要在SpringBoot项目中实现授权访问接口逻辑可以通过如下的几个步骤来实现,首先就是选择合适的安全管理框架,例如常用的SpringSecurity、Apache Shiro等。接下来就是需要定义用户权限体系,并且对相关的权限管理逻辑进行实现。下面我们就来看看如何实现一个需要授权访问的RESTFul应用。
添加依赖
这里我们选择使用SpringSecurity框架来作为安全管理框架,所以需要再POM文件中添加Spring Security相关的依赖。如下所示。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
添加Security配置类
这里我们创建一个自定义的安全管理配置类,用来对Spring Security中的相关实现进行配置,如下所示。
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("user").password(passwordEncoder().encode("password")).roles("USER")
.and()
.withUser("admin").password(passwordEncoder().encode("admin")).roles("ADMIN");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").hasRole("USER")
.antMatchers("/public/**").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.httpBasic();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
在这个配置中,我们添加了两个用户,user和admin并且配置了不同的权限,USERS和ADMIN,也就是说它们实现授权之后所能访问的内容是不一样的。
- /api/public:所有人都可以访问。
- /api/user:只有具有USER角色的用户可以访问。
- /api/admin:只有具有ADMIN角色的用户可以访问。
如下所示,我们来定义一个控制器来进行测试。
创建控制器
下面我们创建一个简单的控制器类用来测试上面的权限管理。如下所示。
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@RequestMapping("/api")
public class ApiController {
@GetMapping("/public")
public String publicEndpoint() {
return "This is a public endpoint.";
}
@GetMapping("/user")
public String userEndpoint() {
return "This is a user endpoint.";
}
@GetMapping("/admin")
public String adminEndpoint() {
return "This is an admin endpoint.";
}
}
启动测试
当你使用PostMan访问相关接口的时候,需要进行身份验证操作,其中访问/api/public不需要任何身份验证。而访问api/user和/api/admin的时候需要使用Basic Auth进行认证,用户名和密码分别就是在上面配置中我们配置的user和admin。
通过上面的这个实现我们就可以在SpringBoot项目构建并完成一个需要授权访问的RESTFul接口。并且可以根据不同的角色对不同的接口进行访问。
总结
上面这种实现方式,是通过SpringSecurity最简单的实现方式来完成的,当然在实际的开发过程中要用到的东西远比这个多,另外就是上面的这个例子只是展示了一个简单的实现原理,想要理解Spring Security权限管理还需要深入了解Spring Security相关的内容。在后续分享中也会继续深入,请大家多多关注,敬请期待。
