Spring Security如何解析JWT,并自行构造SecurityContex

间彧2025-10-21 10:13

Spring Security 通过一个精心设计的流程将 JWT 令牌转化为可识别的用户认证信息。其核心在于一个自定义的认证过滤器 ,它负责拦截请求、提取并验证 JWT,最终将认证信息存入 SecurityContext,供后续的授权和业务逻辑使用。

下面这张流程图清晰地展示了这一完整过程,包括关键角色和核心步骤:

🔧 核心组件详解

这个流程依赖于几个关键组件,它们各司其职,共同协作:

  1. JWT认证过滤器 (JwtAuthenticationFilter)​ :这是整个机制的"发动机"。它通常继承自 OncePerRequestFilter,确保每个请求只被处理一次。其核心方法 doFilterInternal完成了流程图中的主要逻辑:提取令牌、验证、构建认证对象并设置上下文。
  2. SecurityContextHolder :这是Spring Security的"会话中心"。它使用 ThreadLocal策略,将 SecurityContext(内含 Authentication对象)与当前处理请求的线程绑定。一旦设置,在本次请求的后续任何环节(如Controller、Service)都能通过 SecurityContextHolder.getContext().getAuthentication()获取到当前用户信息。
  3. Authentication 对象 :这是用户的"身份证"。通常使用 UsernamePasswordAuthenticationToken来创建,其中包含了主体(如用户名)、凭证(JWT模式下通常为null)和权限列表。将这个对象设置到安全上下文中,就等于告诉Spring Security"当前用户已登录"。

💻 代码实现关键步骤

以下是实现这一流程的核心代码环节:

1. 配置无状态会话管理

在安全配置类中,必须声明应用为无状态,这意味着Spring Security不会创建或使用HttpSession。

less 复制代码 
@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .sessionManagement(session -> session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 关键配置
            )
            // ... 其他配置,如授权规则
            .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class); // 将自定义过滤器加入链中
        return http.build();
    }
}

2. 实现JWT认证过滤器

过滤器的逻辑是核心,其伪代码如下:

scala 复制代码 
@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {
    @Autowired
    private JwtUtil jwtUtil; // 自定义JWT工具类
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        // 1. 从请求头(如Authorization: Bearer <token>)提取JWT
        String jwt = extractJwtFromRequest(request);

        if (jwt != null && jwtUtil.validateToken(jwt)) {
            // 2. 从有效JWT中解析出用户名
            String username = jwtUtil.extractUsername(jwt);
            // 3. 根据用户名加载用户详细信息(包括权限)
            UserDetails userDetails = userDetailsService.loadUserByUsername(username);
            // 4. 创建Authentication对象
            Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
            // 5. 将Authentication设置到SecurityContext中
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        // 6. 继续执行过滤器链
        chain.doFilter(request, response);
    }
}

⚠️ 注意事项与最佳实践

  • 确保过滤器顺序 :自定义的JWT过滤器必须添加到 UsernamePasswordAuthenticationFilter之前,这样才能在默认的表单登录逻辑介入之前完成JWT认证。
  • 妥善处理异常:在过滤器中,JWT解析或验证失败时应记录日志,但通常不应直接抛出异常中断流程,而是直接放行。请求会因后续没有有效的认证信息而被拒绝,这样可以保证系统的健壮性。
  • 无状态与CSRF防护:由于采用无状态认证,通常会禁用CSRF(跨站请求伪造)防护,因为CSRF防护通常依赖于Session状态。
  • 权限信息存储 :可以考虑将用户角色或权限列表直接作为自定义声明(Claim)存入JWT的Payload中。这样在过滤器中可以直接从JWT解析出权限,无需每次都查询数据库或 UserDetailsService,可以提升性能。
相关推荐
qq_256247051 分钟前
从“人工智障”到“神经网络”:一口气看懂 AI 的核心原理
后端
无心水2 分钟前
分布式定时任务与SELECT FOR UPDATE:从致命陷阱到优雅解决方案(实战案例+架构演进)
服务器·人工智能·分布式·后端·spring·架构·wpf
用户400188309374 分钟前
手搓本地 RAG:我用 Python 和 Spring Boot 给 AI 装上了“实时代码监控”
后端
用户3414081991255 分钟前
/dev/binder 详解
后端
Gopher_HBo14 分钟前
Go进阶之recover
后端
程序员布吉岛18 分钟前
写了 10 年 MyBatis,一直以为“去 XML”=写注解,直到看到了这个项目
后端
却尘19 分钟前
一篇小白也能看懂的 Go 字符串拼接 & Builder & cap 全家桶
后端·go
茶杯梦轩19 分钟前
从零起步学习Redis || 第七章:Redis持久化方案的实现及底层原理解析(RDB快照与AOF日志)
redis·后端
QZQ5418820 分钟前
重构即时IM项目13:优化消息通路(下)
后端
柠檬味拥抱20 分钟前
揭秘Cookie操纵:深入解析模拟登录与维持会话技巧
后端
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03OpenClaw Chrome扩展使用教程 - 浏览器中继控制04Linux下V2Ray安装配置指南05使用 1panel面板 部署 php网站06从零搭建一个 PHP 登录注册系统(含完整源码)07UV安装并设置国内源08openclaw配置教程(linux+局域网ollama)09Vue-skills的中文文档10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南