准备

Spring Boot 3正式版本已发版了半个月，Spring Security6也一并更新，但是网络上的相关中文文档较少，盲目进行集成容易出错，所以本文讲如何快速集成。这里不再赘述Spring Boot3和Spring Security6是做什么的，能来这的都知道。先确保以下信息：

Spring Boot至少是3.0.0版本Spring Security至少是6.0.0版本（这里由Spring Boot管理，直接上starter即可）

本文要解决的问题：Spring Security 6的集成和配置

开始集成

1、Maven增加依赖，如果你已经有了，或者Spring Initializr新建项目时加了，忽略这一步

<dependency>    <groupId>org.springframework.boot</groupId>    <artifactId>spring-boot-starter-security</artifactId></dependency>

2、配置你的Spring Security，这里的/api/auth/login是你的登录页地址

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.web.SecurityFilterChain;@Configurationpublic class SpringSecurityConfig {    @Bean    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {        return http.authorizeHttpRequests(authorize-> {                    try {                        authorize                                // 放行登录接口                                .requestMatchers("/api/auth/login").permitAll()                                // 放行资源目录                                .requestMatchers("/static/**", "/resources/**").permitAll()                                // 其余的都需要权限校验                                .anyRequest().authenticated()                                // 防跨站请求伪造                                .and().csrf(csrf -> csrf.disable());                    } catch (Exception e) {                        throw new RuntimeException(e);                    }                }        ).build();    }}

3、Spring Boot 启动类增加EnableMethodSecurity注解

@SpringBootApplication()@EnableMethodSecurity(securedEnabled = true, jsr250Enabled = true)public class Application {    public static void main(String[] args) {        SpringApplication.run(Application.class, args);    }}

4、在需要登录才能访问的Controller中，在方法加上权限判断注解 @PreAuthorize(“hasAuthority(‘权限字符串’)”)

/** * 需要登录才能访问的控制器 * * @author 黑龙江省瑜美科技发展有限公司 * @since 2022-12-11 */@RestController@RequestMapping("/controller")public class YourController {    @RequestMapping("method")    @PreAuthorize("hasAuthority('YourController:YourMethod')")    public String yourMethod(){        return "这个信息只有登录才能看到";    }}

5、往项目里添加工具类，不用改，原样放上去就行

import jakarta.servlet.http.HttpServletRequest;import org.springframework.security.authentication.AnonymousAuthenticationToken;import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;import org.springframework.security.core.GrantedAuthority;import org.springframework.security.core.authority.AuthorityUtils;import org.springframework.security.core.context.SecurityContextHolder;import org.springframework.security.web.context.HttpSessionSecurityContextRepository;import org.springframework.web.context.request.RequestContextHolder;import org.springframework.web.context.request.ServletRequestAttributes;import java.util.List;/** * Spring Security 工具类 * * @author 黑龙江省瑜美科技发展有限公司 * @since 2022-12-11 */public class SpringSecurityUtil {    /**     * 登录     *     * @param username    用户名     * @param password    密码     * @param authorities 权限     */    public static void login(String username, String password, List<String> authorities) {        HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();        List<GrantedAuthority> authoritiesList = AuthorityUtils.createAuthorityList(authorities.toArray(new String[]{}));        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password, authoritiesList);        SecurityContextHolder.getContext().setAuthentication(token);        request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());    }    /**     * 获取当前登录用户名     *     * @return     */    public static String getCurrentUsername() {        return SecurityContextHolder.getContext().getAuthentication().getPrincipal().toString();    }    /**     * 判断是否已登录     *     * @return     */    public static boolean isLogin() {        return !(SecurityContextHolder.getContext().getAuthentication() instanceof AnonymousAuthenticationToken);    }}

6、做登录测试的Controller：

import org.springframework.web.bind.annotation.RequestMapping;import org.springframework.web.bind.annotation.RestController;import java.util.ArrayList;import java.util.List;/** * 登录测试 * * @author 黑龙江省瑜美科技发展有限公司 * @since 2022-12-11 */@RestController@RequestMapping("/api/auth")public class LoginController {    @RequestMapping("login")    public Object login(){        // 用户名，这个从你的登录表单拿        String username="admin";        // 密码，这个从你的登录表单拿        String password="password";        // 权限字符串，这个从你的数据库里读        List<String> authorities=new ArrayList<>();        authorities.add("YourController:YourMethod");        // 判断是否登陆        if(SpringSecurityUtil.isLogin()){            // 登陆了打印一下当前用户名            System.out.println(SpringSecurityUtil.getCurrentUsername());        }else{            // 没登录则进行一次登录            SpringSecurityUtil.login(username,password,authorities);        }        return "success";    }}

7、测试，启动服务，访问一下/api/auth/login，然后再访问/controller/method才能看到数据，否则会返回403状态，实现了登录功能。在需要限制权限的方法加上一个注解就可以实现权限限制功能，非常的人性化。

总结：在研究过程的时候遇到了哪些坑

以下内容供有经验的人阅读

1、authorizeRequests方法已废弃，取而代之的是authorizeHttpRequests。
2、@PermitAll注解是不好使的。
3、SecurityContextHolder.getContext().getAuthentication().isAuthenticated()永远都是true，所以即使是当前用户是anonymousUser时，也不能用来判断登录状态，必须要判断是否是AnonymousAuthenticationToken类型。
4、并不是所有的字符串都可以充当权限字符串，建议使用英文字母、冒号。
5、ROLE_开头的权限字符串代表角色，用错会导致无法判断权限。
6、SecurityContext在设置Authentication的时候并不会自动写入Session，读的时候却会根据Session判断，所以需要手动写入一次，否则下一次刷新时SecurityContext是新创建的实例。
7、HttpServletRequest已经从javax包移动到了jakarta包，是因为Spring Framework 6.0从Java EE升级到了Jakarta EE。

所以综上所述，大多数已知的第三方工具类和辅助框架已经失效，要么重新造轮子，要么开源开发者升级一下已有的项目。