Spring Security

原创 于 2025-08-11 15:41:58 发布 · 820 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #后端 #Spring Security

基础内容

Spring Security框架介绍与使用教程

Spring Security 是 Spring 生态系统中的一个核心安全框架,专为保护基于 Spring 的应用程序而设计。它通过提供强大的认证(Authentication)和授权(Authorization)功能,以及防御常见攻击(如 CSRF、XSS 等),帮助开发者构建安全稳定的应用。下面我将从功能、入门教程和使用方法三个方面,逐步介绍 Spring Security,确保内容基于可靠参考来源。

一、Spring Security 的核心功能

Spring Security 的核心功能包括:

  1. 认证(Authentication):验证用户身份,例如通过用户名和密码登录。框架支持多种认证方式,如表单登录、HTTP 基本认证、OAuth2 等。
  2. 授权(Authorization):控制用户对资源的访问权限,例如基于角色(如 ADMIN、USER)或权限表达式限制访问特定 API 或页面。
  3. 安全防护:内置防御机制,如自动处理 CSRF(跨站请求伪造)攻击、会话固定攻击等,确保应用安全。
  4. 集成扩展:与 Spring Boot、Spring MVC 无缝集成,支持自定义配置和扩展,例如集成数据库或第三方认证服务。

这些功能使 Spring Security 成为企业级应用的首选安全解决方案,适用于 Web 应用、微服务等场景。

二、Spring Security 入门教程

以下是一个简单的 Spring Security 实现案例,基于 Spring Boot 项目。逐步操作即可上手:

  1. 导入依赖
    在项目的 pom.xml 文件中添加 Spring Security 起步依赖,以及其他必要库(如 fastjson 用于 JSON 处理):

    <dependencies>
    <!-- Spring Security 核心依赖 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <!-- 可选:JSON 处理工具 -->
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.83</version> <!-- 使用最新版本 -->
    </dependency>
    <!-- Spring Web 支持 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
</dependencies>

    此依赖提供了快速设置 HTTP 基本认证或表单登录的能力。

  2. 配置 Spring Security
    创建一个配置类(如 SecurityConfig.java),定义认证和授权规则。以下示例启用表单登录,并设置简单权限:

    import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorize -> authorize
                .requestMatchers("/public/**").permitAll() // 公开访问
                .requestMatchers("/admin/**").hasRole("ADMIN") // 仅管理员可访问
                .anyRequest().authenticated() // 其他请求需认证
            )
            .formLogin(form -> form
                .loginPage("/login") // 自定义登录页
                .permitAll()
            )
            .logout(logout -> logout
                .permitAll()
            );
        return http.build();
    }
}

    此配置要求用户访问 /admin 路径时必须有 ADMIN 角色,否则重定向到登录页。

  3. 创建访问资源
    添加一个简单的控制器(如 HomeController.java)来测试访问:

    import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class HomeController {

    @GetMapping("/public/hello")
    public String publicHello() {
        return "public-page"; // 公开页面,无需登录
    }

    @GetMapping("/admin/dashboard")
    public String adminDashboard() {
        return "admin-dashboard"; // 需 ADMIN 角色访问
    }
}

  4. 测试身份验证和授权
    运行项目后:

    • 访问 http://localhost:8080/public/hello 可直接查看(无需登录)。
    • 访问 http://localhost:8080/admin/dashboard 会重定向到登录页(默认用户名 user,密码在控制台生成)。
    • 登录后,系统根据角色授权访问资源。

    通过以上步骤,您已实现基本的认证和授权功能。Spring Security 会自动处理登录表单和会话管理。

三、使用方法与最佳实践
  • 自定义认证:集成数据库用户存储,例如通过 UserDetailsService 接口加载用户信息。
  • 高级授权:使用注解如 @PreAuthorize("hasRole('ADMIN')") 在方法级控制权限。
  • 安全优化:启用 HTTPS、配置密码加密(如 BCrypt)以增强安全性。
  • 常见场景:适用于用户管理系统、API 网关、微服务架构等,确保数据隐私和合规性。

