Spring Security+Spring Boot实现登录认证以及权限认证

基本概念

"Authentication(认证)"是spring security框架中最重要的功能之一,所谓认证,就是对当前访问系统的用户给予一个合法的身份标识,用户只有通过认证才可以进入系统,在物理世界里,有点类似于"拿工卡刷门禁"的场景。

具体文章🔗:Spring Security 6.x 浅谈身份认证的架构设计 - fullstackyang - SegmentFault 思否

认证架构设计

接口

  • Authentication:顶层接口,用于保存身份认证信息,主要包括三个部分:用户标识,凭证,权限信息
  • SecurityContext:顶层接口,安全上下文,内部之定义了getAuthentication和setAuthentication两个方法,用于装载对象容器
  • AuthenticationManager:定义了认证方法
  • AuthenticationProvider:认证协议的具体实现
  • SecurityContextRepository:定义了保存和加载SecurityContext对象的方法
  • SecurityContextHolderStrategy:顶层接口,定义了在当前请求的线程中,获取和设置SecurityContext对象等方法。

总结

spring security整个认证架构中的认证流程和存取校验流程,再做一个总结:

  • 认证流程:AuthenticationManager为这个系统所支持的所有认证协议,统一提供authenticate方法,比如支持用户名密码登录,也支持短信登录,第三方授权登录,不论哪种方式登录,最终都交由这个方法执行,其实现类ProviderManager则高度封装了认证过程,使得不同认证协议进入不同的认证实现类,然后都返回Authentication对象。Authentication定义了一个认证信息应该必须包含的信息,包括用户标识,凭证,权限,因此我们可以自定义AuthenticationProvider,并注册到ProviderManager中,然后再实现自定义认证Filter和Authentication。
  • 存取校验流程:在得到认证后的Authentication对象,需要解决的是如何获取Authentication对象,以判断该请求是否已经通过认证,这里就引入了一个重要的类Context,相当于装载Authentication对象容器。首先依赖SecurityContextRepository从持久化的介质(例如session)中加载出来SecurityContext对象,其次通过SecurityContextHolder内部策略类方便快速地读写SecurityContext对象,这里很容易就想到使用ThreadLocal来实现同一个请求的线程中存取操作,spring security也是这么做的,最终在得到SecurityContext后,可以通过其内部的Authentication对象判断是否已认证。
相关推荐
我命由我123454 小时前
Android Studio - Android Studio 自定义预览尺寸
android·java·ide·java-ee·android studio·android-studio·android runtime
咖啡八杯5 小时前
GoF设计模式——迭代器模式
java·后端·设计模式·迭代器模式
AIGS0015 小时前
企业AI落地的关键认知:向量空间JBoltAI的本体语义平台
java·人工智能·人工智能ai大模型应用
KaMeidebaby6 小时前
卡梅德生物技术快报|抗体亲和力成熟工业化调控新机制:差异性浆细胞增殖工艺优化思路
java·开发语言·人工智能·算法·机器学习·架构·spark
醉城夜风~7 小时前
Java详解经典算法题:接雨水(三种实现方案+原理剖析)
java·开发语言·算法
数智化转型推荐官8 小时前
2026统一身份管理系统五大发展趋势解读
java·运维·微服务
看菜鸡互8 小时前
探索用 SlideML 让大模型生成 PPT 的实验方法
java·运维
ZhengEnCi10 小时前
S02-SpringBoot实体类新增字段对已有数据的影响及自动DDL同步机制详解
数据库·spring boot
程序员张310 小时前
SpringBoot集成BCrypt密码加密库
java·spring boot·后端
闲猫10 小时前
Spring AI Agentic 模式(第1部分):Agent Skills——模块化、可复用的能力
java·人工智能·spring