2025版spring security认证授权详解篇【经典】

最新推荐文章于 2025-11-23 15:08:04 发布
原创 最新推荐文章于 2025-11-23 15:08:04 发布 · 980 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #前端 #java

目录

一  springsecurity 认证授权

1.1 总流程

1.2 关键代码详解

1.3 资料

二  详解流程

2.1 WebSecurityConfig中config方法的执行顺序

2.2.1 完整的执行流程

2.2.2 完整的代码

2.3 认证流程顺序

2.4 授权流程顺序

2.5 SecurityContextHolder

2.5.1 securityContextHolder的写入

2.5.2 securityContextHolder的获取

2.5.3 线程安全与请求清理*

2.5.4 总结

2.6 完整流程的详解

一  springsecurity 认证授权

1.1 总流程

1.阶段1:启动阶段:应用启动时的配置加载顺序;先执行WebSecurityConfig类;Configure(websecurity web) 最先执行,忽略某些请求

Configure(HttpSecurity http) 其次执行,如何保护请求。

Configure(AuthenticationManagerBuilder auth) 最后执行,用户数据从哪里来。Spring security中的websecurityconfig(通常是通过@Enablewebsecurity)注解的配置类)主要是在应用启动阶段执行的。它的核心作用是配置和初始化整个 Spring Security 的过滤器链,而不是在每次请求时都执行

2.阶段2:请求执行阶段:请求处理时执行顺序:先执行usernameandpaaswordauthenticationfilter进行表单认证;

然后通过filtersecurityinterceptor进行授权;期间抛出异常,则执行ExceptionTranslationFilter。ExceptionTranslationFilter 是一个非常重要的过滤器,它负责处理认证和授权过程中抛出的所有异常。

3.configure方法:在应用启动时执行,用于配置和构建安全过滤器链。

认证/授权过滤器:在每个请求到达时执行,是构建好的过滤器链中的一个个执行节点。

启动时configure(...) 方法执行 -> 构建过滤器链 ->运行时请求到达 -> 按链中顺序 先经过认证过滤器 -> 最后经过授权过滤器。

1.2 关键代码详解

1.在websecurityconfig类中加载各种认证,授权类。

2.其中authenticationManager()这个方法在父WebSecurityConfigurerAdapter中

3.其中这里注入的userDetailsService的实现类是UserDetailsServiceImpl

4.认证时候,自动加载通过用户名查询数据库信息。

1.3 资料

29-33 详细说明配置流程执行

https://www.bilibili.com/video/BV15a411A7kP/?spm_id_from=333.337.search-card.all.click&vd_source=34a329e9a5c6f9b4f5dcf2e9fc5bcd01

二  详解流程

2.1 WebSecurityConfig中config方法的执行顺序

2.2.1 完整的执行流程

WebSecurityConfigurerAdapter中有多个configure方法,它们的执行顺序和目的完全不同。加载和配置的总体顺序是:

Step1:configure(WebSecurity web)

执行时机:最早。用于配置全局的、忽略的安全规则。

作用:配置那些需要被 Spring Security完全忽略的请求(通常用于静态资源)。这些请求不会经过任何安全过滤器链。如下:

@Override

public void configure(WebSecurity web) throws Exception {

    web.ignoring().antMatchers("/css/**", "/js/**", "/images/**");