Spring Security 的学习曲线较陡,但通过官方文档和社区资源,您可以逐步掌握其高级功能。

思维导图

在这里插入图片描述

工作原理及相关源码示例

Spring Security 原理、源码结构与核心组件详解

一、原理与架构核心

Spring Security 的核心原理基于过滤器链(FilterChain) 机制,通过多层过滤器实现安全控制:

  1. DelegatingFilterProxy
    Spring 提供的代理过滤器,将 Servlet 容器的 Filter 请求委托给 Spring 管理的 Bean。在 web.xml 中配置:

    <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

  2. FilterChainProxy
    Spring Security 的核心过滤器,包含多个 SecurityFilterChain(如下图)。根据请求路径匹配对应的安全链:

    HTTP Request
    DelegatingFilterProxy
    FilterChainProxy
    SecurityFilterChain 1
    SecurityFilterChain 2
    Security Filter 1
    Security Filter 2

  3. 认证流程
    典型认证流程(以用户名密码为例):

    ClientUsernamePasswordAuthenticationFilterAuthenticationManagerProviderManagerDaoAuthenticationProviderUserDetailsServiceUserDetailsAuthenticationSecurityContextHolder提交凭证创建Token委托认证调用Provider加载用户返回用户信息验证密码并返回认证对象存储认证信息ClientUsernamePasswordAuthenticationFilterAuthenticationManagerProviderManagerDaoAuthenticationProviderUserDetailsServiceUserDetailsAuthenticationSecurityContextHolder
二、源码结构分析

核心模块组织(参考引用[2]):

spring-security
├── core        # 核心接口(SecurityContext, Authentication)
├── web         # 过滤器链实现(FilterChainProxy)
├── config      # 注解和配置类(@EnableWebSecurity)
├── oauth2-core # OAuth2 协议支持
└── acl         # 访问控制列表

关键包解析:

  1. org.springframework.security.core
    包含 Authentication, GrantedAuthority, UserDetails 等核心接口
  2. org.springframework.security.web
    过滤器实现:BasicAuthenticationFilter, CsrfFilter
  3. org.springframework.security.config.annotation.web.builders
    配置类:HttpSecurity, WebSecurity
三、常用注解
注解作用示例
@EnableWebSecurity启用Web安全配置@EnableWebSecurity(debug=true)
@PreAuthorize方法级权限控制@PreAuthorize("hasRole('ADMIN')")
@PostAuthorize方法执行后权限检查@PostAuthorize("returnObject.owner == authentication.name")
@Secured基于角色的简单授权@Secured("ROLE_USER")
@EnableGlobalMethodSecurity启用全局方法安全@EnableGlobalMethodSecurity(prePostEnabled=true)
四、核心组件及其功能

  1. AuthenticationManager

    • 认证入口点,协调认证过程
    • 默认实现:ProviderManager(委托给多个 AuthenticationProvider

  2. UserDetailsService

    • 加载用户数据:UserDetails loadUserByUsername(String username)
    • 常用实现:InMemoryUserDetailsManager, JdbcUserDetailsManager

  3. SecurityContextHolder

    • 存储当前安全上下文(默认使用 ThreadLocal
    • 获取当前用户:SecurityContextHolder.getContext().getAuthentication()

  4. AccessDecisionManager

    • 授权决策核心,基于投票机制
    • 实现类:AffirmativeBased(一票通过即授权)

  5. Filter 组件

    过滤器功能
    UsernamePasswordAuthenticationFilter处理表单登录
    BasicAuthenticationFilter处理HTTP基本认证
    CsrfFilter防御CSRF攻击(默认启用)
    AnonymousAuthenticationFilter为未认证请求创建匿名用户
五、示例代码
  1. 自定义认证逻辑
@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public UserDetailsService userDetailsService() {
        // 自定义用户存储(数据库/LDAP等)
        return username -> {
            if ("admin".equals(username)) {
                return User.withUsername("admin")
                    .password("{bcrypt}$2a$10$...")
                    .roles("ADMIN")
                    .build();
            }
            throw new UsernameNotFoundException("用户不存在");
        };
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(auth -> auth
                .anyRequest().authenticated()
            )
            .formLogin(form -> form
                .loginPage("/login")
                .permitAll()
            );
        return http.build();
    }
}
  1. 方法级权限控制
@RestController
public class AdminController {

