Spring Security 6 【13-核心组件和认证流程】

Spring Security 6核心组件与认证流程解析
最新推荐文章于 2025-07-07 17:40:06 发布
原创 最新推荐文章于 2025-07-07 17:40:06 发布 · 681 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #security

Spring Security 6 核心组件详解

一、核心架构组件

  1. SecurityFilterChain

    • 请求处理的入口点,包含有序的过滤器链
    • 每个请求根据匹配规则进入对应的过滤器链
    @Bean
SecurityFilterChain defaultFilterChain(HttpSecurity http) throws Exception {
    http.authorizeHttpRequests(auth -> auth
            .requestMatchers("/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated()
        );
    return http.build();
}

  2. AuthenticationManager

    • 认证系统的核心协调器
    • 委托给AuthenticationProvider执行具体认证
    @Bean
public AuthenticationManager authenticationManager(
        AuthenticationConfiguration config) throws Exception {
    return config.getAuthenticationManager();
}

  3. AuthenticationProvider

    • 具体认证逻辑执行者(如数据库、LDAP等)
    @Bean
public DaoAuthenticationProvider daoAuthenticationProvider(
        PasswordEncoder encoder, UserDetailsService userDetailsService) {
    DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
    provider.setPasswordEncoder(encoder);
    provider.setUserDetailsService(userDetailsService);
    return provider;
}

  4. UserDetailsService

    • 加载用户数据的核心接口
    @Bean
public UserDetailsService userDetailsService() {
    return username -> {
        User user = userRepository.findByUsername(username);
        return new org.springframework.security.core.userdetails.User(
                user.getUsername(),
                user.getPassword(),
                user.getAuthorities()
        );
    };
}

  5. PasswordEncoder

    • 密码编码/验证策略
    @Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

  6. SecurityContextHolder

    • 存储当前安全上下文(线程绑定)
    Authentication authentication = SecurityContextHolder
      .getContext().getAuthentication();
二、认证流程(用户名密码为例)
ClientFilterChainAuthFilterAuthManagerAuthProviderUserDetailsServiceSecurityContextHolder提交登录请求转发到认证过滤器创建AuthenticationToken委托认证加载用户数据返回UserDetails密码比对返回认证结果返回Authentication存储认证信息返回认证成功响应ClientFilterChainAuthFilterAuthManagerAuthProviderUserDetailsServiceSecurityContextHolder
三、详细认证步骤

  1. 请求拦截

    • UsernamePasswordAuthenticationFilter 拦截登录请求(默认/login

  2. Token创建

    UsernamePasswordAuthenticationToken authRequest = 
    new UsernamePasswordAuthenticationToken(username, password);

  3. 认证委托

    Authentication authenticated = authenticationManager.authenticate(authRequest);

  4. 用户加载

    // 在DaoAuthenticationProvider中
UserDetails user = userDetailsService.loadUserByUsername(username);

  5. 密码验证

    passwordEncoder.matches(rawPassword, storedPassword);

  6. 构建认证对象

    return new UsernamePasswordAuthenticationToken(
    user, 
    credentials, 
    user.getAuthorities()
);

  7. 上下文存储

    SecurityContextHolder.getContext().setAuthentication(authenticated);

  8. 会话管理

    • 通过SecurityContextRepository将上下文存入Session
四、高级认证机制

  1. OAuth2 认证流程

    授权请求
    授权码
    授权码+密钥
    验证令牌
    返回资源
    客户端
    授权服务器
    资源服务器

  2. JWT 认证流程

    @Bean
public SecurityFilterChain jwtFilterChain(HttpSecurity http) throws Exception {
    http
        .csrf(csrf -> csrf.disable())
        .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
        .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
    return http.build();
}
五、核心配置项
配置类作用示例配置方法
HttpSecurityHTTP请求安全配置.authorizeHttpRequests()
WebSecurity全局Web安全配置.ignoring().requestMatchers()
AuthenticationManager认证管理器配置.authenticationProvider()
SessionManagement会话管理策略.sessionCreationPolicy()
RememberMeConfigurer记住我功能配置.rememberMe().key()
六、认证事件体系
@Component
public class AuthenticationEventListener {
    @EventListener
    public void onSuccess(AuthenticationSuccessEvent event) {
        // 认证成功处理
    }
    
