在Spring Boot Web項目中，安全性是一個重要的考慮因素。Spring Security是Spring生態系統中用于提供安全認證和授權的框架，它可以幫助我們輕松實現用戶認證、權限控制、防止CSRF攻擊等功能。

首先，我們需要在項目中添加Spring Security的依賴。在pom.xml中添加以下依賴：
org.springframework.boot
spring-boot-starter-security
添加這個依賴后，Spring Security會自動為我們的應用提供基本的安全保護，包括HTTP Basic認證和CSRF防護。

接下來，我們需要配置Spring Security。創建一個配置類，繼承WebSecurityConfigurerAdapter并重寫相應的方法。以下是一個基本的配置示例：package com.example.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
       .authorizeRequests()
           .antMatchers("/", "/home", "/register").permitAll()
           .antMatchers("/admin/**").hasRole("ADMIN")
           .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
           .anyRequest().authenticated()
           .and()
       .formLogin()
           .loginPage("/login")
           .permitAll()
           .and()
       .logout()
           .permitAll();
}

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

}在這個配置中，我們定義了URL的訪問權限：

• 根路徑、/home和/register路徑允許所有用戶訪問
• /admin/開頭的路徑只允許具有ADMIN角色的用戶訪問
• /user/開頭的路徑允許具有USER或ADMIN角色的用戶訪問
• 其他所有路徑都需要用戶認證

我們還配置了表單登錄和登出功能，并指定了自定義的登錄頁面。同時，我們創建了一個PasswordEncoder Bean，用于密碼加密。

接下來，我們需要實現用戶認證服務。創建一個類實現UserDetailsService接口，用于加載用戶信息。以下是一個示例：package com.example.demo.service.impl;

import com.example.demo.entity.User;
import com.example.demo.repository.UserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

@Autowired
private UserRepository userRepository;

@Override
public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException {
    User user = userRepository.findByEmail(email);
    if (user == null) {
        throw new UsernameNotFoundException("User not found with email: " + email);
    }

    List<GrantedAuthority> authorities = new ArrayList<>();
    authorities.add(new SimpleGrantedAuthority("ROLE_" + user.getRole()));

    return new org.springframework.security.core.userdetails.User(
            user.getEmail(),
            user.getPassword(),
            authorities
    );
}

}在這個實現中，我們通過用戶郵箱查找用戶，并將用戶的角色轉換為Spring Security的權限對象。

為了支持用戶注冊功能，我們需要創建一個控制器來處理注冊請求。以下是一個簡單的注冊控制器示例：package com.example.demo.controller;

import com.example.demo.entity.User;
import com.example.demo.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.validation.BindingResult;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;

import javax.validation.Valid;

@Controller
public class AuthController {

@Autowired
private UserService userService;

@GetMapping("/register")
public String showRegistrationForm(Model model) {
    model.addAttribute("user", new User());
    return "register";
}

@PostMapping("/register")
public String processRegistrationForm(@Valid User user, BindingResult bindingResult, Model model) {
    if (bindingResult.hasErrors()) {
        return "register";
    }

    if (userService.findByEmail(user.getEmail()) != null) {
        model.addAttribute("emailError", "Email already exists");
        return "register";
    }

    userService.saveUser(user);
    return "redirect:/login";
}

@GetMapping("/login")
public String showLoginForm() {
    return "login";
}

}在這個控制器中，我們處理了用戶注冊和登錄請求，并進行了基本的驗證。

在模板方面，我們需要創建register.html和login.html頁面。以下是一個簡單的login.html示例：

Login

Email:

Password:

Invalid username or password.

You have been logged out.

Don't have an account? Register here

Spring Security還提供了許多其他功能，如Remember-Me功能、會話管理、OAuth2支持等。例如，要啟用Remember-Me功能，只需在SecurityConfig類的configure方法中添加以下代碼：http .rememberMe() .key("uniqueAndSecret") .tokenValiditySeconds(86400); Spring Security為Spring Boot Web項目提供了強大而靈活的安全解決方案。通過合理的配置和實現，我們可以輕松實現用戶認證、權限控制等安全功能，保護我們的應用免受各種安全威脅。