最終效果

1、實現頁面訪問許可權限制
2、使用者角色區分，並按照角色區分頁面許可權
3、實現在資料庫中儲存使用者資訊以及角色資訊
4、自定義驗證程式碼

效果如下：
1、免驗證頁面

2、登陸頁面
在使用者未登入時，訪問任意有許可權要求的頁面都會自動跳轉到登陸頁面。

3、需登陸才能檢視的頁面
使用者登陸後，可以正常訪問頁面資源，同時可以正確顯示使用者登入名：

4、使用者有角色區分，可以指定部分頁面只允許有相應使用者角色的人使用
4.1、只有ADMIN覺得使用者才能檢視的頁面（許可權不足）

4.2、只有ADMIN覺得使用者才能檢視的頁面（許可權滿足）

以下具體說明實現步驟。

程式碼實現

MAVEN引入依賴

在pom.xml中引入spring security依賴

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

配置Spring Security

在Spring中，配置和使用Spring Security，在不需要修改太多流程細節的情況下僅需宣告好攔截規則，同時自定義驗證過程中的主要實現介面（使用者資訊UserDetails，使用者資訊獲取服務UserDetailsService，驗證工具AuthenticationProvider）即可。其餘的流程將由Spring自動接管，非常方便。

啟動配置

在專案包下新增WebSecurityConfigurerAdapter 的具體實現類，實現Spring Security的啟動配置
程式碼如下：

@Configurable
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)//允許進入頁面方法前檢驗
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyAuthenticationProvider provider;//自定義驗證
 

    @Autowired
    private UserDetailsService userDetailsService;//自定義使用者服務
    @Autowired
    public void configAuthentication(AuthenticationManagerBuilder auth) throws Exception{
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()

        .antMatchers(StaticParams.PATHREGX.NOAUTH, 
                StaticParams.PATHREGX.CSS,StaticParams.PATHREGX.JS,StaticParams.PATHREGX.IMG).permitAll()//無需訪問許可權

        .antMatchers(StaticParams.PATHREGX.AUTHADMIN).hasAuthority(StaticParams.USERROLE.ROLE_ADMIN)//admin角色訪問許可權

        .antMatchers(StaticParams.PATHREGX.AUTHUSER).hasAuthority(StaticParams.USERROLE.ROLE_USER)//user角色訪問許可權

        .anyRequest()//all others request authentication
        .authenticated()
        .and()
        .formLogin().loginPage("/login").permitAll()
        .and()
        .logout().permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        //將驗證過程交給自定義驗證工具
        auth.authenticationProvider(provider);
    }

URL攔截配置

URL攔截配置可以在上一小節的WebSecurityConfig 中配置，但是此方法適用於大方向上的配置，具體的特殊路徑也可以在@Controller的註解中具體配置。詳細說明可以參考：Spring Boot Security Application

如下：

    @ResponseBody
    @PreAuthorize("hasAuthority('"+StaticParams.USERROLE.ROLE_ADMIN+"')")//這裡可以指定特定角色的使用者訪問許可權
    @RequestMapping(value = "adminrequire", method = RequestMethod.GET)
    public String adminrequire(){
        return "HELLO from web but you should be admin";
    }

使用者、角色表

在本文例子中使用者和角色可以有一對多的關係因此可以將使用者和角色分成兩張表。有些例子將使用者和許可權寫在同一張表上也是可以的。

/*使用者表*/
@Entity
@Table(name = "user")
public class SystemUser {

    @Id
    @Column(name = "id")
    @GeneratedValue(strategy = GenerationType.AUTO)
    private Long id;

    private String userName;
    private String password;

    public SystemUser(){}

    public SystemUser(SystemUser user){
        this.userName = user.getUserName();
        this.password = user.getPassword();
        this.id = user.getId();
    }

    public Long getId() {
        return id;
    }
    public void setId(Long id) {
        this.id = id;
    }
    public String getUserName() {
        return userName;
    }
    public void setUserName(String userName) {
        this.userName = userName;
    }
    public String getPassword() {
        return password;
    }
    public void setPassword(String password) {
        this.password = password;
    }
}
/*角色表*/
@Entity
@Table(name = "user_role")
public class UserRole {

