Spring Security 从入门到实战:搞定认证授权,再也不用手写权限逻辑

Ne0inhk

6 min read
Spring Security 从入门到实战:搞定认证授权,再也不用手写权限逻辑
在这里插入图片描述

✨道路是曲折的,前途是光明的!

📝 专注C/C++、Linux编程与人工智能领域,分享学习笔记!

🌟 感谢各位小伙伴的长期陪伴与支持,欢迎文末添加好友一起交流!

在这里插入图片描述

目录

前言

你是否还在为权限管理发愁?手写拦截器、过滤器、权限判断?Spring Security 来拯救你了!

作为 Java 生态中最强大的安全框架,Spring Security 为企业级应用提供了完整的安全解决方案。本文带你从零掌握 Spring Security。

在这里插入图片描述

一、Spring Security 是什么?

Spring Security 是一个功能强大且高度可定制的认证和访问控制框架,专注于为 Java 应用程序提供安全服务。

1.1 核心功能

功能说明
认证 (Authentication)验证"你是谁"
授权 (Authorization)验证"你能做什么"
防护常见攻击CSRF、XSS、会话固定等

二、技术组成分布

30%25%20%15%10%Spring Security 学习重点分布认证机制 [30]授权控制 [25]过滤器链 [20]JWT集成 [15]OAuth2 [10]

三、认证流程解析

3.1 请求处理流程

用户请求

Security Filter Chain

已认证?

认证过滤器

登录验证

成功?

创建SecurityContext

返回401

有权限?

访问资源

返回403

3.2 过滤器链结构

请求

ChannelProcessingFilter

SecurityContextFilter

LogoutFilter

UsernamePasswordAuthenticationFilter

ExceptionTranslationFilter

FilterSecurityInterceptor

Controller

四、快速开始

4.1 添加依赖

<!-- pom.xml --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>

4.2 基础配置

@Configuration@EnableWebSecuritypublicclassSecurityConfig{@BeanpublicSecurityFilterChainfilterChain(HttpSecurity http)throwsException{ http .authorizeHttpRequests(auth -> auth .requestMatchers("/public/**").permitAll().anyRequest().authenticated()).formLogin(withDefaults()).httpBasic(withDefaults());return http.build();}}

五、认证机制详解

5.1 内存认证(开发测试)

@BeanpublicUserDetailsServiceuserDetailsService(){UserDetails user =User.builder().username("admin").password(passwordEncoder().encode("123456")).roles("ADMIN").build();UserDetails guest =User.builder().username("guest").password(passwordEncoder().encode("123456")).roles("GUEST").build();returnnewInMemoryUserDetailsManager(user, guest);}@BeanpublicPasswordEncoderpasswordEncoder(){returnnewBCryptPasswordEncoder();}

5.2 数据库认证(生产推荐)

@ServicepublicclassCustomUserDetailsServiceimplementsUserDetailsService{@AutowiredprivateUserRepository userRepository;@OverridepublicUserDetailsloadUserByUsername(String username){User user = userRepository.findByUsername(username).orElseThrow(()->newUsernameNotFoundException("用户不存在"));returnUser.withUsername(user.getUsername()).password(user.getPassword()).roles(user.getRole()).build();}}

六、授权控制方式

6.1 注解方式

// 启用注解@EnableGlobalMethodSecurity(prePostEnabled =true)// 使用示例@ServicepublicclassUserService{@PreAuthorize("hasRole('ADMIN')")publicvoiddeleteUser(Long id){// 只有ADMIN角色可以删除}@PreAuthorize("#userId == authentication.principal.id")publicUsergetUserInfo(Long userId){// 只能查询自己的信息}@PostFilter("filterObject.owner == authentication.name")publicList<Document>getAllDocuments(){// 过滤返回结果}}

6.2 配置方式

@BeanpublicSecurityFilterChainfilterChain(HttpSecurity http)throwsException{ http .authorizeHttpRequests(auth -> auth .requestMatchers("/api/admin/**").hasRole("ADMIN").requestMatchers("/api/user/**").hasAnyRole("ADMIN","USER").requestMatchers(HttpMethod.POST,"/api/posts").hasAuthority("post:write").requestMatchers("/public/**").permitAll().anyRequest().authenticated());return http.build();}

