實現安全認證與訪問控制：Spring Security 6教程

在Web應用程序開發過程中，安全和訪問控制是非常重要的方面。有很多種安全保護措施，其中Spring Security是目前在Java開發中廣泛使用的一種安全框架，它提供了一套管理用戶身份驗證、授權、會話、密碼管理等多種安全特性的框架。

一、Spring Security基礎概念

1、安全過濾器鏈

Spring Security是基於過濾器（Filter）的Java Web應用程序的安全性管理框架。在Spring Security中，一組與特定安全任務相關聯的安全過濾器稱為安全過濾器鏈。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/css/**", "/index").permitAll()
                .antMatchers("/user/**").hasRole("USER")
                .and()
            .formLogin()
                .loginPage("/login")
                .failureUrl("/login-error");
    }
}

2、AuthenticationManager、UserDetailsService

AuthenticationManager是Spring Security身份驗證框架的核心接口，用於驗證傳入的身份驗證請求。UserDetailsService是用戶身份驗證框架的核心接口，它從持久存儲中加載用戶數據，以供AuthenticationManager使用驗證對應的用戶。

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

二、Spring Security身份驗證

1、表單登錄驗證

表單登錄是最常見的身份驗證形式之一。在Spring Security中，我們可以通過簡單映射/login到一個控制器來處理表單。

    @GetMapping("/login")
    public String login() {
        return "login";
    }

    @PostMapping("/login")
    public String loginPost() {
        return "redirect:/";
    }

2、基於OAuth2的身份驗證

OAuth2是一種流行的身份驗證協議，它以安全、標準化的方式允許第三方應用程序向用戶授權。在Spring Security中，我們可以使用Spring Security OAuth2框架輕鬆實現基於OAuth2的身份驗證。

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("client")
                .secret(passwordEncoder.encode("secret"))
                .authorizedGrantTypes("authorization_code")
                .scopes("read", "write")
                .accessTokenValiditySeconds(3600)
                .refreshTokenValiditySeconds(864000);
    }
}

三、Spring Security授權

1、基於角色和權限的授權

在Spring Security中，我們可以使用基於角色和權限的授權模型來控制訪問。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .failureUrl("/login-error");
    }

2、方法級別的授權

在Spring Security中，我們還可以實現方法級別的授權，即只授權執行特定方法的用戶訪問權限。

@PreAuthorize("hasRole('ROLE_USER')")
public void someUserMethod() {
    //do something
}

四、Spring Security會話管理

Spring Security還提供了會話管理功能，包括強制下線、單個會話限制和最大會話限制等。

    @Bean
    public SessionRegistry sessionRegistry() {
        return new SessionRegistryImpl();
    }

    //限制Session數為1
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .sessionManagement()
                .maximumSessions(1)
                    .sessionRegistry(sessionRegistry());
    }

總之，Spring Security提供了多種安全措施，使我們可以輕鬆地實現Web應用程序的安全性管理。