最新Spring Security实战教程(三)Spring Security 的底层原理解析

已于 2025-03-17 02:34:33 修改
阅读量3.5k 收藏 58
点赞数 46
分类专栏: Spring Security 文章标签: spring java 后端 Spring Security 安全框架
于 2025-03-10 15:17:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lhmyy521125/article/details/146057398
版权

在这里插入图片描述

🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志
🎐 个人CSND主页——Micro麦可乐的博客
🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程,入门到实战
🌺《RabbitMQ》专栏主要介绍使用JAVA开发RabbitMQ的系列教程,从基础知识到项目实战
🌸《设计模式》专栏以实际的生活场景为案例进行讲解,让大家对设计模式有一个更清晰的理解
💕《Jenkins实战》专栏主要介绍Jenkins+Docker的实战教程,让你快速掌握项目CI/CD,是2024年最新的实战教程
🌞《Spring Boot》专栏主要介绍我们日常工作项目中经常应用到的功能以及技巧,代码样例完整
♥️《Spring Security》专栏中我们将逐步深入Spring Security的各个技术细节,带你从入门到精通,全面掌握这一安全技术
如果文章能够给大家带来一定的帮助!欢迎关注、评论互动~

最新Spring Security实战教程(三)Spring Security 的底层原理解析

回顾链接:
最新Spring Security实战教程(一)初识Spring Security安全框架
最新Spring Security实战教程(二)表单登录定制到处理逻辑的深度改造

1. 前言

相信通过前面两个章节的讲解,大家已经对 Spring Security 有了一个初步认识,今天这个章节我们主要聊一聊 Spring Security 的底层原理。为什么我们只要简单的一个配置就可以实现我们想要的功能?实际上 Spring SecurityServlet 支持就是基于 Servlet 过滤器 Filter

官方文档参考:https://docs.spring.io/spring-security/reference/servlet/architecture.html

回顾过滤器 Filter

以下引入官方文档的示例图来回顾一下,单个 HTTP 请求的处理程序的典型分层,
在这里插入图片描述
开发者就可以针对每一个Filter过滤器中对请求进行修改或增强

委托过滤代理 DelegatingFilterProxy

Spring 提供了一个Filter名为 DelegatingFilterProxy 的实现,它可以在 Servlet容器Spring容器 之间建立桥梁。
在这里插入图片描述
为什么需要一个桥梁? 因为 Servlet 容器并不知道 Spring 容器中定义的 Bean,那么就需要一个代理,帮助我们将 Servlet 容器中的 Filter 实例委托给 Spring 容器管理,观察下面的代码原理

//原始Servlet Filter
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    chain.doFilter(request, response); 
}

//模拟DelegatingFilterProxy伪代码 
// 1、获取已注册为 Spring Bean 的 Filter
// 2、将工作委托给 Spring Bean
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
	Filter delegate = getFilterBean(someBeanName);
	delegate.doFilter(request, response);
}

过滤链代理 FilterChainProxy

Spring Security 的Servlet支持包含在 FilterChainProxy 中。 FilterChainProxySpring Security 提供的一个特殊的Filter,它允许通过Filter委托给许多SecurityFilterChain 实例
在这里插入图片描述

安全过滤链 SecurityFilterChain

SecurityFilterChainFilterChainProxy 用来确定应该为当前请求调用哪些 Spring Security Filter实例列表

在这里插入图片描述
下图显示了多个 SecurityFilterChain 实例:

在这里插入图片描述
在上图中,由 FilterChainProxy 决定应该使用哪个 SecurityFilterChain仅调用第一个匹配的SecurityFilterChain

  • 如果请求的URL为/api/messages/,则它首先匹配SecurityFilterChain0的/api/**模式
  • 如果请求的URL为/messages/,则它与SecurityFilterChainn匹配
  • 依次查找匹配…

从上面图解中,我们可以总结 Spring Security 为开发者提供了一整套基于过滤器链(Filter Chain)的安全防护机制。从用户发起 HTTP 请求,到经过多个安全过滤器的逐层检查,直至最终认证与授权完成。

我们来看一下 Spring Security 默认 DefaultSecurityFilterChain 启动的时候,默认加载的 16 个过滤器
在这里插入图片描述

Spring Security 已经帮我们封装了大部分的过滤器,实际上我们主要关注以下两个方面即可:

  • 身份认证流程:如何通过表单登录(或其他方式)实现用户身份验证,及其内部如何利用 AuthenticationManagerProviderManager 和多个 AuthenticationProvider 协同工作。
  • 授权机制解析:如何通过安全拦截器(如 AbstractSecurityInterceptor)实现方法级别和 URL 级别的权限控制。

2. 核心架构

Spring Security 中,整个安全流程围绕着一个核心组件展开:FilterChainProxy。它负责拦截所有 HTTP 请求,并将其传递给预先配置好的多个安全过滤器。这些过滤器中,最关键的包括:

  • UsernamePasswordAuthenticationFilter:处理基于表单提交的登录请求。
  • BasicAuthenticationFilter:处理 HTTP Basic 认证请求。
  • FilterSecurityInterceptor:负责权限授权,调用 AccessDecisionManager 来判定当前用户是否有权访问目标资源。

下面是一个简单的架构示意图,帮助你直观了解整个流程:

在这里插入图片描述

图解说明
当请求到达 FilterChainProxy 时,根据请求类型,系统会交由不同的过滤器处理:

  • 认证流程:例如表单登录时,由 UsernamePasswordAuthenticationFilter 拦截,调用 AuthenticationManager 进行身份校验。
  • 授权流程FilterSecurityInterceptor 负责拦截已认证用户的请求,并通过 AccessDecisionManager 判断其权限是否足够。

3. 身份认证流程详解

❶ 请求拦截与过滤器链

所有 HTTP 请求首先进入 FilterChainProxy,该类遍历预先配置好的过滤器链。以表单登录为例,UsernamePasswordAuthenticationFilter 会在匹配到指定 URL 后触发认证逻辑。

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    // 构造时指定处理的 URL,如 "/perform_login"
    public UsernamePasswordAuthenticationFilter() {
        super(new AntPathRequestMatcher("/perform_login", "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {
        // 从请求中提取用户名和密码
        String username = obtainUsername(request);
        String password = obtainPassword(request);
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
        
        // 调用 AuthenticationManager 进行认证
        return this.getAuthenticationManager().authenticate(authRequest);
    }
}

说明
这里的 attemptAuthentication 方法负责解析用户提交的数据,然后构造一个 UsernamePasswordAuthenticationToken 对象,并交由 AuthenticationManager 处理。

❷ AuthenticationManager 与 ProviderManager

AuthenticationManager 是一个接口,其最常用的实现是 ProviderManagerProviderManager 持有一系列 AuthenticationProvider,用于逐个尝试认证。

public class ProviderManager implements AuthenticationManager {

    private List<AuthenticationProvider> providers;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        // 遍历所有 AuthenticationProvider
        for (AuthenticationProvider provider : providers) {
            if (provider.supports(authentication.getClass())) {
                Authentication result = provider.authenticate(authentication);
                if (result != null) {
                    // 认证成功后返回已认证的 Authentication 对象
                    return result;
                }
            }
        }
        throw new ProviderNotFoundException("无法找到对应的 AuthenticationProvider");
    }
}

说明
ProviderManager 会遍历所有注册的 AuthenticationProvider(例如 DaoAuthenticationProviderLdapAuthenticationProvider 等),直到某个 Provider 成功认证为止。如果没有 Provider 能够处理,认证将失败并抛出异常。

❸ 认证提供者(AuthenticationProvider)

一个典型的 AuthenticationProvider(如 DaoAuthenticationProvider)主要完成以下工作:

  • 通过 UserDetailsService 加载用户信息;
  • 利用 PasswordEncoder 校验密码;
  • 如果认证成功,构造一个包含用户权限信息的已认证 Authentication 对象。

下面是一个自定义 AuthenticationProvider 的简单示例:

@Component
public class CustomAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private MyUserDetailsService userDetailsService;
    
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String rawPassword = (String) authentication.getCredentials();
        
        UserDetails user = userDetailsService.loadUserByUsername(username);
        if (user == null) {
            throw new BadCredentialsException("用户不存在");
        }
        
        if (!passwordEncoder.matches(rawPassword, user.getPassword())) {
            throw new BadCredentialsException("密码错误");
        }
        
        return new UsernamePasswordAuthenticationToken(username, rawPassword, user.getAuthorities());
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
    }
}

源码剖析
authenticate 方法中,我们可以看到 Spring Security 如何利用 UserDetailsService 与 PasswordEncoder 协同工作,确保只有正确的凭证才能获得认证成功的结果。