    @GetMapping("/admin/data")
    @PreAuthorize("hasAuthority('READ_PRIVILEGE')") 
    public ResponseEntity<String> getAdminData() {
        return ResponseEntity.ok("敏感数据");
    }
}
  1. 自定义认证提供器
@Component
public class CustomAuthProvider implements AuthenticationProvider {

    @Override
    public Authentication authenticate(Authentication auth) {
        String name = auth.getName();
        String password = auth.getCredentials().toString();
        if (customValidation(name, password)) {
            return new UsernamePasswordAuthenticationToken(name, password, 
                List.of(new SimpleGrantedAuthority("ROLE_USER")));
        }
        throw new BadCredentialsException("认证失败");
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}
六、安全防护机制

  1. CSRF 防御

    • 默认启用,通过 CsrfFilter 验证 X-CSRF-TOKEN
    • 禁用方法:http.csrf().disable()

  2. XSS 防御

    • 通过内容安全策略(CSP)响应头实现:
    http.headers(headers -> headers
    .contentSecurityPolicy(csp -> csp.policyDirectives("default-src 'self'"))
);

提示:Spring Security 6 开始默认启用更严格的安全策略,如要求 CSRF Token 匹配。

思维导图

在这里插入图片描述

spring security(一):springsecurity 功能
lyzchengxuyuan的博客
05-14 828
Spring Security 是一个非常流行和强大的框架,它提供了许多内置的安全功能,例如认证、授权、密码管理和会话。
Spring Security的作用
u010089926的博客
03-12 1084
Spring Security 提供了一系列并发支持类,用于在多线程环境中传递和管理。
SpringSecurity的作用
m0_56277423的博客
05-30 1872
/ 返回自定义的登录页面视图名称并创建一个名为login.html的视图文件,作为自定义登录页面。
Spring Security介绍与使用
lkking的博客
10-15 231
Spring Security概述 Spring Security介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。(https://projects.spring.io/spring-security/) Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是
Spring-Security的使用以及其作用
zcjbiubiubiu的博客
03-15 2130
Spring-Security Spring中提供安全认证服务的框架 认证:验证用户密码是否正确的过程 授权:对用户能访问的资源进行控制 步骤: 1.导Pom.xml包 <!--spring-Security 架包--> <dependency> <groupId>org.springframework.security</groupId> ...
SpringBoot集成Spring security 2024.10(Spring Security 6.3.3)
10-22
SpringBoot集成Spring security是当前许多Java Web开发人员关注的热点,因为安全是互联网应用不可或缺的一部分。Spring Security 为基于Spring的应用提供了一个全面的安全解决方案。它不仅提供了认证...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Security】基本功能介绍
m0_45406092的博客
03-24 5902
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired VerifyCodeFilter verifyCodeFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(verifyCode
Spring Security的使用
09-30 2305
1.Spring Security简要介绍 Spring Security以前叫做acegi,是后来才成为Spring的一个子项目,也是目前最为流行的一个安全权限管理框架,它与Spring紧密结合在一起。 Spring Security关注的重点是在企业应用安全层为您提供服务,你将发现业务问题领域存在着各式各样的需求。银行系统跟电子商务应用就有很大的不同。电子商务系统与企业销售自动化工具又有很
什么是Spring Security?具有哪些功能?
qq_56999608的博客
04-16 1119
本篇将带你快速了解什么是Spring Security,通过入门案例以及相关原理和类的分析让你快速入门。一、概述官网:https://spring.io/projects/spring-securitySpring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。身份认证是验证谁正在访问系统资源,判断用户是否为合法用...
spring security简介与使用