    @EventListener
    public void onFailure(AbstractAuthenticationFailureEvent event) {
        // 认证失败处理
    }
}
七、最佳实践

  1. 多认证源配置

    @Bean
public AuthenticationManager authManager(HttpSecurity http) throws Exception {
    return http.getSharedObject(AuthenticationManagerBuilder.class)
        .authenticationProvider(daoProvider())
        .authenticationProvider(ldapProvider())
        .build();
}

  2. 自定义认证过滤器

    public class CustomAuthFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, 
                                    HttpServletResponse response, 
                                    FilterChain chain) {
        // 自定义认证逻辑
        chain.doFilter(request, response);
    }
}

  3. 方法级安全控制

    @PreAuthorize("hasRole('ADMIN') or @customChecker.check(authentication)")
public void sensitiveOperation() {
    // 受保护操作
}
八、调试技巧

  1. 启用调试日志:

    logging.level.org.springframework.security=DEBUG

  2. 关键断点位置:

    • FilterChainProxy:过滤器链入口
    • ProviderManager:认证提供者路由
    • AbstractUserDetailsAuthenticationProvider:密码验证核心逻辑

Spring Security 6 的核心改进:

  • 全面转向函数式配置
  • 移除WebSecurityConfigurerAdapter
  • 增强OAuth2和资源服务器支持
  • 优化安全上下文存储策略
SpringSecurity】详细核心类与过滤器流程讲解封装通用组件实战
xiaoxualg的博客
03-20 1488
Spring Security 是一个功能强大且高度可定制的认证访问控制框架,是保护基于 Spring 的应用程序的标准工具。它是一个专注于为 Java 应用程序提供认证授权的框架,实际上它是 Spring 生态系统中负责安全方面的重要成员。认证回答了"你是谁?"的问题,是确认用户身份的过程。核心工作流程:授权回答了"你能做什么?"的问题,是确定用户是否有权执行特定操作的过程。核心工作流程:表示当前通过认证的用户,通常包含用户标识(如用户名)授予的权限。表示授予用户的特定权限,通常分为:Spring
20个SpringSecurity框架核心组件详解
威哥爱编程,优快云 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
03-22 1379
其运行过程是在用户发送请求时被调用,根据请求的路径匹配相应的 SecurityFilterChain,并按照配置的安全过滤器链对请求进行处理。SecurityContextHolder 是 Spring Security 中非常重要的组件之一,它为安全框架的运行提供了关键的支持。通过配置不同的过滤器链,开发人员可以实现灵活的安全策略,包括身份验证、授权、会话管理等功能。通常情况下,开发人员需要实现自己的 UserDetails 类,从数据源中加载用户信息,并提供相应的方法来获取用户的身份信息权限信息。
6.Spring Security-认证实现过程
oPeiJie1的博客
02-12 391
Spring Security 认证实现过程
Spring Security 6 密码验证流程
weixin_52019286的博客
01-25 947
数据库中保存的不是明文,而是加密编码之后的hash 值,用户输入的密码,进行相同的处理,最终比较的是hash 值是否一致。
SpringSecurity6.0+Redis+JWT - 实现用户注册/登录/认证流程
Y_xianlin的博客
09-12 2328
本项目Security6登录设计参考优快云博客SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)_springsecurity redis管理token-优快云博客因为SpringBoot3与Security6更新后, 部分方法被标为弃用,经过更改后, 已全部更改为最新用法代码辅助: ChatGPT-4o/智谱清言GLM-4使用数据库: Mysql/Redis。
