Spring Security 认证授权实战指南 | 极客日志

Javajava

Spring Security 认证授权实战指南

Spring Security 是 Java 企业级安全框架，提供认证、授权及攻击防护功能。涵盖核心概念、过滤器链结构、内存与数据库认证配置、注解与规则授权方式、JWT 无状态认证实现，以及记住我、退出登录、CSRF 防护等常见场景解决方案。同时包含密码加密、RBAC 设计原则、异常处理及安全配置最佳实践，帮助开发者快速掌握安全机制并应用于生产环境。

云间运维发布于 2026/3/26更新于 2026/5/2228K 浏览

一、Spring Security 是什么？

Spring Security 是一个功能强大且高度可定制的认证和访问控制框架，专注于为 Java 应用程序提供安全服务。

1.1 核心功能

功能	说明
认证 (Authentication)	验证'你是谁'
授权 (Authorization)	验证'你能做什么'
防护常见攻击	CSRF、XSS、会话固定等

二、技术组成分布

Spring Security 学习重点分布如下：认证机制 (30%)、授权控制 (25%)、过滤器链 (20%)、JWT 集成 (15%)、OAuth2 (10%)。

三、认证流程解析

3.1 请求处理流程

用户请求 -> Security Filter Chain -> 已认证？-> 否 -> 认证过滤器 -> 登录验证 -> 成功？-> 否 -> 返回 401
                                            -> 是 -> 创建 SecurityContext -> 有权限？-> 否 -> 返回 403
                                                                                          -> 是 -> 访问资源

3.2 过滤器链结构

ChannelProcessingFilter -> SecurityContextFilter -> LogoutFilter -> UsernamePasswordAuthenticationFilter -> ExceptionTranslationFilter -> FilterSecurityInterceptor -> Controller

四、快速开始

4.1 添加依赖

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

4.2 基础配置

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(auth -> auth
            .requestMatchers().permitAll()
            .anyRequest().authenticated())
            .formLogin(withDefaults())
            .httpBasic(withDefaults());
         http.build();
    }
}

相关免费在线工具

Keycode 信息
查找任何按下的键的javascript键代码、代码、位置和修饰符。在线工具，Keycode 信息在线工具，online
Escape 与 Native 编解码
JavaScript 字符串转义/反转义；Java 风格 \uXXXX（Native2Ascii）编码与解码。在线工具，Escape 与 Native 编解码在线工具，online
JavaScript / HTML 格式化
使用 Prettier 在浏览器内格式化 JavaScript 或 HTML 片段。在线工具，JavaScript / HTML 格式化在线工具，online
JavaScript 压缩与混淆
Terser 压缩、变量名混淆，或 javascript-obfuscator 高强度混淆（体积会增大）。在线工具，JavaScript 压缩与混淆在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online

@Bean
public UserDetailsService userDetailsService() {
    UserDetails user = User.builder()
        .username("admin")
        .password(passwordEncoder().encode("123456"))
        .roles("ADMIN").build();
    UserDetails guest = User.builder()
        .username("guest")
        .password(passwordEncoder().encode("123456"))
        .roles("GUEST").build();
    return new InMemoryUserDetailsManager(user, guest);
}

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) {
        User user = userRepository.findByUsername(username)
            .orElseThrow(() -> new UsernameNotFoundException("用户不存在"));
        return User.withUsername(user.getUsername())
            .password(user.getPassword())
            .roles(user.getRole()).build();
    }
}

// 启用注解
@EnableGlobalMethodSecurity(prePostEnabled = true)

// 使用示例
@Service
public class UserService {
    @PreAuthorize("hasRole('ADMIN')")
    public void deleteUser(Long id) {
        // 只有 ADMIN 角色可以删除
    }

    @PreAuthorize("#userId == authentication.principal.id")
    public User getUserInfo(Long userId) {
        // 只能查询自己的信息
    }

    @PostFilter("filterObject.owner == authentication.name")
    public List<Document> getAllDocuments() {
        // 过滤返回结果
    }
}

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http.authorizeHttpRequests(auth -> auth
        .requestMatchers("/api/admin/**").hasRole("ADMIN")
        .requestMatchers("/api/user/**").hasAnyRole("ADMIN", "USER")
        .requestMatchers(HttpMethod.POST, "/api/posts").hasAuthority("post:write")
        .requestMatchers("/public/**").permitAll()
        .anyRequest().authenticated());
    return http.build();
}

