SpringSecurity的概念、认证、授权机制剖析
更新时间:2026年01月28日 08:49:13 作者:yangminlei
Spring Security是一个强大且高度可定制的身份验证和访问控制框架,主要用于Java应用程序的安全性,这篇文章给大家介绍SpringSecurity的概念、认证、授权机制剖析,感兴趣的朋友跟随小编一起看看吧
SpringSecurity 核心概念
SpringSecurity 是一个功能强大且高度可定制的身份验证和访问控制框架,专注于为 Java 应用程序提供安全性。其核心功能围绕身份验证(Authentication)和授权(Authorization)展开。
身份验证是确认用户身份的过程,通常通过用户名密码、OAuth2、JWT 等方式实现。授权是确定已验证用户拥有哪些权限,例如访问特定资源或执行某些操作。
认证流程剖析
SpringSecurity 的认证流程主要由一系列过滤器链组成。核心过滤器包括 UsernamePasswordAuthenticationFilter(处理表单登录)、BasicAuthenticationFilter(处理 HTTP Basic 认证)等。认证过程最终由 AuthenticationManager 协调,委托给 ProviderManager 和具体的 AuthenticationProvider 实现。
认证成功后,会生成 Authentication 对象并存入 SecurityContextHolder,供后续授权流程使用。默认使用 ThreadLocal 存储安全上下文,确保线程安全。
授权机制解析
授权通过 AccessDecisionManager 实现,核心策略包括:
- 基于投票的
AffirmativeBased(一票通过即可) - 一致性通过的
UnanimousBased(全部投票通过) - 多数通过的
ConsensusBased
权限判断通常使用 hasRole()、hasAuthority() 等表达式,或通过注解如 @PreAuthorize 实现方法级安全控制。配置示例:
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
.anyRequest().authenticated();
JWT 集成实践
JWT(JSON Web Token)是一种无状态的认证方案,适合分布式系统。集成步骤:
创建 JWT 工具类处理令牌生成/验证:
public class JwtTokenUtil {
private String secret = "your-secret-key";
public String generateToken(UserDetails userDetails) {
return Jwts.builder()
.setSubject(userDetails.getUsername())
.setIssuedAt(new Date())
.setExpiration(new Date(System.currentTimeMillis() + 3600*1000))
.signWith(SignatureAlgorithm.HS512, secret)
.compact();
}
public Boolean validateToken(String token, UserDetails userDetails) {
final String username = extractUsername(token);
return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
}
}配置 JWT 过滤器:
public class JwtRequestFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response,
FilterChain chain) {
String token = extractToken(request);
if (token != null && jwtUtil.validateToken(token, userDetails)) {
UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
userDetails, null, userDetails.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(auth);
}
chain.doFilter(request, response);
}
}OAuth2 集成方案
SpringSecurity 提供完整的 OAuth2 支持,包括客户端和资源服务器配置:
资源服务器配置示例:
@EnableResourceServer
@Configuration
public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/api/**").authenticated();
}
@Override
public void configure(ResourceServerSecurityConfigurer resources) {
resources.tokenServices(tokenServices());
}
@Bean
public TokenStore tokenStore() {
return new JwtTokenStore(accessTokenConverter());
}
@Bean
public JwtAccessTokenConverter accessTokenConverter() {
JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setSigningKey("shared-secret");
return converter;
}
}客户端配置示例:
@EnableOAuth2Client
@Configuration
public class OAuth2ClientConfig {
@Bean
public OAuth2RestTemplate oauth2RestTemplate(
OAuth2ClientContext oauth2ClientContext,
OAuth2ProtectedResourceDetails details) {
return new OAuth2RestTemplate(details, oauth2ClientContext);
}
}
安全配置最佳实践
生产环境建议配置:
- 启用 CSRF 防护(对于有状态的 web 应用)
- 配置 CORS 策略
- 强制 HTTPS
- 设置严格的内容安全策略
- 使用安全密码编码器:
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
典型安全配置示例:
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().ignoringAntMatchers("/api/**")
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.addFilterBefore(jwtFilter(), UsernamePasswordAuthenticationFilter.class)
.authorizeRequests()
.antMatchers("/auth/**").permitAll()
.anyRequest().authenticated();
}
}
到此这篇关于SpringSecurity的概念、认证、授权机制剖析的文章就介绍到这了,更多相关SpringSecurity授权内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
解决java-jar报错:xxx.jar 中没有主清单属性的方法
在使用 java -jar xxx.jar 命令运行 Java 应用程序时,遇到了以下错误:xxx.jar 中没有主清单属性,这个错误表示 JAR 文件缺少必要的启动信息,本文将介绍该错误的原因以及如何通过修改 pom.xml 文件来解决,需要的朋友可以参考下2024-11-11
这篇文章主要介绍了spring导入framework报红问题及解决,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-07-07
这篇文章主要介绍了浅谈springboot多模块(modules)开发,详细的介绍了springboot多模块的实现,有兴趣的可以了解一下2017-09-09
所谓关联映射就是将关联关系映射到数据库里,在对象模型中就是一个或多个引用。下面这篇文章详细的给大家介绍了Hibernate映射解析之关联映射的相关资料,需要的朋友可以参考借鉴,下面来一起看看吧。2017-02-02
监听器模式,大家应该并不陌生,主要的组成要素包括了事件、监听器以及广播器;当事件发生时,广播器负责将事件传递给所有已知的监听器,而监听器会对自己感兴趣的事件进行处理2022-07-07
之前工作需要,查了挺多种Excel转PDF的方法,下面这篇文章主要给大家介绍了关于java将excel转为pdf的相关资料,文中通过代码介绍的非常详细,需要的朋友可以参考下2024-01-01
这篇文章主要介绍了Java @Autowired报错原因分析和4种解决方案,文章围绕主题展开详细内容介绍,具有一定的参考价值,需要的小伙伴可以参考以一下2022-05-05
这篇文章主要介绍了关于在Java中使用预定义类,预定义类就是Java类库(或第三方库)中已经定义好的类,例如,Math 类和 Date 类,需要的朋友可以参考下2023-05-05
这篇文章主要介绍了Spring MVC InitBinder验证方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-03-03
这篇文章主要给大家介绍了关于java中抽象类、抽象方法、接口与实现接口的相关资料,文中通过示例代码将四者介绍的非常详细,并且简单介绍了抽象类和接口的区别,需要的朋友可以参考借鉴,下面随着小编来一起学习学习吧。2017-11-11
最新评论