spring security6 的一些常见扩展点和关键类和方法

Spring Security 6 是一个功能强大且灵活的安全框架，用于保护基于 Spring 的应用程序。它提供了多种扩展点和关键类与方法，使得开发者可以根据需求定制安全机制。以下是 Spring Security 6 中一些常见的扩展点、关键类及方法：

常见扩展点

1. 认证（Authentication）

   • 自定义 UserDetailsService 或 UserDetailsManager 来加载用户信息。
   • 实现 AuthenticationProvider 来定义自定义的认证逻辑。

2. 授权（Authorization）

   • 实现 AccessDecisionManager 来控制访问决策。
   • 使用 PermissionEvaluator 来实现细粒度的权限评估。

3. 过滤器链（Filter Chain）

   • 配置 SecurityFilterChain 来定制整个安全过滤器链。
   • 实现自定义的 OncePerRequestFilter 来处理特定的安全逻辑。

4. 事件监听（Event Listener）

   • 实现 ApplicationListener<AbstractAuthenticationEvent> 来监听认证事件。
   • 实现 ApplicationListener<AuthorizationEvent> 来监听授权事件。

5. 密码编码（Password Encoding）

   • 实现 PasswordEncoder 来定义自定义的密码编码策略。

关键类和方法

1. 核心配置类

• SecurityFilterChain

  @Bean
  public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
      http
          .authorizeRequests(authorize -> authorize
              .antMatchers("/public/**").permitAll()
              .anyRequest().authenticated()
          )
          .formLogin(withDefaults());
      return http.build();
  }
  

  • 定义了如何配置 HTTP 安全性，包括认证、授权、登录等。

• WebSecurityConfigurerAdapter (已废弃)

  • 在 Spring Security 5.7 及以后版本中被弃用，推荐直接使用 SecurityFilterChain 进行配置。

2. 认证相关

• UserDetailsService

  @Service
  public class CustomUserDetailsService implements UserDetailsService {
      @Override
      public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
          // 自定义用户加载逻辑
          return new User("user", "password", AuthorityUtils.createAuthorityList("ROLE_USER"));
      }
  }
  

• AuthenticationProvider

  @Component
  public class CustomAuthenticationProvider implements AuthenticationProvider {
      @Override
      public Authentication authenticate(Authentication authentication) throws AuthenticationException {
          String username = authentication.getName();
          String password = authentication.getCredentials().toString();
          // 自定义认证逻辑
          return new UsernamePasswordAuthenticationToken(username, password, AuthorityUtils.createAuthorityList("ROLE_USER"));
      }
  
      @Override
      public boolean supports(Class<?> authentication) {
          return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
      }
  }
  

3. 授权相关

• AccessDecisionManager

  @Component
  public class CustomAccessDecisionManager implements AccessDecisionManager {
      @Override
      public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
          // 自定义访问决策逻辑
      }
  
      @Override
      public boolean supports(ConfigAttribute attribute) {
          return true;
      }
  
      @Override
      public boolean supports(Class<?> clazz) {
          return true;
      }
  }
  

• PermissionEvaluator

  @Component
  public class CustomPermissionEvaluator implements PermissionEvaluator {
      @Override
      public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
          // 细粒度权限评估逻辑
          return false;
      }
  
      @Override
      public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
          // 细粒度权限评估逻辑
          return false;
      }
  }
  

4. 密码编码

• PasswordEncoder

  @Bean
  public PasswordEncoder passwordEncoder() {
      return new BCryptPasswordEncoder();
  }
  

5. 事件监听

• ApplicationListener<AbstractAuthenticationEvent>

  @Component
  public class AuthenticationEventListener implements ApplicationListener<AbstractAuthenticationEvent> {
      @Override
      public void onApplicationEvent(AbstractAuthenticationEvent event) {
          // 处理认证事件
      }
  }
  

这些类和方法为 Spring Security 提供了丰富的扩展能力，使得开发者可以根据具体需求进行高度定制化的安全配置。通过理解这些扩展点和关键类，可以更有效地设计和实现安全机制。