fcclzydouble的博客
04-08 2315
spring security spring security使用目的:验证,授权,攻击防护。 原理:创建大量的filter和interceptor来进行请求的验证和拦截,以此来达到安全的效果。 新建一个springboot项目 创建一个springboot项目,添加一个/helloController @RestController public class HelloController { @RequestMapping("/hello") public String h
Spring Security 是如何起作用的
Mynah886的博客
09-19 884
我们知道, Spring Security配置成功后, 可以拦截制定的http请求来进行检证和授权. 拦截http请求, 通常都是Filter做的事情, 那Spring Security的Filter是哪个类, 又是怎么生效的呢? @EnableWebSecurity简析 @EnableWebSecurity是开启Spring Security的注解. 主要代码有: @Import({ W...
springsecurity的相关介绍以及简单的原理分析和简单使用
m0_51491702的博客
04-25 925
security的认证流程和登录流程的介绍。以及整个security的执行原理讲解
Spring Security概念与应用
weixin_45119534的博客
07-09 412
Spring Security-认证和授权
Java:76-SpringSecurity介绍
qq_59609098的博客
08-21 646
当然如果你没有学习spring boot,没有关系,可以到88章博客里面去学习,就知道为什么这样的操作了 接下来我们运行启动类,访问http://localhost:8080/hello,即可得到返回的数据 接下来整合SpringSecurity: 添加SpringSecurity依赖 重启Spring Boot启动类,再次访问http://localhost:8080/hello: 出现如下: 默认有访问/login,该/login会优先于写的controller的/login,即自己写的/login
JavaSpring Security 是什么?如何使用
IT徐师兄
05-19 2687
Spring Security是一款基于Spring框架的安全框架,它提供了一系列的功能和API,用于保护Web应用程序和REST API的安全性。Spring Security可以提供身份验证、授权、加密和防止攻击等功能。它是Spring框架的一部分,可以与Spring框架无缝集成,也可以与其他框架集成,如Spring Boot、Spring MVC等。身份验证:Spring Security提供了多种身份验证机制,如基于表单的身份验证、HTTP基本身份验证、LDAP身份验证等。
SPringsecurity
最新发布
09-21
Spring SecuritySpring 生态系统中的核心组件,也是一个功能强大且高度可定制的身份验证和访问控制框架,是保护基于 Spring 的应用程序的事实上的标准,致力于为 Java 应用程序提供身份验证和授权,通过提供认证(Authentication)与授权(Authorization)和针对常见攻击等一系列安全功能,为开发者构建安全稳定的应用提供强有力的支持,且可轻松扩展以满足自定义需求 [^1][^2]。 ### 使用指南 Spring Security 会对 `/login` 的 POST 请求做拦截,校验表单中用户名和密码,这一功能由 `UsernamePasswordAuthenticationFilter` 实现 [^3]。在实际使用时,通常要创建一个配置类来定制 Spring Security 的行为。以下是一个简单示例: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); return http.build(); } } ``` 上述代码配置了所有请求都需要认证,支持表单登录和 HTTP 基本认证。 ### 配置方法 Spring Security 的配置主要通过 Java 配置类和注解来完成。 - **Java 配置类**:继承 `WebSecurityConfigurerAdapter`(Spring Boot 2.7.x 之前)或者使用 `SecurityFilterChain` Bean(Spring Boot 2.7.x 及之后)来配置安全策略。 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration public class CustomSecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); return http.build(); } } ``` 以上代码配置了 `/public` 路径下的请求无需认证,其他请求需要认证,自定义了登录页面,并允许注销操作。 - **注解**:使用 `@EnableWebSecurity` 启用 Spring Security 的 Web 安全支持。 ### 最佳实践 - **使用 HTTPS**:在生产环境中,使用 HTTPS 来加密数据传输,防止数据被窃取和篡改。 - **密码加密**:在存储用户密码时,使用安全的加密算法,如 BCrypt。 ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; public class PasswordEncoderExample { public static void main(String[] args) { PasswordEncoder encoder = new BCryptPasswordEncoder(); String encodedPassword = encoder.encode("password123"); System.out.println(encodedPassword); } } ``` - **细粒度的访问控制**:根据用户角色和权限,对不同的资源和 URL 进行细粒度的访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值