如何配置Spring Security实现简单的表单登录保护？ -

题目

如何配置Spring Security实现简单的表单登录保护？

信息

类型：问答
难度：⭐

考点

安全配置类,表单登录配置,URL权限控制

快速回答

配置Spring Security表单登录需要三个核心步骤：

创建继承WebSecurityConfigurerAdapter的配置类
重写configure(HttpSecurity http)方法
使用链式调用配置：
- authorizeRequests()定义URL访问规则
- formLogin()启用表单登录
- logout()配置退出功能

## 解析

原理说明

Spring Security通过HttpSecurity对象配置HTTP请求的安全策略。表单登录流程：

用户访问受保护资源时重定向到登录页
提交表单后由UsernamePasswordAuthenticationFilter处理认证
认证成功跳转到原始请求页面

代码示例

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()  // 公开访问
                .antMatchers("/admin/**").hasRole("ADMIN")  // 需ADMIN角色
                .anyRequest().authenticated()  // 其他请求需登录
            .and()
            .formLogin()
                .loginPage("/login")  // 自定义登录页
                .permitAll()  // 允许所有人访问登录页
            .and()
            .logout()
                .logoutSuccessUrl("/login?logout")  // 退出成功跳转
                .permitAll();
    }
}

最佳实践

使用@EnableWebSecurity注解启用安全配置
通过antMatchers()精确控制URL权限
自定义登录页提升用户体验（默认页为/login）
生产环境必须启用CSRF保护（默认开启）

常见错误

忘记permitAll()导致登录页被拦截（循环重定向）
URL匹配顺序错误（应从具体到一般）
未配置密码编码器（示例中省略，实际需用PasswordEncoder）
混淆hasRole()（自动添加ROLE_前缀）和hasAuthority()

扩展知识

内存用户认证：在configure(AuthenticationManagerBuilder auth)中配置
auth.inMemoryAuthentication().withUser("user").password(encoder.encode("pass")).roles("USER")
默认登录参数：用户名参数名username，密码参数名password
会话管理：可通过sessionManagement()配置会话并发控制