Spring Security 6 【13-核心组件和认证流程】

最新推荐文章于 2025-06-29 23:10:38 发布
最新推荐文章于 2025-06-29 23:10:38 发布
阅读量554 收藏 16
点赞数 17
CC 4.0 BY-SA版权
分类专栏: # Security 文章标签: spring java security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csdn_tom_168/article/details/148975473

Spring Security 6 核心组件详解

一、核心架构组件

  1. SecurityFilterChain

    • 请求处理的入口点,包含有序的过滤器链
    • 每个请求根据匹配规则进入对应的过滤器链
    @Bean
SecurityFilterChain defaultFilterChain(HttpSecurity http) throws Exception {
    http.authorizeHttpRequests(auth -> auth
            .requestMatchers("/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated()
        );
    return http.build();
}

  2. AuthenticationManager

    • 认证系统的核心协调器
    • 委托给AuthenticationProvider执行具体认证
    @Bean
public AuthenticationManager authenticationManager(
        AuthenticationConfiguration config) throws Exception {
    return config.getAuthenticationManager();
}

  3. AuthenticationProvider

    • 具体认证逻辑执行者(如数据库、LDAP等)
    @Bean
public DaoAuthenticationProvider daoAuthenticationProvider(
        PasswordEncoder encoder, UserDetailsService userDetailsService) {
    DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
    provider.setPasswordEncoder(encoder);
    provider.setUserDetailsService(userDetailsService);
    return provider;
}

  4. UserDetailsService

    • 加载用户数据的核心接口
    @Bean
public UserDetailsService userDetailsService() {
    return username -> {
        User user = userRepository.findByUsername(username);
        return new org.springframework.security.core.userdetails.User(
                user.getUsername(),
                user.getPassword(),
                user.getAuthorities()
        );
    };
}

  5. PasswordEncoder

    • 密码编码/验证策略
    @Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

  6. SecurityContextHolder

    • 存储当前安全上下文(线程绑定)
    Authentication authentication = SecurityContextHolder
      .getContext().getAuthentication();
二、认证流程(用户名密码为例)
Client FilterChain AuthFilter AuthManager AuthProvider UserDetailsService SecurityContextHolder 提交登录请求 转发到认证过滤器 创建AuthenticationToken 委托认证 加载用户数据 返回UserDetails 密码比对 返回认证结果 返回Authentication 存储认证信息 返回认证成功响应 Client FilterChain AuthFilter AuthManager AuthProvider UserDetailsService SecurityContextHolder
三、详细认证步骤

  1. 请求拦截

    • UsernamePasswordAuthenticationFilter 拦截登录请求(默认/login

  2. Token创建

    UsernamePasswordAuthenticationToken authRequest = 
    new UsernamePasswordAuthenticationToken(username, password);

  3. 认证委托

    Authentication authenticated = authenticationManager.authenticate(authRequest);

  4. 用户加载

    // 在DaoAuthenticationProvider中
UserDetails user = userDetailsService.loadUserByUsername(username);

  5. 密码验证

    passwordEncoder.matches(rawPassword, storedPassword);

  6. 构建认证对象

    return new UsernamePasswordAuthenticationToken(
    user, 
    credentials, 
    user.getAuthorities()
);

  7. 上下文存储

    SecurityContextHolder.getContext().setAuthentication(authenticated);

  8. 会话管理

    • 通过SecurityContextRepository将上下文存入Session
四、高级认证机制

  1. OAuth2 认证流程

    授权请求
    授权码
    授权码+密钥
    验证令牌
    返回资源
    客户端
    授权服务器
    资源服务器

  2. JWT 认证流程

    @Bean
public SecurityFilterChain jwtFilterChain(HttpSecurity http) throws Exception {
    http
        .csrf(csrf -> csrf.disable())
        .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
        .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
    return http.build();
}
五、核心配置项
配置类作用示例配置方法
HttpSecurityHTTP请求安全配置.authorizeHttpRequests()
WebSecurity全局Web安全配置.ignoring().requestMatchers()
AuthenticationManager认证管理器配置.authenticationProvider()
SessionManagement会话管理策略.sessionCreationPolicy()
RememberMeConfigurer记住我功能配置.rememberMe().key()
六、认证事件体系
@Component
public class AuthenticationEventListener {
    @EventListener
    public void onSuccess(AuthenticationSuccessEvent event) {
        // 认证成功处理
    }
    