    @Id
    @Column(name = "id")
    @GeneratedValue(strategy = GenerationType.AUTO)
    private Long id;

    private String role;
    private Long userId;
    public Long getId() {
        return id;
    }
    public void setId(Long id) {
        this.id = id;
    }
    public String getRole() {
        return role;
    }
    public void setRole(String role) {
        this.role = role;
    }
    public Long getUserId() {
        return userId;
    }
    public void setUserId(Long userId) {
        this.userId = userId;
    }
}

自定義驗證

在Spring Boot的Spring Security的教程中預設的使用者名稱、密碼、許可權是在程式碼中指定的

@Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }

這顯然是不符合應用需求的，所以我們需要提供自定義的AuthenticationProvider，並在上邊程式碼中替換即可。在此之前，我們應該重寫獲取使用者User和許可權的方法。通過查詢相關資料和API，方法提供如下：

自定義UserDetails

UserDetails代表了Spring Security的使用者認證實體，帶有使用者名稱、密碼、許可權列表、過期特性等性質，可以自己宣告類實現UserDetails介面，如果不想自己宣告，也可以用SpringSecurity的預設實現org.springframework.security.core.userdetails.User 本文例子中採用自定義類：

public class MyUserDetails extends SystemUser implements UserDetails{

    private List<UserRole> roles;

    public MyUserDetails(SystemUser user, List<UserRole> roles){
        super(user);
        this.roles = roles;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(roles == null || roles.size() <1){
            return AuthorityUtils.commaSeparatedStringToAuthorityList("");
        }
        StringBuilder commaBuilder = new StringBuilder();
        for(UserRole role : roles){
            commaBuilder.append(role.getRole()).append(",");
        }
        String authorities = commaBuilder.substring(0,commaBuilder.length()-1);
        return AuthorityUtils.commaSeparatedStringToAuthorityList(authorities);
    }

    @Override
    public String getPassword() {
        return super.getPassword();
    }

    @Override
    public String getUsername() {
        return super.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

}

自定義UserDetailsService

UserDetailsService提供了獲取UserDetails的方式，只要實現UserDetailsService介面即可，最終生成使用者和許可權共同組成的UserDetails，在這裡就可以實現從自定義的資料來源中獲取使用者資訊了：

@Service("MyUserDetailsImpl")
public class MyUserDetailsService implements UserDetailsService {
    @Resource(name = "SystemUserServiceImpl")
    private SystemUserService systemUserService;

    @Resource(name = "UserRoleServiceImpl")
    private UserRoleService userRoleService;

    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        SystemUser user;
        try {
            user = systemUserService.findByName(userName);
        } catch (Exception e) {
            throw new UsernameNotFoundException("user select fail");
        }
        if(user == null){
            throw new UsernameNotFoundException("no user found");
        } else {
            try {
                List<UserRole> roles = userRoleService.getRoleByUser(user);
                return new MyUserDetails(user, roles);
            } catch (Exception e) {
                throw new UsernameNotFoundException("user role select fail");
            }
        }
    }
}

自定義AuthenticationProvider

AuthenticationProvider 提供使用者UserDetails的具體驗證方式，在這裡可以自定義使用者密碼的加密、驗證方式等等。因為博文主要講的是如何引入Spring Security和如何自定義驗證程式碼，所以這裡為了簡便，我直接採用明文比較方式：

@Component
public class MyAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private MyUserDetailsService userService;

    /**
     * 自定義驗證方式
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String password = (String) authentication.getCredentials();
        MyUserDetails user = (MyUserDetails) userService.loadUserByUsername(username);
        if(user == null){
            throw new BadCredentialsException("Username not found.");
        }

        //加密過程在這裡體現
        if (!password.equals(user.getPassword())) {
            throw new BadCredentialsException("Wrong password.");
        }

        Collection<? extends GrantedAuthority> authorities = user.getAuthorities();
        return new UsernamePasswordAuthenticationToken(user, password, authorities);
    }

    @Override
    public boolean supports(Class<?> arg0) {
        return true;
    }

}