七、JWT 无状态认证

7.1 JWT 认证流程

资源服务器用户资源服务器用户POST /login {username, password}验证用户信息返回JWT TokenGET /api/data (Header: Authorization: Bearer <token>)验证Token返回数据

7.2 JWT 实现

// JWT 工具类@ComponentpublicclassJwtUtil{@Value("${jwt.secret}")privateString secret;publicStringgenerateToken(UserDetails userDetails){returnJwts.builder().setSubject(userDetails.getUsername()).setIssuedAt(newDate()).setExpiration(newDate(System.currentTimeMillis()+86400000)).signWith(SignatureAlgorithm.HS256, secret).compact();}publicbooleanvalidateToken(String token,UserDetails userDetails){returnextractUsername(token).equals(userDetails.getUsername())&&!isTokenExpired(token);}}// JWT 认证过滤器publicclassJwtAuthenticationFilterextendsOncePerRequestFilter{@OverrideprotectedvoiddoFilterInternal(HttpServletRequest request,HttpServletResponse response,FilterChain chain){String token =extractToken(request);if(token !=null&& jwtUtil.validateToken(token, userDetails)){UsernamePasswordAuthenticationToken auth =newUsernamePasswordAuthenticationToken(userDetails,null, userDetails.getAuthorities());SecurityContextHolder.getContext().setAuthentication(auth);} chain.doFilter(request, response);}}

八、常见场景解决方案

8.1 场景一:记住我功能

http .rememberMe(remember -> remember .key("unique-and-secret").tokenValiditySeconds(86400).userDetailsService(userDetailsService));

8.2 场景二:退出登录

http .logout(logout -> logout .logoutUrl("/logout").logoutSuccessUrl("/login?logout").deleteCookies("JSESSIONID").addLogoutHandler(newSecurityContextLogoutHandler()));

8.3 场景三:CSRF 防护

http .csrf(csrf -> csrf .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())// API接口可以禁用CSRF.ignoringRequestMatchers("/api/**"));

8.4 场景四:自定义登录页

http .formLogin(form -> form .loginPage("/login").defaultSuccessUrl("/dashboard").permitAll());

九、学习路线

Spring Security 入门

理解核心概念

认证机制

授权控制

JWT集成

OAuth2/SAML

微服务安全

实战项目

9.1 学习时间建议

阶段内容时间
入门基本概念、配置1周
进阶认证授权、自定义2周
高级JWT、OAuth22周
实战项目应用持续

十、最佳实践

10.1 密码加密

// 始终使用 BCrypt@BeanpublicPasswordEncoderpasswordEncoder(){returnnewBCryptPasswordEncoder();}

10.2 权限设计原则

// 推荐:基于角色的权限访问控制 (RBAC)@PreAuthorize("hasRole('ADMIN') and hasAuthority('user:delete')")// 不推荐:硬编码@PreAuthorize("hasRole('ADMIN') or username == 'admin'")

10.3 异常处理

@RestControllerAdvicepublicclassSecurityExceptionHandler{@ExceptionHandler(AccessDeniedException.class)publicResponseEntity<?>handleAccessDenied(AccessDeniedException e){returnResponseEntity.status(403).body("没有权限访问该资源");}}

10.4 安全配置

// 生产环境必须配置 http .headers(headers -> headers .contentSecurityPolicy(csp -> csp.policyDirectives("default-src 'self'")).frameOptions(frame -> frame.sameOrigin()).httpStrictTransportSecurity(hsts -> hsts .includeSubDomains(true).maxAgeInSeconds(31536000)));

十一、总结

Spring Security 虽然学习曲线陡峭,但一旦掌握,将极大提升应用的安全性和开发效率。

11.1核心要点回顾

要点说明
🔐 认证验证用户身份
🎯 授权控制访问权限
🔗 过滤器链请求处理核心
🎫 JWT无状态认证方案
🛡️ 防护抵御常见攻击

十二、推荐资源

资源链接
官方文档https://spring.io/projects/spring-security
Baeldung教程https://www.baeldung.com/spring-security
中文手册https://springcloud.cc/spring-security.html
💡 一句话总结:Spring Security 是企业级 Java 应用的安全基石,值得深入学习和掌握!