    @EventListener
    public void onFailure(AbstractAuthenticationFailureEvent event) {
        // 认证失败处理
    }
}
七、最佳实践

  1. 多认证源配置

    @Bean
public AuthenticationManager authManager(HttpSecurity http) throws Exception {
    return http.getSharedObject(AuthenticationManagerBuilder.class)
        .authenticationProvider(daoProvider())
        .authenticationProvider(ldapProvider())
        .build();
}

  2. 自定义认证过滤器

    public class CustomAuthFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, 
                                    HttpServletResponse response, 
                                    FilterChain chain) {
        // 自定义认证逻辑
        chain.doFilter(request, response);
    }
}

  3. 方法级安全控制

    @PreAuthorize("hasRole('ADMIN') or @customChecker.check(authentication)")
public void sensitiveOperation() {
    // 受保护操作
}
八、调试技巧

  1. 启用调试日志:

    logging.level.org.springframework.security=DEBUG

  2. 关键断点位置:

    • FilterChainProxy:过滤器链入口
    • ProviderManager:认证提供者路由
    • AbstractUserDetailsAuthenticationProvider:密码验证核心逻辑

Spring Security 6 的核心改进:

  • 全面转向函数式配置
  • 移除WebSecurityConfigurerAdapter
  • 增强OAuth2和资源服务器支持
  • 优化安全上下文存储策略
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 6654
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码存储中的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
SpringSecurity5(13-核心组件认证流程
weixin_30713705的博客
05-30 12
1.1-快速入门)2.2-自定义用户信息)3.3-密码解析器)4.4-自定义登录、登出处理器)5.5-自定义短信、手机验证码)6.6-记住我)7.7-会话管理)8.8-权限注解)9.9-JWT整合)10.10-动态权限管理)11.11-跨域配置)12.12-Csrf防护)13.13-核心组件认证流程)14.14-Gateway整合)收起。
Spring Security认证核心组件
小李同学的博客
03-14 1189
Spring Security 的安全框架中,认证(Authentication) 是保障系统安全的第一道防线。而 UsernamePasswordAuthenticationToken 是最常用的认证令牌(Authentication Token)之一,用于处理基于用户名密码的认证流程
认证鉴权框架SpringSecurity-2--重点组件过滤器链篇
weisian的博客
11-14 1268
这4个接口中,每一个都是当认证或者授权过程中发生结果后触发,可以是失败的场景也可以是成功后触发。1个成功后执行,3个为失败后促发执行。
Spring Security 核心组件
疯一样的码农
11-18 1592
Spring Security 是一个功能全面的安全框架,用于处理基于 Spring 应用程序的身份验证授权。它提供了开箱即用的支持,采用行业标准的做法机制来保护你的应用。无论你是开发简单的 Web 应用还是复杂的微服务架构,理解 Spring Security核心组件对于实施健壮的安全措施至关重要。本文将通过示例引导你了解 Spring Security核心组件
SpringSecurity(11)——核心组件认证流程
peng_gx的博客
01-20 1316
SpringSecurity核心组件认证流程
spring-security--基础--02--核心组件
zhou920786312的博客
10-26 244
参考手册 https://www.springcloud.cc/spring-security-zhcn.html 二、核心组件 2.1、 SecurityContextHolder 最基本的对象 它负责存储当前安全上下文信息。 保存着当前用户是什么,是否已经通过认证,拥有哪些权限. 默认使用ThreadLocal策略来存储认证信息,这是一种与线程绑定的策略。 在Web场景下的使用Spring Security,在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息。
20个SpringSecurity框架核心组件详解