4. 授权机制解析

认证成功后,系统进入授权阶段。授权主要通过 FilterSecurityInterceptor 完成,该拦截器负责在请求被具体业务逻辑处理前检查用户是否有权限访问对应资源。

❶ FilterSecurityInterceptor 工作原理

FilterSecurityInterceptor 继承自 AbstractSecurityInterceptor,其主要职责为:

  • 获取当前请求对应的安全配置(如所需角色、权限等),通常由 SecurityMetadataSource 提供;
  • 调用 AccessDecisionManager,依据用户权限集合决定是否允许访问;
  • 若访问被拒绝,则抛出 AccessDeniedException。

以下代码展示了大致流程:

public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {

    @Autowired
    private SecurityMetadataSource securityMetadataSource;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        // 封装请求信息
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        // 获取安全配置(资源需要的权限)
        Collection<ConfigAttribute> attributes = securityMetadataSource.getAttributes(fi);
        
        // 若资源无安全配置,则直接放行
        if (attributes == null || attributes.isEmpty()) {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            return;
        }
        
        // 检查用户是否具有访问权限
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }
}

图解说明

在这里插入图片描述

通过这种设计,Spring Security 能够灵活配置 URL、方法等不同层次的授权策略

❷ AccessDecisionManager与决策流程

AccessDecisionManager 根据传入的用户权限集合、请求所需权限及上下文信息进行判断。常见实现包括 AffirmativeBased、ConsensusBased 和 UnanimousBased。

伪代码示例:

public class AffirmativeBased implements AccessDecisionManager {

    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)
            throws AccessDeniedException {
        for (ConfigAttribute attribute : configAttributes) {
            if (this.supports(attribute)) {
                // 如果任何一个决策者同意访问,则允许
                if (voter.vote(authentication, object, configAttributes) == AccessDecisionVoter.ACCESS_GRANTED) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("没有足够权限访问该资源");
    }
}

说明
这种投票机制允许开发者根据实际业务需求定制多重决策规则,保证授权过程既灵活又安全。

5. 自定义扩展点与源码调试

Spring Security 的设计充分考虑了扩展性。常见的扩展点包括:

  • 自定义 Filter:在现有 FilterChain 中插入新的安全过滤器;
  • 自定义 AuthenticationProvider:实现特定业务场景下的身份验证;
  • 自定义 AccessDecisionManager:满足细粒度的授权需求;
  • 扩展 SecurityMetadataSource:支持基于动态资源的权限配置。

在IDEA调试源码时,双击 shift 弹出源码搜索框,你可以通过断点跟踪 FilterChainProxyAuthenticationManagerProviderManager 的调用过程,进一步了解每个组件的具体职责与协作方式

6. 总结

通过本文的源码剖析,我们了解了 Spring Security 的核心架构与工作流程:

  • 认证流程 从过滤器链的拦截,到 UsernamePasswordAuthenticationFilter 的处理,再到 AuthenticationManager 与多个 AuthenticationProvider 的协作。
  • 授权流程 则通过 FilterSecurityInterceptor 获取安全配置,并调用 AccessDecisionManager 决策用户是否具有访问权限。

这些机制保证了 Spring Security 在面对复杂安全场景时依然具有高度的灵活性和扩展性。深入理解这些原理,有助于你在实际项目中更精准地定制安全策略,并针对性地进行功能扩展或问题排查。
如果本本章内容对您有所帮助,希望 一键三连 给博主一点点鼓励,如果您有任何疑问或建议,请随时留言讨论!

