16、Spring Boot应用的安全认证与授权实现

Spring Boot应用的安全认证与授权实现

1. 应用安全现状分析

在当前的Aircraft Positions应用中，存在一些安全方面的问题：
- 单一用户账户问题 ：应用仅定义了一个用户账户，多个需要访问应用的人员都必须使用该单一账户。这违背了问责制和认证的安全原则，因为无法唯一证明每个用户的身份。若发生安全漏洞，难以确定是哪个用户导致的，而且锁定唯一的用户账户会使所有用户都无法访问应用。
- 密码处理问题 ：每次应用启动时，会自动生成一个新密码，并且需要将其共享给所有用户。此外，每个应用实例启动时都会生成唯一的密码，用户登录特定实例时需要使用该特定密码。显然，这些安全配置需要改进。

2. 添加认证功能

2.1 UserDetailsService的使用

Spring Security使用 UserDetailsService 作为其认证功能的核心。 UserDetailsService 是一个接口，包含一个 loadUserByUsername(String username) 方法，实现该方法后会返回一个实现了 UserDetails 接口的对象，从中可以获取用户的关键信息，如用户名、密码、权限和账户状态等。这种灵活性允许使用各种技术进行多种实现，只要 UserDetailsService 返回 UserDetails ，应用就无需了解底层实现细节。