使用Spring Security实现基于表单的认证和授权

在Spring Boot应用中集成Spring Security来实现基于表单的认证和授权是一个常见的需求。下面我将指导你如何配置Spring Security以支持基于表单的登录，并为不同的用户角色提供访问控制。

步骤1：添加依赖

首先，确保你的pom.xml或build.gradle文件中包含了Spring Security的依赖：

Maven:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Gradle:

implementation 'org.springframework.boot:spring-boot-starter-security'

步骤2：创建UserDetailsService实现

为了处理用户的认证，你需要创建一个UserDetailsService的实现类，这个类负责加载用户信息和密码。例如：

import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库或其他来源加载用户信息
        if ("admin".equals(username)) {
            return User.withUsername("admin")
                    .password("{noop}adminpass") // 使用加密后的密码，这里使用noop表示未加密
                    .roles("ADMIN") // 设置用户角色
                    .build();
        } else if ("user".equals(username)) {
            return User.withUsername("user")
                    .password("{noop}userpass")
                    .roles("USER")
                    .build();
        }
        throw new UsernameNotFoundException("User not found");
    }
}

步骤3：配置Security

接下来，你需要创建一个配置类来告诉Spring Security如何配置HTTP安全：

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomUserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/home")
                .permitAll()
                .and()
                .logout()
                .permitAll();
    }
}

步骤4：创建登录页面

你需要创建一个HTML登录页面，Spring Security会自动重定向到这个页面：

login.html:

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <title>Login Page</title>
</head>
<body>
<form th:action="@{/perform_login}" method="post">
    <input type="text" name="username" placeholder="Username"/>
    <input type="password" name="password" placeholder="Password"/>
    <button type="submit">Login</button>
</form>
</body>
</html>

步骤5：测试

运行你的Spring Boot应用，尝试使用不同的用户名和密码登录，检查是否能正确地进行认证和授权。

以上步骤涵盖了使用Spring Security实现基于表单的认证和授权的基本配置。你可以根据具体需求进一步定制和扩展这些配置。