«1. Обзор

Эта статья представляет собой введение в конфигурацию Java для Spring Security, которая позволяет пользователям легко настраивать Spring Security без использования XML.

Конфигурация Java была добавлена ​​в среду Spring в Spring 3.1 и расширена до Spring Security в Spring 3.2 и определена в классе с аннотацией @Configuration.

2. Настройка Maven

Чтобы использовать Spring Security в проектах Maven, нам сначала нужно иметь зависимость spring-security-core в проекте pom.xml: 

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>5.3.3.RELEASE</version>
</dependency>

Последняя версия всегда может быть нашел здесь.

3. Веб-безопасность с конфигурацией Java

Давайте начнем с простого примера конфигурации Spring Security Java: 

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) 
      throws Exception {
        auth.inMemoryAuthentication().withUser("user")
          .password(passwordEncoder().encode("password")).roles("USER");
    }
}

Как вы могли заметить, конфигурация устанавливает базовую конфигурацию аутентификации в памяти. Кроме того, начиная с Spring 5, нам нужен bean-компонент PasswordEncoder: 

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

4. Безопасность HTTP

Чтобы включить безопасность HTTP в Spring, нам нужно расширить WebSecurityConfigurerAdapter, чтобы предоставить конфигурацию по умолчанию в файле configure(HttpSecurity http) method: 

protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
      .anyRequest().authenticated()
      .and().httpBasic();
}

Приведенная выше конфигурация по умолчанию гарантирует, что любой запрос к приложению аутентифицируется с помощью входа в систему на основе формы или базовой аутентификации HTTP.

Кроме того, это точно похоже на следующую конфигурацию XML: 

<http>
    <intercept-url pattern="/**" access="isAuthenticated()"/>
    <form-login />
    <http-basic />
</http>

5. Форма входа в систему

Интересно, что Spring Security автоматически создает страницу входа в систему, основываясь на включенных функциях и используя стандартные значения для URL-адрес, который обрабатывает отправленный логин: 

protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
      .anyRequest().authenticated()
      .and().formLogin()
      .loginPage("/login").permitAll();
}

Здесь автоматически сгенерированная страница входа удобна для быстрого запуска.

6. Авторизация с помощью ролей

Теперь давайте настроим простую авторизацию для каждого URL-адреса с использованием ролей: API на основе выражений через доступ. 

protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
      .antMatchers("/", "/home").access("hasRole('USER')")
      .antMatchers("/admin/**").hasRole("ADMIN")
      .and()
      // some more method calls
      .formLogin();
}

7. Выход из системы

Как и многие другие аспекты Spring Security, выход из системы имеет отличные значения по умолчанию, предоставляемые фреймворком.

По умолчанию запрос на выход делает сеанс недействительным, очищает все кэши аутентификации, очищает SecurityContextHolder и перенаправляет на страницу входа.

Вот простая конфигурация выхода из системы:

Однако, если вы хотите получить больше контроля над доступными обработчиками, вот как будет выглядеть более полная реализация: 

protected void configure(HttpSecurity http) throws Exception {
    http.logout();
}

8. Аутентификация ~ ~~ Давайте посмотрим на другой способ разрешить аутентификацию с помощью Spring Security. 

protected void configure(HttpSecurity http) throws Exception {
    http.logout().logoutUrl("/my/logout")
      .logoutSuccessUrl("/my/index")
      .logoutSuccessHandler(logoutSuccessHandler) 
      .invalidateHttpSession(true)
      .addLogoutHandler(logoutHandler)
      .deleteCookies(cookieNamesToClear)
      .and()
      // some other method calls
}

8.1. Аутентификация в памяти

Мы начнем с простой конфигурации в памяти:

8.2. Аутентификация JDBC

Чтобы перенести это в JDBC, все, что вам нужно сделать, это определить источник данных в приложении — и использовать его напрямую: 

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) 
  throws Exception {
    auth.inMemoryAuthentication()
      .withUser("user").password(passwordEncoder().encode("password")).roles("USER")
      .and()
      .withUser("admin").password(passwordEncoder().encode("password")).roles("USER", "ADMIN");
}

Конечно, в обоих вышеприведенных примерах мы также необходимо определить bean-компонент PasswordEncoder, как описано в разделе 3.

9. Заключение 

@Autowired
private DataSource dataSource;

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) 
  throws Exception {
    auth.jdbcAuthentication().dataSource(dataSource)
      .withDefaultSchema()
      .withUser("user").password(passwordEncoder().encode("password")).roles("USER")
      .and()
      .withUser("admin").password(passwordEncoder().encode("password")).roles("USER", "ADMIN");
}

В этом кратком руководстве мы рассмотрели основы настройки Java для Spring Security и сосредоточились на примерах кода, которые иллюстрируют простейшие сценарии настройки.

«

In this quick tutorial, we went over the basics of Java Configuration for Spring Security and focused on the code samples that illustrate the simplest configuration scenarios.