Spring Security+Spring Boot实现登录认证以及权限认证

基本概念

"Authentication(认证)"是spring security框架中最重要的功能之一,所谓认证,就是对当前访问系统的用户给予一个合法的身份标识,用户只有通过认证才可以进入系统,在物理世界里,有点类似于"拿工卡刷门禁"的场景。

具体文章🔗:Spring Security 6.x 浅谈身份认证的架构设计 - fullstackyang - SegmentFault 思否

认证架构设计

接口

  • Authentication:顶层接口,用于保存身份认证信息,主要包括三个部分:用户标识,凭证,权限信息
  • SecurityContext:顶层接口,安全上下文,内部之定义了getAuthentication和setAuthentication两个方法,用于装载对象容器
  • AuthenticationManager:定义了认证方法
  • AuthenticationProvider:认证协议的具体实现
  • SecurityContextRepository:定义了保存和加载SecurityContext对象的方法
  • SecurityContextHolderStrategy:顶层接口,定义了在当前请求的线程中,获取和设置SecurityContext对象等方法。

总结

spring security整个认证架构中的认证流程和存取校验流程,再做一个总结:

  • 认证流程:AuthenticationManager为这个系统所支持的所有认证协议,统一提供authenticate方法,比如支持用户名密码登录,也支持短信登录,第三方授权登录,不论哪种方式登录,最终都交由这个方法执行,其实现类ProviderManager则高度封装了认证过程,使得不同认证协议进入不同的认证实现类,然后都返回Authentication对象。Authentication定义了一个认证信息应该必须包含的信息,包括用户标识,凭证,权限,因此我们可以自定义AuthenticationProvider,并注册到ProviderManager中,然后再实现自定义认证Filter和Authentication。
  • 存取校验流程:在得到认证后的Authentication对象,需要解决的是如何获取Authentication对象,以判断该请求是否已经通过认证,这里就引入了一个重要的类Context,相当于装载Authentication对象容器。首先依赖SecurityContextRepository从持久化的介质(例如session)中加载出来SecurityContext对象,其次通过SecurityContextHolder内部策略类方便快速地读写SecurityContext对象,这里很容易就想到使用ThreadLocal来实现同一个请求的线程中存取操作,spring security也是这么做的,最终在得到SecurityContext后,可以通过其内部的Authentication对象判断是否已认证。
相关推荐
小bo波3 小时前
Java Swing 图形用户界面实验 —— 从算术练习到游戏开发的完整实践
java·课程设计·gui·游戏开发·扫雷·swing
咖啡八杯5 小时前
GoF设计模式——备忘录模式
java·后端·spring·设计模式
SamDeepThinking15 小时前
裁掉那个差程序员后,给你看团队里高手的代码:这个习惯,希望你有
java·后端·程序员
朕瞧着你甚好16 小时前
技术雷达 & Java 集成评估报告 — Apache Tika 3.3.1
java·ai编程
MacroZheng17 小时前
短短几天,暴涨2.8万Star!又一款编程神器开源!
java·人工智能·后端
SamDeepThinking17 小时前
函数式编程:用BiFunction消除多类型分支的代码重复
java·后端·面试
Flittly1 天前
【AgentScope Java新手村系列】(16)从RAG到多路检索
java·spring boot·spring
小兔崽子去哪了1 天前
Java 生成二维码解决方案
java·后端
人活一口气2 天前
从JVM调优到MCP协议:Java全栈技术体系深度总结与企业级架构实践
java·spring boot
NE_STOP2 天前
Vibe Coding -- 完整项目案例实操
java