权限管理 - 访问控制 - 控制用户访问资源

Java - Web - Spring 《权限管理 - 访问控制 - 控制用户访问资源》

一、引言

在开发 Java Web 应用程序时，权限管理和访问控制是至关重要的部分。它确保只有经过授权的用户能够访问特定的资源，从而保护系统的安全性和数据的完整性。Spring 框架提供了强大的功能来实现权限管理和访问控制，本文将详细介绍如何使用 Spring 实现用户对资源的访问控制。

二、Spring 权限管理基础

Spring 提供了 Spring Security 模块来处理权限管理和访问控制。Spring Security 是一个强大且高度可定制的身份验证和访问控制框架，它可以无缝集成到 Spring 应用程序中。

主要概念

身份验证（Authentication）：验证用户的身份，确认用户是否是其所声称的人。
授权（Authorization）：在用户通过身份验证后，决定用户是否有权限访问特定的资源。

三、示例项目搭建

1. 创建 Spring Boot 项目

使用 Spring Initializr（https://start.spring.io/）创建一个新的 Spring Boot 项目，添加以下依赖：

Spring Web
Spring Security

2. 配置 Spring Security

创建一个配置类来配置 Spring Security。以下是一个简单的配置示例：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
          .authorizeRequests()
              .antMatchers("/public").permitAll() // 允许所有用户访问 /public 路径
              .antMatchers("/admin").hasRole("ADMIN") // 只有具有 ADMIN 角色的用户才能访问 /admin 路径
              .anyRequest().authenticated() // 其他所有请求都需要身份验证
              .and()
          .formLogin() // 使用表单登录
              .and()
          .httpBasic(); // 支持 HTTP 基本认证
        return http.build();
    }
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
              .username("user")
              .password("password")
              .roles("USER")
              .build();
        UserDetails admin = User.withDefaultPasswordEncoder()
              .username("admin")
              .password("password")
              .roles("ADMIN")
              .build();
        return new InMemoryUserDetailsManager(user, admin);
    }
}

代码解释

securityFilterChain 方法配置了请求的访问规则。antMatchers 用于匹配特定的 URL 路径，permitAll 允许所有用户访问，hasRole 要求用户具有特定的角色才能访问，authenticated 要求用户进行身份验证。
userDetailsService 方法创建了两个用户：一个普通用户和一个管理员用户，并将他们存储在内存中。

3. 创建控制器

创建一个简单的控制器来处理不同的请求：

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class ResourceController {
    @GetMapping("/public")
    public String publicResource() {
        return "This is a public resource.";
    }
    @GetMapping("/admin")
    public String adminResource() {
        return "This is an admin-only resource.";
    }
    @GetMapping("/protected")
    public String protectedResource() {
        return "This is a protected resource.";
    }
}

四、测试访问控制

1. 访问公共资源

启动应用程序，访问 http://localhost:8080/public，不需要登录即可看到响应信息。

2. 访问受保护资源

访问 http://localhost:8080/protected，会自动跳转到登录页面，使用 user 和 password 登录后可以访问该资源。

3. 访问管理员资源

访问 http://localhost:8080/admin，使用普通用户 user 登录会收到 403 禁止访问的错误，使用管理员用户 admin 和 password 登录后可以访问该资源。

五、总结

路径	访问权限	描述
`/public`	所有用户	公共资源，无需身份验证
`/admin`	具有 ADMIN 角色的用户	管理员专用资源，只有管理员用户可以访问
`/protected`	已认证的用户	受保护资源，需要用户进行身份验证

通过使用 Spring Security，我们可以方便地实现用户对资源的访问控制。在实际项目中，可以根据需求对用户角色和访问规则进行更复杂的配置，例如从数据库中获取用户信息和角色信息，使用更安全的密码加密方式等。

总之，Spring Security 为 Java Web 应用程序提供了强大而灵活的权限管理和访问控制解决方案，能够有效保护系统的安全性。