如何在 Spring Boot 中实现基本身份验证？

Question

我按照 this 和 this 教程创建了一个带有基于 Java 的后端的 Angular.JS 应用程序的骨架。它的代码可以在here找到。

它具有身份验证 - 在启动时 Spring Boot 会向控制台写入一个随机密码，您可以使用该密码登录到启动的应用程序。用户名为user，密码一开始就打印在控制台中：

现在我想拥有几个具有固定密码的用户帐户（没关系，如果它们是硬编码的）。

如何在该应用程序中执行此操作而不破坏与 AngularJS 的兼容性？

我想我必须在UiApplication 中修改SecurityConfiguration 并使用类似的东西

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
        .withUser("user")
        .password("password")
        .roles("USER");
}

正如here 解释的那样，但我不确定它不会破坏 AngularJS。

Answer 1

这就是解决方案：

@Configuration
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
class SecurityConfiguration extends
    WebSecurityConfigurerAdapter {


    @Autowired
    public void registerAuthentication(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user1")
            .password("password1")
            .roles("ADMIN")
            .and()
            .withUser("user2")
            .password("password2")
            .roles("USER");
    }

Answer 2

只要您不更改身份验证方案（即 BASIC、FORM 等），AngularJS 就不会关心您如何在后端管理用户帐户。当然，如果您使用固定的用户名和密码并将其硬编码到 AngularJS 代码中，则必须更改此设置。

Answer 3

它不会破坏角度兼容性。但除了您提到的代码更改之外，您还需要确保您允许匿名访问 /login URI。还需要更改重载的配置方法，如下所示：

@Override
protected void configure(HttpSecurity http) throws Exception {
  http
    .httpBasic()
  .and()
    .authorizeRequests()
      .antMatchers("/login.html").permitAll()
  .antMatchers("/index.html", "/home.html").authenticated()
      .antMatchers("/index.html", "/home.html").hasRole("USER")
      .anyRequest().authenticated();
}