Spring Security 教程：從入門到精通（含 OAuth2 接入）

Spring Security 是 Spring 框架中備受推崇的安全模塊，廣泛應用于構建安全可靠的企業級應用程序。它提供了一套全面的解決方案，涵蓋身份認證（Authentication）、授權（Authorization）以及防范各種網絡安全威脅（如 CSRF、會話固定攻擊等）。本文將帶你深入探索 Spring Security，從基礎概念到高級特性，最終實現 OAuth2 接入，助力你打造高度安全的 Web 應用。

一、環境準備

在開始學習之前，確保你的開發環境已經準備好以下工具：

? Java JDK：版本建議使用 JDK 8 或更高版本。可以通過命令 java -version 來檢查已安裝的 Java 版本。
? 構建工具：本文以 Maven 為例，但同樣適用于 Gradle。你可以從 Maven 官方網站下載并安裝 Maven，安裝完成后，使用命令 mvn -v 驗證。
? 集成開發環境（IDE）：如 IntelliJ IDEA 或 Eclipse，能夠提高開發效率。

二、Spring Security 基礎概念

在深入了解 Spring Security 的配置和用法之前，先理解一些關鍵概念：

? 認證（Authentication）：驗證用戶身份的過程，確認用戶是否為用戶聲稱的身份。
? 授權（Authorization）：在用戶身份經過驗證后，確定用戶具有執行特定操作或訪問特定資源的權限。
? 安全過濾器鏈（Security Filter Chain）：Spring Security 的核心組件，負責處理認證和授權邏輯，包含多個安全過濾器，按照特定順序對請求進行處理。
? 上下文（SecurityContext）：存儲當前認證用戶的信息，可用于在整個請求周期內訪問用戶相關數據。

三、創建 Spring Boot 項目并引入依賴

創建 Spring Boot 項目

使用 Spring Initializr 可以輕松創建一個新的 Spring Boot 項目。在網頁上選擇以下配置：

? Project：選擇 Maven Project 或 Gradle Project。
? Language：選擇 Java。
? Spring Boot：選擇最新穩定版本。
? Project Metadata：填寫 Group、Artifact 等信息。
? Packaging：選擇 Jar。
? Java：選擇合適的 Java 版本（推薦 8 或更高）。
1. 添加依賴
在依賴項中選擇 Spring Web 和 Spring Security，點擊 “Generate” 下載項目壓縮包，解壓后導入 IDE 開始開發。

四、Spring Security 入門：自動配置與默認設置

添加 Spring Security 依賴后，Spring Boot 會自動配置一個基本的安全機制。啟動應用程序，訪問任意路徑，Spring Security 都會重定向到你默認的登錄頁面。默認的用戶名是 user，密碼在應用啟動時會輸出到控制臺。

默認安全配置解析

默認情況下，Spring Security 使用內存身份驗證（In-Memory Authentication），并配置了基本的認證規則。這意味著應用啟動時，Spring Security 會自動創建一個內置的用戶存儲，包含一個用戶名為 user，密碼為一個隨機生成的字符串（輸出在控制臺）的用戶。

五、自定義內存用戶認證

為了更好地示范，我們可以自定義內存中的用戶認證信息。創建一個配置類繼承自 WebSecurityConfigurerAdapter，重寫 configure 方法來配置用戶信息。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().withUser("admin").password(passwordEncoder().encode("admin123")).roles("ADMIN").and().withUser("user").password(passwordEncoder().encode("user123")).roles("USER");}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasAnyRole("USER", "ADMIN").anyRequest().authenticated().and().formLogin();}@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}
}

詳細解釋

@EnableWebSecurity：開啟 Spring Security 的安全功能。
configure(AuthenticationManagerBuilder auth)：配置用戶認證信息。
? 使用 inMemoryAuthentication() 啟用內存中用戶存儲。
? withUser() 方法定義用戶，指定用戶名、密碼（需要先通過密碼編碼器編碼）和角色。
configure(HttpSecurity http)：配置 HTTP 請求的安全規則。
? authorizeRequests() 開始請求授權配置。
? antMatchers("/admin/**").hasRole("ADMIN") 表示以 /admin/ 開頭的路徑需要 ADMIN 角色權限。
? antMatchers("/user/**").hasAnyRole("USER", "ADMIN") 表示以 /user/ 開頭的路徑需要 USER 或 ADMIN 角色權限。
? anyRequest().authenticated() 表示其他所有請求都需要認證。
? formLogin() 啟用表單登錄方式。
密碼編碼器：使用 BCryptPasswordEncoder 對密碼進行加密存儲，提高安全性。

