spring security实现用户认证

### 如何使用Spring Security实现用户身份验证

#### 配置依赖项
为了使Spring Security能够处理安全性和认证，需在项目的`pom.xml`文件中引入必要的依赖。对于基于Maven构建的项目来说，这通常意味着添加如下所示的内容：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

此操作会自动激活默认的安全设置[^3]。

#### 创建内存中的用户账户
如果不想立即集成复杂的持久层技术（如JPA），可以在内存中定义几个测试账号用于开发阶段的身份验证目的。通过重写`WebSecurityConfigurerAdapter.configure()`方法来完成这项任务:

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}admin").roles("ADMIN");
    }
}

上述代码片段展示了如何创建两个具有不同权限级别的用户："user" 和 "admin"[^1]。

#### 定义受保护资源路径
为了让某些特定URL仅限于已登录或拥有特殊角色的人访问，还需要指定哪些HTTP请求应该受到保护。同样是在同一个类里面继续编写规则：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/admin/**").hasRole("ADMIN") // 只允许管理员访问/admin开头的链接
        .anyRequest().authenticated()             // 所有其他请求都需要先登录才能查看
        .and()
      .formLogin();                               // 启用表单登陆机制，默认提供一个简易版HTML页面
}

这段配置说明了只有具备`ADMIN`角色的用户才可以浏览带有`/admin/*`前缀的网页；而其余部分则要求任何形式的成功登录即可进入[^2]。

#### 测试过程
启动应用之后尝试打开浏览器并输入服务器地址加上任意被限制住的路由（比如http://localhost:8080/admin/dashboard）。此时应当会被导向至由框架自带的一个简单登录界面，在那里可以利用前面所设定好的用户名和密码来进行模拟登录动作。