spring security认证过程详解
欢迎来到【战羽】的博客
11-15 1434
spring security 主要有两大功能,即认证授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
SpringSecurity6登录及其权限验证(一)自定义登录认证
m0_74220375的博客
04-15 1969
​​Spring Security 6 模块化登录认证实现​​ 基于SpringBoot 3.4.3+SpringSecurity 6.4.3,采用模块化设计实现邮箱/手机号+密码认证。核心实现: ​​主配置​​:禁用CSRF/会话,集成模块 ​​认证流程​​: 自定义过滤器处理/login请求,验证格式并构建认证令牌 认证提供者校验用户密码,返回完整认证令牌 通过处理器返回标准化响应 ​​优势​​: 独立CORS配置 解耦认证逻辑,便于扩展多方式登录 方案通过分层设计提升维护性,适用于无状态API
SpringSecurity-数据库认证-简单授权
06-03
首先,我们需要理解SpringSecurity核心组件。`Authentication`代表认证,它包含了用户的标识信息,如用户名密码。`Authorization`则是授权,决定了用户可以访问哪些资源。SpringSecurity通过一系列的安全过滤器...
详解springsecurity组件
工匠精神coding,终生学习
05-26 756
详解springsecurity架构、认证流程、安全以及代码组件
springsecurity面试题总结--核心功能、认证功能、内部执行原理(核心过滤器)、內部实现过程、控制请求访问权限的方法、密码加密、JWT认证认证授权区别、SpringSecurity 的架构
最新发布
yang_xiao_wu_的博客
07-07 1223
Spring Security是一个基于Spring框架的安全框架,提供了完整的安全解决方案,包括认证、授权、攻击防护等功能。其核心功能包括:认证:提供了多种认证方式,如表单认证、HTTP Basic认证、OAuth2认证等,可以与多种身份验证机制集成。授权:提供了多种授权方式,如角色授权、基于表达式的授权等,可以对应用程序中的不同资源进行授权。攻击防护:提供了多种防护机制,如跨站点请求伪造(CSRF)防护、注入攻击防护等。会话管理:提供了会话管理机制,如令牌管理、并发控制等。
大白话详解Spring Security认证流程
LoveSummer
11-04 3193
Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。
SpringBoot3整合SpringSecurity6()基于数据库的用户认证
再小的帆也能远航,把分享变成一种习惯
05-06 1043
上一篇文章中,我们了解了怎么基于内存进行用户认证。但这还远远不够,在实际开发中。用户往往都存在于数据库,所以从这篇文章开始,我们就要开始学习基于数据库的用户认证
Security实战之认证流程
little_sc的博客
02-27 642
基于SpringSecurity 6版本,介绍认证流程、实战演示
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2906
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
Spring Security 6.0(spring boot 3.0)认证配置流程
热门推荐
hjg719的博客
12-13 2万+
Spring Security 6.0(spring boot 3.0)认证配置流程
SpringSecurity认证流程详解代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
spring security6通过token认证鉴权
datalover的专栏
02-05 996
通过上述步骤,你可以成功地在Spring Security 6中实现基于JWT的认证机制。添加依赖:引入必要的依赖。配置SecurityFilterChain:禁用CSRF保护并设置为无状态会话。实现JWT工具类:用于生成解析JWT令牌。实现JWT认证过滤器:处理JWT验证逻辑。实现用户认证服务:加载用户信息。创建控制器:提供生成JWT令牌的接口。这样,你的应用程序就可以使用JWT进行安全认证授权了。
SpringSecurity最新版从入门到精通,WebSecurityConfigurerAdapter已经过时?最新版来了。
qq_42713539的博客
03-25 3998
spring security的超详细配置使用攻略,包括从登录校验开始到不同页面、不同功能的权限管理,包括了整合thymeleaf框架、用户登录信息持久化处理、csrf防护等web安全。
spring security6.0版本入门解析
Mr.xu的博客
03-06 5535
spring security6.0.0的入门详解,不看可惜了......
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值