六、基于數據庫的用戶認證

在實際應用中，用戶信息通常存儲在數據庫中。以下將以 MySQL 數據庫為例，演示如何實現基于數據庫的用戶認證。

1. 數據庫設計

創建用戶表（user）和角色表（role）以及關聯表（user_role）：

CREATE TABLE user (id BIGINT AUTO_INCREMENT PRIMARY KEY,username VARCHAR(50) NOT NULL UNIQUE,password VARCHAR(100) NOT NULL
);CREATE TABLE role (id BIGINT AUTO_INCREMENT PRIMARY KEY,role_name VARCHAR(50) NOT NULL UNIQUE
);CREATE TABLE user_role (user_id BIGINT NOT NULL,role_id BIGINT NOT NULL,PRIMARY KEY (user_id, role_id),FOREIGN KEY (user_id) REFERENCES user(id),FOREIGN KEY (role_id) REFERENCES role(id)
);

2. 實體類定義

創建 JPA 實體類，表示用戶和角色：

import javax.persistence.*;
import java.util.Set;@Entity
public class User {@Id@GeneratedValue(strategy = GenerationType.IDENTITY)private Long id;private String username;private String password;@ManyToMany(fetch = FetchType.EAGER)@JoinTable(name = "user_role",joinColumns = @JoinColumn(name = "user_id"),inverseJoinColumns = @JoinColumn(name = "role_id"))private Set<Role> roles;// getters and setters
}@Entity
public class Role {@Id@GeneratedValue(strategy = GenerationType.IDENTITY)private Long id;private String roleName;// getters and setters
}

3. 數據訪問層（Repository）

創建 UserRepository 和 RoleRepository：

import org.springframework.data.jpa.repository.JpaRepository;public interface UserRepository extends JpaRepository<User, Long> {User findByUsername(String username);
}public interface RoleRepository extends JpaRepository<Role, Long> {
}

4. 實現 `UserDetailsService`

UserDetailsService 是 Spring Security 用于加載用戶信息的核心接口。我們創建一個自定義的實現類：

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;import java.util.HashSet;
import java.util.Set;@Service
public class CustomUserDetailsService implements UserDetailsService {private final UserRepository userRepository;public CustomUserDetailsService(UserRepository userRepository) {this.userRepository = userRepository;}@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userRepository.findByUsername(username);if (user == null) {throw new UsernameNotFoundException("User not found");}Set<GrantedAuthority> authorities = new HashSet<>();for (Role role : user.getRoles()) {authorities.add(new SimpleGrantedAuthority("ROLE_" + role.getRoleName()));}return new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),authorities);}
}

5. 更新安全配置

在 SecurityConfig 類中注入 CustomUserDetailsService 并更新認證配置：

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder());
}

確保 customUserDetailsService 已經被正確注入到 SecurityConfig 類中。

七、授權管理

Spring Security 提供了靈活的授權機制，允許你基于角色、權限或其他條件來控制資源的訪問。

1. 使用注解進行方法級授權

你可以在控制器的方法上使用 @PreAuthorize、@PostAuthorize 等注解來定義細粒度的訪問控制規則。

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;@RestController
public class AdminController {@GetMapping("/admin/dashboard")@PreAuthorize("hasRole('ADMIN')")public String adminDashboard() {return "歡迎來到管理員儀表盤";}
}

2. 在安全配置中定義 URL 級授權

在 SecurityConfig 類的 configure(HttpSecurity http) 方法中，你可以使用表達式語言（SpEL）來定義基于 URL 的訪問規則。

@Override
protected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasAnyRole("USER", "ADMIN").anyRequest().authenticated().and().formLogin().loginPage("/login") // 自定義登錄頁面.permitAll().and().logout().permitAll();
}

3. 自定義權限評估器

對于更復雜的授權需求，你可以實現自定義的 PermissionEvaluator 并將其集成到 Spring Security 中。

八、CSRF 防護

跨站請求偽造（CSRF）是一種常見的網絡攻擊方式。Spring Security 默認啟用了 CSRF 防護機制，它會為每個表單提交生成一個 CSRF 令牌，并在服務器端進行驗證。