威哥爱编程,优快云 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
03-22 1250
其运行过程是在用户发送请求时被调用,根据请求的路径匹配相应的 SecurityFilterChain,并按照配置的安全过滤器链对请求进行处理。SecurityContextHolder 是 Spring Security 中非常重要的组件之一,它为安全框架的运行提供了关键的支持。通过配置不同的过滤器链,开发人员可以实现灵活的安全策略,包括身份验证、授权、会话管理等功能。通常情况下,开发人员需要实现自己的 UserDetails 类,从数据源中加载用户信息,并提供相应的方法来获取用户的身份信息权限信息。
SpringSecurity】详细核心类与过滤器流程讲解封装通用组件实战
xiaoxualg的博客
03-20 1377
Spring Security 是一个功能强大且高度可定制的认证访问控制框架,是保护基于 Spring 的应用程序的标准工具。它是一个专注于为 Java 应用程序提供认证授权的框架,实际上它是 Spring 生态系统中负责安全方面的重要成员。认证回答了"你是谁?"的问题,是确认用户身份的过程。核心工作流程:授权回答了"你能做什么?"的问题,是确定用户是否有权执行特定操作的过程。核心工作流程:表示当前通过认证的用户,通常包含用户标识(如用户名)授予的权限。表示授予用户的特定权限,通常分为:Spring
SpringSecurity-数据库认证-简单授权
06-03
首先,我们需要理解SpringSecurity核心组件。`Authentication`代表认证,它包含了用户的标识信息,如用户名密码。`Authorization`则是授权,决定了用户可以访问哪些资源。SpringSecurity通过一系列的安全过滤器...
Spring-Security-Demo-master.zip
12-26
在IT领域,Spring SecuritySpring Boot是两个极为重要的组件,它们为开发者提供了强大的安全管理应用程序构建能力。本篇将详细讲解如何将Spring Security集成到Spring Boot项目中,以及涉及到的相关知识点。 一...
spring-security-oauth2
03-17
它还能与其他Spring生态系统组件(如Spring Cloud SecuritySpring Boot)无缝集成,简化开发流程。 总结,Spring Security OAuth2是Spring Security框架的重要组成部分,它提供了一套完整的OAuth2授权解决方案。...
spring-ai 1.0.0 学习(十八)——MCP Server
hzp的专栏
06-27 312
本文介绍了如何将Spring服务发布为外部工具供调用。主要步骤包括:1)引入spring-ai相关依赖;2)配置application文件定义服务器信息;3)用@Tool注解标记服务方法,并通过ToolCallbackProvider注册。文章还简要说明了HTTP模式下的内部原理:通过McpServerProperties配置创建服务器组件,McpSyncServer处理各类请求,WebMvcSseServerTransportProvider管理会话。
SpringCloud系列(41)--SpringCloud Config分布式配置中心简介
最新发布
m0_64284147的博客
06-29 134
SpringCloud Config为微服务架构中的微服务提供集中化的外部配置支持,配置服务器为各个不同微服务应用的所有环境提供了一个中心化的外部配置。
java+vue+SpringBoo医院门诊预约(程序+数据库+报告+部署教程+答辩指导)
taobysj的博客
06-25 565
本文介绍了一个基于Java+SpringBoot+Vue+MySQL开发的医院门诊管理系统。系统采用B/S架构,分为管理员患者两大角色,包含数据中心、科室医生、预约挂号、医院时政四大模块。管理员负责科室医生管理、号源分配、信息发布等后台功能;患者可在线查询科室医生、预约挂号、查看医院新闻。系统采用多表结构设计,通过E-R图展示了登录账号、科室管理、医生档案、放号管理、预约挂号等核心数据模型。系统实现了预约挂号全流程管理,包括号源分配、预约取消、费用支付等功能,并支持取消号源的复用机制,提高了医疗资源利用率
Spring 容器核心扩展实战:Spring Boot中三大扩展问题解析
张小洛的BOLG
06-25 592
本文深入解析Spring容器核心扩展点invokeBeanFactoryPostProcessors的三大高级应用场景。
java+vue+SpringBoo老年医疗保健网(程序+数据库+报告+部署教程+答辩指导)
taobysj的博客
06-27 560
本文介绍了一个基于JavaVue开发的老年健康管理系统,采用SpringBoot框架MySQL数据库。系统包含管理员、医生用户三个主要角色:管理员负责用户管理、教育资源管理健康档案维护;医生可进行在线问诊、预约管理照护指导;用户能查看教育资源、常见问题并参与社区互动。文中展示了系统功能结构图主要实体属性图,并提供了各角色界面的操作截图,包括用户管理、教育资源浏览、在线问诊等功能模块。系统采用IDEA开发工具Navicat数据库管理工具,确保前后端数据一致性。各功能模块均实现增删改查操作,并实时
Spring-IOC入门
weixin_38383877的博客
06-29 603
Spring框架是Java开发的行业标准。
springboot3集成minio
bthdnj的博客
06-25 768
基于若依springboot3版本实现minio文件管理,实现桶的增删改查文件的增删改查。同时在上传图片的时候支持对图片压缩转换为webp格式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值