Read more

告别手动运维:Kustomize 与 ArgoCD 构建的 GitOps 体系

告别手动运维:Kustomize 与 ArgoCD 构建的 GitOps 体系 目录 告别手动运维:Kustomize 与 ArgoCD 构建的 GitOps 体系 第一部分:Kustomize —— 声明式配置管理的瑞士军刀 【专栏正文】 1.1 为什么选择 Kustomize 而不是 Helm 模板? 1.2 核心概念:Base 与 Overlay 1.3 Kustomization.yaml 语法实战 【架构师手记】 第二部分:ArgoCD —— GitOps 引擎的实现原理 【专栏正文】 2.1 什么是 GitOps? 2.2 ArgoCD

By Ne0inhk

Stable Diffusion UnCLIP 2.1技术解析与实操指南:解锁图像创意变体新维度

Stable Diffusion UnCLIP 2.1技术解析与实操指南:解锁图像创意变体新维度 【免费下载链接】stablediffusionHigh-Resolution Image Synthesis with Latent Diffusion Models 项目地址: https://gitcode.com/GitHub_Trending/st/stablediffusion 你是否曾面临这样的创作瓶颈:手握一张满意的图片,却苦于无法快速生成多种风格变体?🚀 设计师需要为同一产品制作不同场景展示图,内容创作者渴望为素材添加多样视觉风格,营销人员希望批量产出创意广告素材......这些问题在传统工作流程中往往需要大量时间和专业技能。 今天,我们将深入解析Stable Diffusion UnCLIP 2.1这一革命性技术,它不仅能够基于单张图像生成无限创意变体,更通过创新的图像嵌入机制实现了内容理解与风格转换的完美平衡。💡 问题场景:创意生产的现实困境 在数字内容爆炸的时代,视觉创意需求呈现指数级增长。传统图像处理工具在风格迁移、内容变体生成方面存在明显局限:

By Ne0inhk
用Neo4j构建医疗知识图谱加速推理

用Neo4j构建医疗知识图谱加速推理

📝 博客主页:jaxzheng的ZEEKLOG主页 Neo4j构建医疗知识图谱:解锁临床推理的加速引擎 目录 * Neo4j构建医疗知识图谱:解锁临床推理的加速引擎 * 引言:医疗决策的“时间黑洞”与图数据库的破局点 * 一、核心价值:为什么“推理加速”是医疗知识图谱的生死线? * 二、技术深度:Neo4j的推理加速引擎解剖 * 2.1 图数据库的“原生优势”如何落地? * 2.2 实战案例:从理论到急诊室 * 三、时间轴视角:从现在时到将来时的推理革命 * 3.1 现在时:已落地的“加速”价值(2024年现状) * 3.2 将来时:5-10年推理加速的三大跃迁 * 四、挑战与争议:加速背后的伦理暗流 * 4.1 数据隐私:实时推理的“双刃剑”

By Ne0inhk

Docker 安装 Neo4j 保姆级教程

Docker 安装 Neo4j 保姆级教程 本教程适用于零基础用户,详细讲解如何在 Windows 或 Linux 环境下通过 Docker 安装并配置 Neo4j 图数据库。 Neo4j 官方 Docker 文档 1. 环境准备 * 已安装 Docker(Docker Desktop 官网) * Linux 和 Windows 均可 2. 创建挂载目录 在宿主机上新建以下目录,用于数据持久化和配置挂载(以 Linux 为例,Windows 可用资源管理器新建文件夹): mkdir -p /home/neo4j/data /home/neo4j/logs /home/neo4j/conf /home/

By Ne0inhk