1. 禁用 CSRF 防護

在某些情況下，如構建 RESTful API 時，你可能需要禁用 CSRF 防護。可以在安全配置中這樣做：

@Override
protected void configure(HttpSecurity http) throws Exception {http.csrf().disable()// 其他配置
}

注意：禁用 CSRF 防護會使應用面臨風險，建議僅在必要時禁用，并確保其他防護措施到位。

2. 自定義 CSRF 令牌存儲

你可以自定義 CSRF 令牌的存儲方式，例如將其存儲在 HTTP 頭中而不是默認的 Cookie 中，以適應特定的應用需求。

九、OAuth2 接入

OAuth2 是一種開放標準，用于授權第三方應用訪問用戶資源，而無需獲取用戶的憑證。Spring Security 提供了對 OAuth2 的全面支持，使得集成變得簡便。

1. 添加依賴

為了支持 OAuth2 客戶端或資源服務器功能，需要在 pom.xml 中添加相應的依賴。

作為 OAuth2 客戶端：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

作為 OAuth2 資源服務器：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>

2. 配置 OAuth2 客戶端

假設我們要將應用配置為 OAuth2 客戶端，以使用 Google 進行登錄。

在 application.properties 中添加配置：

spring.security.oauth2.client.registration.google.client-id=YOUR_GOOGLE_CLIENT_ID
spring.security.oauth2.client.registration.google.client-secret=YOUR_GOOGLE_CLIENT_SECRET
spring.security.oauth2.client.registration.google.redirect-uri={baseUrl}/login/oauth2/code/{registrationId}
spring.security.oauth2.client.provider.google.authorization-uri=https://accounts.google.com/o/oauth2/v2/auth
spring.security.oauth2.client.provider.google.token-uri=https://oauth2.googleapis.com/token
spring.security.oauth2.client.provider.google.user-info-uri=https://www.googleapis.com/oauth2/v3/userinfo
spring.security.oauth2.client.provider.google.user-name-attribute=sub

更新安全配置類以啟用 OAuth2 登錄：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfig {@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.authorizeRequests(authorizeRequests ->authorizeRequests.antMatchers("/", "/login**").permitAll().anyRequest().authenticated()).oauth2Login(oauth2Login ->oauth2Login.loginPage("/login"));return http.build();}
}

3. 配置 OAuth2 資源服務器

如果你的應用是一個 OAuth2 資源服務器，需要驗證傳入請求的訪問令牌。

在 application.properties 中添加配置：

spring.security.oauth2.resourceserver.jwt.issuer-uri=https://accounts.google.com

更新安全配置類以啟用資源服務器：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;@Configuration
@EnableWebSecurity
public class ResourceServerConfig {@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.authorizeRequests(authorizeRequests ->authorizeRequests.antMatchers("/", "/public/**").permitAll().anyRequest().authenticated()).oauth2ResourceServer(oauth2ResourceServer ->oauth2ResourceServer.jwt());return http.build();}
}

4. 自定義 OAuth2 登錄流程

你可以自定義 OAuth2 登錄后的處理邏輯，例如獲取額外的用戶信息、映射用戶角色等。

創建自定義的 OAuth2UserService：

import org.springframework.security.oauth2.client.userinfo.DefaultOAuth2UserService;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest;
import org.springframework.security.oauth2.core.OAuth2AuthenticationException;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.stereotype.Service;@Service
public class CustomOAuth2UserService extends DefaultOAuth2UserService {@Overridepublic OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {OAuth2User user = super.loadUser(userRequest);// 在這里可以添加自定義邏輯，如映射角色、獲取額外信息等return user;}
}

在安全配置中注入自定義的 OAuth2UserService：

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http, CustomOAuth2UserService customOAuth2UserService) throws Exception {http.authorizeRequests(authorizeRequests ->authorizeRequests.antMatchers("/", "/login**").permitAll().anyRequest().authenticated()).oauth2Login(oauth2Login ->oauth2Login.userInfoEndpoint(userInfoEndpoint ->userInfoEndpoint.userService(customOAuth2UserService)));return http.build();
}