:SpringSecurity的初次邂逅(概念、认证、授权))
SpringSecurity 核心概念
SpringSecurity 是一个功能强大且高度可定制的身份验证和访问控制框架,专注于为 Java 应用程序提供安全性。其核心功能围绕身份验证(Authentication)和授权(Authorization)展开。
身份验证是确认用户身份的过程,通常通过用户名密码、OAuth2、JWT 等方式实现。授权是确定已验证用户拥有哪些权限,例如访问特定资源或执行某些操作。
认证流程剖析
SpringSecurity 的认证流程主要由一系列过滤器链组成。核心过滤器包括UsernamePasswordAuthenticationFilter(处理表单登录)、BasicAuthenticationFilter(处理 HTTP Basic 认证)等。认证过程最终由AuthenticationManager协调,委托给ProviderManager和具体的AuthenticationProvider实现。
认证成功后,会生成Authentication对象并存入SecurityContextHolder,供后续授权流程使用。默认使用ThreadLocal存储安全上下文,确保线程安全。
授权机制解析
授权通过AccessDecisionManager实现,核心策略包括:
- 基于投票的
AffirmativeBased(一票通过即可) - 一致性通过的
UnanimousBased(全部投票通过) - 多数通过的
ConsensusBased
权限判断通常使用hasRole()、hasAuthority()等表达式,或通过注解如@PreAuthorize实现方法级安全控制。配置示例:
http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("USER", "ADMIN") .anyRequest().authenticated();JWT 集成实践
JWT(JSON Web Token)是一种无状态的认证方案,适合分布式系统。集成步骤:
创建 JWT 工具类处理令牌生成/验证:
public class JwtTokenUtil { private String secret = "your-secret-key"; public String generateToken(UserDetails userDetails) { return Jwts.builder() .setSubject(userDetails.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + 3600*1000)) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public Boolean validateToken(String token, UserDetails userDetails) { final String username = extractUsername(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } }配置 JWT 过滤器:
public class JwtRequestFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) { String token = extractToken(request); if (token != null && jwtUtil.validateToken(token, userDetails)) { UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); SecurityContextHolder.getContext().setAuthentication(auth); } chain.doFilter(request, response); } }OAuth2 集成方案
SpringSecurity 提供完整的 OAuth2 支持,包括客户端和资源服务器配置:
资源服务器配置示例:
@EnableResourceServer @Configuration public class OAuth2ResourceServerConfig extends ResourceServerConfigurerAdapter { @Override public void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/api/**").authenticated(); } @Override public void configure(ResourceServerSecurityConfigurer resources) { resources.tokenServices(tokenServices()); } @Bean public TokenStore tokenStore() { return new JwtTokenStore(accessTokenConverter()); } @Bean public JwtAccessTokenConverter accessTokenConverter() { JwtAccessTokenConverter converter = new JwtAccessTokenConverter(); converter.setSigningKey("shared-secret"); return converter; } }客户端配置示例:
@EnableOAuth2Client @Configuration public class OAuth2ClientConfig { @Bean public OAuth2RestTemplate oauth2RestTemplate( OAuth2ClientContext oauth2ClientContext, OAuth2ProtectedResourceDetails details) { return new OAuth2RestTemplate(details, oauth2ClientContext); } }安全配置最佳实践
生产环境建议配置:
- 启用 CSRF 防护(对于有状态的 web 应用)
- 配置 CORS 策略
- 强制 HTTPS
- 设置严格的内容安全策略
- 使用安全密码编码器:
@Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); }典型安全配置示例:
@EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().ignoringAntMatchers("/api/**") .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .addFilterBefore(jwtFilter(), UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .antMatchers("/auth/**").permitAll() .anyRequest().authenticated(); } }