下一章节:最新Spring Security实战教程(四)基于内存的用户认证 - UserDetailsService实战开发

在这里插入图片描述

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity底层原理和认证授权流程总结
希望和大家多多交流技术!
01-03 2812
安全框架springsecurity、shiro等)主要分为两个部分: 认证:系统认为用户是否能登录 授权:系统判断用户是否有权限去做某些事情 项目主要使用了:基于token的用户权限认证授权 模块一:登录时springsecurity获取用户的信息,比如用户名、密码、和查数据库得到其权限列表 如果系统的模块众多,每个模块都需要进行授权认证,所以我们选择基于 token 的形式 进行授权认证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限 值,并以用户名为 key.
Java全栈工程师-Spring Security
07-21
由浅入深讲解从搭建Spring Security认证授权应用,到Spring Security底层过滤器原理 本课程讲解Spring Security种使用方案:独立使用,整合SSM框架用法,和整合SpringBoot的用法 本课程讲解Spring Security结合数据库的RBAC表进行动态的用户认证和授权的实现过程
SpringSecurity原理总结
hcyxsh的博客
04-07 237
SpringSecurity原理总结 一 过滤器介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明 WebAsyncManagerIntegrationFilter 将 Security 上下文 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter 在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityC
SpringSecurity框架原理
weixin_44103123的博客
11-15 458
SpringSecurity核心
从HelloWorld深入源码了解SpringSecurity底层逻辑
写写平时的技术与感想
05-25 1961
为什么引⼊之后没有任何配置所有请求就要认证呢?这就不得不提SpringBoot的默认配置类, 这个类是⾃动配置类,通过这个源码得知,默认情况下对所有请求进⾏权限控制。这就是为什么在引⼊ Spring Security 中没有任何配置情况下,请求会被拦截的原因!classpath中存在条件⼆ 没有⾃定义默认情况下,条件都是满⾜的。这个类极其重要,核⼼配置都在这个类中如果要对进⾏⾃定义配置,就要⾃定义这个类实例,通过覆盖类中⽅法达到修改默认配置的⽬的对于。
SpringSecurity5.7从入门到精通全套教程-入门篇
weixin_46040278的博客
04-26 3353
本文章主要概述SpringSecurity的使用,从入门到精通一站式学习
SpringSecurity实战教程.txt
12-21
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,...
Spring Security 实战干货.pdf
04-22
Spring Security 实战干货.pdf
SpringSecurity和OAuth2实战精讲视频.zip
09-09
15-自定义配置-SpringSecurity的默认配置 16-自定义配置-添加用户功能的实现 17-自定义配置-添加用户功能的测试 18-自定义配置-密码加密算法 19-自定义配置-密码加密测试 20-自定义配置-DelegatingPasswordEncoder ...
Spring Security实战源码
09-07
ssecurity-db项目是Spring Security实战)的源码; ssceurity-page项目是Spring Security实战(四)的源码; ssecurity-pageClass项目是Spring Security实战(五)的源码; ssecurity-customFilter项目是Spring ...
SpringSecurity详解
只有做与不做 没有想与不想
07-04 6930
SpringSecurity详解
Spring Security】3.底层原理
qq_39921135的博客
04-08 975
整个过程就叫做委托。在正常情况下这些过滤器在应用程序启动的时候就要被注册在servlet容器里才能工作,但为了更灵活的在应用程序当中配置这些过滤器,其实我们的应用程序采用的是SpringBoot形式,而SpringBoot里的本质是springspringMVC这些基础框架,也就意味着,其实在spring这种环境下,希望把这些Filter对象当做spring容器中的bean对象来管理。因为我们的应用程序是SpringBoot程序,所以我们的应用程序是通过controller的方式来实现的servlet。
Spring Security 入门原理实战
最新发布
2401_86940371的博客
10-11 781
之后我们介绍spring security 是通过filter的形式在web应用中发生作用的,并列举了filter列表,介绍了入口filter,介绍springboot是如何载入spring security入口filter的。在第一节中,我们通过在pom文件中增加spring-boot-starter-security依赖,便使得我们的项目收到了spring security保护,又通过增加SecurityConfiguration实现了一些安全配置,实现了链接资源的个性化访问控制。
Spring Security
qq_53432338的博客
06-20 2144
1、简介 2、入门 3、内存配置 4、角色控制 5、连接数据库 6、动态权限pring Security是一个功能强大、可高度定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。Spring Security是一个面向Java应用程序提供身份验证和安全性的框架。所有Spring项目一样,Spring Security的真正威力在于它可以轻松地扩展以满足定制需求。springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。1、导入
Spring Security底层源码剖析
albort_steven的博客
11-22 480
Spring Security源码深入解析,一步步深入了解Spring Security底层实现原理
security 底层原理_spring-security原理学习
weixin_35531655的博客
12-24 272
spring security使用分类:如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差;3、spring security和Acegi不...
springSecurity安全框架的学习和原理解读
执笔写童话的博客
04-25 1161
springSecurity安全框架的学习和原理解读 标签: java springsecurity 更多 最近在公司的项目中使用了spring security框架,所以有机会来学习一下,公司的项目是使用springboot搭建 springBoot版本1.59 spring security 版本4.2.3 (个人理解可能会有偏差,希望有不正确之处,大家能够指出来,共同探讨交流。) 目录...
评论 30
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micro麦可乐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值