}
最低0.47元/天 解锁文章
SpringSecurity认证授权
qq_49474843的博客
09-11 1504
RBAC模型详解SpringSecurity入门到精通一文搞定
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
Spring Security 认证授权详解
共勉
05-03 5203
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。在对与安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
spring security认证过程详解
CVPR收割机的博客
04-18 4676
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 12万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证授权。​ 而认证授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security认证流程详解
hilldown159357的博客
04-03 2524
从内存切换为数据库存储用户信息,需实现接口:@Service@Autowired@Overridethrow new UsernameNotFoundException("用户不存在");// 从数据库加载权限列表username,HTML 页面login.html):<input type="text" name="username" placeholder="用户名">
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
如何利用SpringSecurity进行认证授权
qq_63218110的博客
02-14 1万+
博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2905
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
spring security 认证授权详解
小趴菜不能喝的博客
10-14 2419
详细介绍spring security认证授权流程
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程是 SpringSecurity 框架中最核心的部分,它负责处理用户的认证授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
Spring Boot + Spring AI快速体验
2509_94006535的博客
11-21 1012
Spring AI是Spring的一个子项目,是Spring专门面向于AI的应用框架。Spring AI 项目旨在简化整合人工智能功能的应用程序开发,避免不必要的复杂性。汲取了著名的 Python 项目 LangChain 和 LlamaIndex 的灵感,但 Spring AI 并不是这些项目的直接移植。该项目的成立的信念:下一波生成式人工智能应用程序不仅将面向Python开发人员,而且将在许多编程语言中无处不在。@Bean。
springboot接入deepseek深度求索 java
最新发布
2509_94082931的博客
11-23 290
以下是在springboot中接入aideepseek的过程。官网并没有java的示例。
My-Agent - 基于JavaSpring AI的智能体开发平台
持续分享有趣的技术干货
11-19 692
My-Agent是一个基于JavaSpringAI构建的智能体开发平台,采用前后端分离架构(React+SpringBoot),提供完整的AI智能体生命周期管理方案。核心特性包括:多模型支持(OpenAI/Ollama等)、可视化工作流编排、知识库检索(基于PgVector)以及工具集成扩展能力。平台采用模块化设计,支持流式对话、对话记忆管理等交互功能,并具备完善的监控与安全机制(JWT认证)。技术栈涵盖JDK21、SpringBoot3、MySQL8、PostgreSQL(PgVector)和Redis
spring全局懒加载(default-lazy-init)导致的afterPropertiesSet不执行问题
豆豆的博客
11-21 427
Spring配置default-lazy-init="true"会导致所有Bean延迟初始化,影响afterPropertiesSet方法的执行时机。解决方案包括:1)为关键Bean显式设置lazy-init="false";2)使用@Lazy(false)注解;3)编程式强制初始化;4)使用DependsOn控制顺序。最佳实践建议分层配置策略,核心组件立即初始化,业务组件懒加载,并通过配置文件分离和环境区分优化配置。实际应用中,Web应用的请求处理相关Bean和批处
Spring Boot 集成 Spring AI:实现大模型对话与MCP Client
iioSnail的博客
11-20 820
文章中(Spring Boot 集成 Spring AI:实现可被大模型调用的 MCP Server),我们构建了一个MCP Server,提供了查询个人信息、查询订单信息、下单等操作。但是,上文章我们使用的是Cherry Studio作为客户端来与后端进行交互。实际生产中,让客户去下载Cherry Studio,然后配置MCP Server显然不显示。因此,本文章将会教会你如何使用 Spring AI 构建一个简单的聊天界面,并支持MCP Client.
Spring Security安全框架原理与实战
u013157943的博客
11-19 360
Spring Security安全框架原理与实战
springcloud springboot nacos本对应
2509_94006919的博客
11-23 309
nacos 1.1.4本存在服务异常离线问题,请谨慎使用。2.0.4.RELEASE(停止维护,建议升级)1.5.1.RELEASE(停止维护,建议升级)
Springboot 3项目整合Knife4j接口文档(接口分组详细教程)
2509_94100925的博客
11-23 807
springboot 3开始javax包改成了jakarta,而swagger-oas等包中依然使用的是javax,所以报错。另外springfox已经停止更新有段时间了,并且不支持OpenAPI 3标准,升级Springboot 3.0以后会有更多问题暴露出来。而SpringBoot 3只支持OpenAPI 3规范,因此Spring官网推荐了Springdocspringfox 3.0.0: 同时兼容OpenAPI 2以及OpenAPI 3,但是停更很久了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值