如何将 Spring Security 与 Spring Boot Rest API 一起使用？答案

【问题标题】：How can I use Spring Security along with a Spring Boot Rest API?如何将 Spring Security 与 Spring Boot Rest API 一起使用？
【发布时间】：2020-11-02 10:27:53
【问题描述】：

我制作了一个管理员工的网络应用程序。我想将其拆分为两个，分别用于管理员和用户，并根据他们的角色进一步禁用用户界面中的一些功能。根据我的阅读，Spring Security 非常适合它，但我的问题是我的接口是一个项目，而 API 是一个单独的项目，所以我在项目中没有任何带有 jsp 文件的 daos 等。（我使用 AJAX 从数据库中获取必要的信息）

在这种情况下如何使用 Spring Security，有没有更好的方法？

【问题讨论】：

那么您的后端目前是 Springboot 服务器吗？您如何在后端确定客户端是用户/管理员，您是否使用一些 authn/authz 机制，如令牌或密码？还是所有预期的客户端都预加载在数据库中，以便后端可以查询？基于此，我们可以让后端做出对用户进行身份验证的决定，而 UI 可以确定下一个操作。
@srinivaskumar 所以还是很新，所以我使用 javascript 进行了所有身份验证（非常糟糕的做法，但我不知道另一种方式）用户角色也在数据库中。我有一个 AJAX 调用来验证用户名和密码是否匹配，然后我使用用户名（也是他/她的 id）调用另一个 AJAX 来获取有关该用户的所有信息。从那里我根据他们的角色将他们重定向到管理员/用户页面。我希望使用另一种方法而不是使用 JS 来完成这部分

标签： spring-boot jsp spring-security

【解决方案1】：

目前您的前端（webapp 的用户界面）直接与数据库交互，自行执行 AuthN/AuthZ。因此，为了将 UI 与身份验证分离，您可以引入一个后端（即 springboot），该后端将依次处理与数据库的事务。考虑到使用简单用户密码的用例，不需要 Spring Security，因为可以在代码本身中采用简单的决策逻辑。

数据库：您可以使用 springboot JPA 的内存数据库，也可以坚持使用当前数据库，只要确保它有 API 可以让您的服务器与之交互。
Backend(Springboot)：所以这可以有几个 REST API 端点，UI 可以使用这些端点来查询用户。

@RestController
public class CustomRestController() {
  
    //Can be a post method, get is an exmaple.
    @GetMapping("/authorize")
    public boolean authorize(...) {
       //Queries database and returns boolean based on match/unmatch.
    }

    @GetMapping("/user/details")
    public UserDetails getUserDetailsForUserId(...) {
      //UserDetails is a custom user object which you populate by querying 
        database.
      //you can choose which details to send/not to send based on type of user.
    }
}

FrontEnd(Ajax)：调用后端 rest api 端点。首先，它调用/authorize 以确保客户端通过身份验证登录。成功后它会调用/user/details。现在检索一些数据仅用于基于后端过滤的管理员。由于缺少某些数据，因此需要完全显示（在普通用户的情况下）

参考资料：

【讨论】：