这是Spring Security提供的配置类, 用户保护基于HTTP的请求 ,通过HttpSecurity可以设置各种安全设置{认证,授权,CSRF保护,会话管理,异常处理}
主要功能和配置:
1.认证配置:
- 配置登录和登出功能,指定登录页面、登录处理 URL、成功和失败处理器等。
- 配置认证方式,如表单登录、HTTP Basic 认证、OAuth2 登录等。
示例代码:
http
.formLogin()
.loginPage("/login") // 自定义登录页面
.loginProcessingUrl("/perform_login") // 登录处理 URL
.defaultSuccessUrl("/home", true) // 登录成功后跳转的页面
.failureUrl("/login?error=true") // 登录失败后跳转的页面
.permitAll() // 允许所有用户访问登录页面
.and()
.logout()
.logoutUrl("/perform_logout") // 登出处理 URL
.deleteCookies("JSESSIONID") // 删除特定的 Cookie
.logoutSuccessUrl("/login"); // 登出成功后跳转的页面
2.授权配置:
- 配置 URL 访问权限,指定哪些 URL 需要什么角色或权限才能访问。
- 配置全局方法安全性,使用注解如
@PreAuthorize、@Secured来控制方法级别的访问。
示例代码:
http
.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN") // 只有 ADMIN 角色可以访问
.antMatchers("/user/**").hasAnyRole("USER", "ADMIN") // 只有 USER 或 ADMIN 角色可以访问
.antMatchers("/public/**").permitAll() // 所有人都可以访问
.anyRequest(<