// JWT 工具类
@Component
public class JwtUtil {
    @Value("${jwt.secret}")
    private String secret;

    public String generateToken(UserDetails userDetails) {
        return Jwts.builder()
            .setSubject(userDetails.getUsername())
            .setIssuedAt(new Date())
            .setExpiration(new Date(System.currentTimeMillis() + 86400000))
            .signWith(SignatureAlgorithm.HS256, secret)
            .compact();
    }

    public boolean validateToken(String token, UserDetails userDetails) {
        return extractUsername(token).equals(userDetails.getUsername()) && !isTokenExpired(token);
    }
}

// JWT 认证过滤器
public class JwtAuthenticationFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) {
        String token = extractToken(request);
        if (token != null && jwtUtil.validateToken(token, userDetails)) {
            UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
            SecurityContextHolder.getContext().setAuthentication(auth);
        }
        chain.doFilter(request, response);
    }
}

http.rememberMe(remember -> remember
    .key("unique-and-secret")
    .tokenValiditySeconds(86400)
    .userDetailsService(userDetailsService));

http.logout(logout -> logout
    .logoutUrl("/logout")
    .logoutSuccessUrl("/login?logout")
    .deleteCookies("JSESSIONID")
    .addLogoutHandler(new SecurityContextLogoutHandler()));

http.csrf(csrf -> csrf
    .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
    .ignoringRequestMatchers("/api/**")); // API 接口可以禁用 CSRF

http.formLogin(form -> form
    .loginPage("/login")
    .defaultSuccessUrl("/dashboard")
    .permitAll());

阶段	内容	时间
入门	基本概念、配置	1 周
进阶	认证授权、自定义	2 周
高级	JWT、OAuth2	2 周
实战	项目应用	持续

// 始终使用 BCrypt
@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

// 推荐：基于角色的权限访问控制 (RBAC)
@PreAuthorize("hasRole('ADMIN') and hasAuthority('user:delete')")

// 不推荐：硬编码
// @PreAuthorize("hasRole('ADMIN') or username == 'admin'")

@RestControllerAdvice
public class SecurityExceptionHandler {
    @ExceptionHandler(AccessDeniedException.class)
    public ResponseEntity<?> handleAccessDenied(AccessDeniedException e) {
        return ResponseEntity.status(403).body("没有权限访问该资源");
    }
}

// 生产环境必须配置
http.headers(headers -> headers
    .contentSecurityPolicy(csp -> csp.policyDirectives("default-src 'self'"))
    .frameOptions(frame -> frame.sameOrigin())
    .httpStrictTransportSecurity(hsts -> hsts
        .includeSubDomains(true)
        .maxAgeInSeconds(31536000)));

要点	说明
🔐 认证	验证用户身份
🎯 授权	控制访问权限
🔗 过滤器链	请求处理核心
🎫 JWT	无状态认证方案
🛡️ 防护	抵御常见攻击

资源	链接
官方文档	https://spring.io/projects/spring-security
Baeldung 教程	https://www.baeldung.com/spring-security

Spring Security 认证授权实战指南

一、Spring Security 是什么？

1.1 核心功能

二、技术组成分布

三、认证流程解析

3.1 请求处理流程

3.2 过滤器链结构

四、快速开始

4.1 添加依赖

4.2 基础配置

更多推荐文章

相关免费在线工具

五、认证机制详解

5.1 内存认证（开发测试）

5.2 数据库认证（生产推荐）

六、授权控制方式

6.1 注解方式

6.2 配置方式

七、JWT 无状态认证

7.1 JWT 认证流程

7.2 JWT 实现

八、常见场景解决方案

8.1 场景一：记住我功能

8.2 场景二：退出登录

8.3 场景三：CSRF 防护

8.4 场景四：自定义登录页

九、学习路线

9.1 学习时间建议

十、最佳实践

10.1 密码加密

10.2 权限设计原则

10.3 异常处理

10.4 安全配置

十一、总结

11.1 核心要点回顾

十二、参考资料

更多推荐文章

相关免费在线工具

Spring Security 认证授权实战指南

一、Spring Security 是什么？

1.1 核心功能

二、技术组成分布

三、认证流程解析

3.1 请求处理流程

3.2 过滤器链结构

四、快速开始

4.1 添加依赖

4.2 基础配置

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

五、认证机制详解

5.1 内存认证（开发测试）

5.2 数据库认证（生产推荐）

六、授权控制方式

6.1 注解方式

6.2 配置方式

七、JWT 无状态认证

7.1 JWT 认证流程

7.2 JWT 实现

八、常见场景解决方案

8.1 场景一：记住我功能

8.2 场景二：退出登录

8.3 场景三：CSRF 防护

8.4 场景四：自定义登录页

九、学习路线

9.1 学习时间建议

十、最佳实践

10.1 密码加密

10.2 权限设计原则

10.3 异常处理

10.4 安全配置

十一、总结

11.1 核心要点回顾

十二、参考资料

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具