（新）Spring Security如何实现登录认证（实战篇）

在现代Web应用程序中，安全性是一个不可忽视的重要方面。Spring Security是一个强大的安全框架，提供了全面的身份验证和访问控制功能。本篇文章将通过一个简单的例子来展示如何实现一个基于表单登录的用户认证。

1. 创建Spring Boot项目

首先，我们需要创建一个Spring Boot项目。在pom.xml中添加Spring Security的依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

2. 配置Spring Security

接下来，创建一个安全配置类，继承WebSecurityConfigurerAdapter并重写配置方法：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 设置用户的认证信息
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER") // {noop}表示不进行密码加密
            .and()
            .withUser("admin").password("{noop}admin").roles("ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/login").permitAll() // 允许所有用户访问根路径和登录路径
                .anyRequest().authenticated() // 其他请求需要认证
                .and()
            .formLogin()
                .loginPage("/login") // 自定义登录页面
                .permitAll()
                .and()
            .logout()
                .permitAll(); // 允许所有用户注销
    }
}

3. 创建登录页面

接下来，创建一个简单的登录页面，src/main/resources/templates/login.html 文件：

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>登录</title>
</head>
<body>
<h2>登录</h2>
<form action="/login" method="post">
    <div>
        <label for="username">用户名:</label>
        <input type="text" id="username" name="username">
    </div>
    <div>
        <label for="password">密码:</label>
        <input type="password" id="password" name="password">
    </div>
    <button type="submit">登录</button>
</form>
</body>
</html>

4. 创建控制器

然后，我们需要一个控制器来处理请求：

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class HomeController {

    @GetMapping("/")
    public String home(Model model) {
        return "home"; // 返回首页视图
    }

    @GetMapping("/login")
    public String login(Model model) {
        return "login"; // 返回登录视图
    }
}

5. 首页视图

最后，我们创建一个简单的首页视图，src/main/resources/templates/home.html：

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>首页</title>
</head>
<body>
<h2>欢迎来到首页!</h2>
<p><a href="/logout">注销</a></p>
</body>
</html>

6. 启动应用

至此，我们已经完成了基本的Spring Security登录认证的设置。在应用启动后，访问http://localhost:8080/，你将被重定向到登录页面。使用用户名user和密码password进行登录后，你将能够访问首页。

总结

通过上述简单的配置和代码示例，我们实现了一个基本的Spring Security登录认证功能。可以在此基础上扩展更多的功能，如用户注册、角色管理等，以适应实际项目的复杂需求。Spring Security的配置灵活强大，可以帮助我们确保应用的安全性。