Spring 入门-第二十六篇:Spring Security-授权机制
1. 授权概念与原理
1.1 授权的定义与作用
授权(Authorization) 是在用户通过身份认证后,决定其是否有权限访问特定资源或执行特定操作的过程。其核心作用包括:
- 资源保护:限制用户访问敏感接口(如
/admin
后台接口)。 - 操作控制:细粒度控制用户行为(如用户只能修改自己创建的数据)。
- 数据隔离:确保不同用户只能访问其权限范围内的数据(如多租户场景)。
1.2 授权决策过程
Spring Security 的授权基于 安全上下文(SecurityContext) 和 授权管理器(AccessDecisionManager),核心流程如下:
步骤 1:获取安全上下文
- 认证成功后,用户的权限信息(角色、权限)存储在
SecurityContextHolder
中,通过Authentication
对象的getAutho