            .logout() // 启用注销功能
                .permitAll();
    }
}

3. 自定义用户认证
   实现 UserDetailsService 接口来自定义用户认证逻辑：

import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库获取用户信息并返回 UserDetails 对象
        // 例如：User user = userRepository.findByUsername(username);
        // return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), authorities);
    }
}

4. 视图页面
   可以创建一个自定义的登录页面，例如 login.html，在该页面中添加用户名和密码的输入框。
   其他功能
   ● 角色和权限：使用 @PreAuthorize 注解可以实现方法级别的安全控制。
   ● 会话管理：配置最大会话数、并发会话限制等。
   小结
   Spring Security 是一个灵活且功能丰富的框架，适合用于保护各种 Java 应用程序。通过简单的配置和定制，开发者可以有效管理用户身份和权限，确保应用的安全性。