如何用Spring Boot实现用户认证授权

在Spring Boot中实现用户认证授权，通常使用Spring Security框架。以下是使用Spring Security实现用户认证授权的步骤：

1. 引入依赖： 在你的pom.xml文件中添加Spring Security的依赖。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2. 配置Spring Security： 创建一个配置类，继承WebSecurityConfigurerAdapter，并重写相关方法来进行认证和授权配置。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
    }
}

在上述配置中：

* `authorizeRequests()`定义了哪些URL路径是公开的（不需要认证），哪些需要认证。
* `formLogin()`配置了登录页面，并定义了登录成功和失败后的行为。
* `logout()`配置了注销行为。
* `configure(AuthenticationManagerBuilder auth)`用于配置用户认证的具体实现，这里我们使用了自定义的`UserDetailsServiceImpl`来加载用户信息。

3. 实现UserDetailsService： 创建一个实现UserDetailsService接口的类，用于从数据库或其他数据源中加载用户信息。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), new ArrayList<>());
    }
}

注意：在实际应用中，你应该使用更安全的密码编码方式，如BCryptPasswordEncoder，而不是直接返回用户的明文密码。 4. 配置密码编码器： 在Spring Security配置类中配置密码编码器。

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

5. 创建登录页面： 创建一个简单的登录页面（例如login.html），并在表单中使用username和password字段。确保表单的action属性设置为/login，并与SecurityConfig中的formLogin()配置相匹配。
6. 测试认证和授权： 启动Spring Boot应用，并尝试访问受保护的URL路径。你应该会被重定向到登录页面，输入用户名和密码进行登录。登录成功后，你应该能够访问受保护的资源。

以上就是在Spring Boot中实现用户认证授权的基本步骤。你可以根据自己的需求进一步定制和扩展这些配置。