【深入理解SpringCloud微服务】Spring-Security作用与原理解析

黄俊懿2025-12-25 18:05

【深入理解SpringCloud微服务】Spring-Security作用与原理解析

Spring-Security作用

Spring-Security 的作用就是给当前系统提供认证授权两大功能。

  • 认证:确认当前用户是否是本系统的用户,简单来讲就是进行登录校验,必须先登录才允许用户访问当前系统的资源。
  • 授权:确认当前用户是否有权限访问指定的资源。

Spring-Security原理

Spring-Security 的功能是基于Servlet过滤器 实现的,它的过滤器都直接或间接的继承了Spring的GenericFilterBean ,然后GenericFilterBean又实现了javax.servlet.Filter接口。

Spring-Security有一个过滤器链 (本身也是一个过滤器),串联自己的各种过滤器,当一个请求达到时,只有顺利通过了过滤器链中的所有过滤,才能访问指定的资源。

过滤器链中有许多过滤器,我们不需要全部都认识,但是有三个重要的过滤器可以了解一下。

  • UsernamePasswordAuthenticationFilter:进行认证,也就是登录,但是默认情况下只有调用Security默认的登录接口"POST /login"才有效。
  • ExceptionTranslationFilter:处理FilterChain上的异常。
  • FilterSecurityInterceptor:进行登录和权限校验。

当调用 "POST /login" 进行登录时,UsernamePasswordAuthenticationFilter 会把登录账号和密码封装为Authentication 对象,调用AuthenticationManagerauthenticate() 方法进行认证。

默认的AuthenticationManagerProviderManagerProviderManagerauthenticate() 方法会调用ProviderManager 中的AuthenticationProviderauthenticate() 方法进行认证。

ProviderManager的authenticate()方法默认会调用到DaoAuthenticationProviderauthenticate() 方法。DaoAuthenticationProvider的authenticate()方法会调用UserDetailsServiceloadUserByUsername() 方法根据用户名查询用户信息,然后调用PasswordEncoder进行密码校验。

Spring-Security实现权限控制

Spring-Security可以进行权限控制,也就是控制某些用户能访问特定的资源,某些用户则不行,也就是授权的功能。

我们可以基于RBAC模型实现用于与权限的关联,RBAC模型一共有五张表:

根据RBAC模型,就可以确定一个用户的权限集合,我们实现自定义的UserDetailsService,然后在loadUserByUsername()方法中把查询到的权限信息,然后封装到我们自定义的UserDetails实现类中。

然后接口上添加**@PreAuthorize("hasAuthority('xxx')")**主键就行了,hasAuthority里面就是权限表中的权限信息(就是一个字符串)。

Spring-Security搭配JWT

如果要在Spring-Security中使用JWT进行登录和权限校验,那么需要我们自己实现登录接口。

Spring-Security的默认登录接口"POST /login"会在UsernamePasswordAuthenticationFilter过滤器中使用AuthenticationManager进行身份认证。现在我们需要在登录接口中调用AuthenticationManager进行认证,认证通过后就使用工具类生成一个JWT,JWT的payload中需要包含userId,然后把userId和用户信息存入redis,最后返回JWT

那么引入JWT之后,如果进行校验呢?

我们需要自定义一个过滤器然后添加到Spring-Security的过滤器链中,该过滤器解析JWT获取userId,然后根据userId从redis中获取用户信息,把从redis中取得的用户信息存入SecurityContextHolder中

SecurityContextHolder会通过ThreadLocal存储SecurityContext,SecurityContext中存储的就是Authentication认证信息。

通过自定义的过滤器把用户信息存入SecurityContextHolder之后,Spring-Security的过滤器FilterSecurityInterceptor会从SecurityContextHolder中取出用户信息Authentication并验证。

相关推荐
952364 小时前
MyBatis
后端·spring·mybatis
FQNmxDG4S6 小时前
Java多线程编程:Thread与Runnable的并发控制
java·开发语言
虹科网络安全6 小时前
艾体宝干货|数据复制详解:类型、原理与适用场景
java·开发语言·数据库
axng pmje7 小时前
Java语法进阶
java·开发语言·jvm
uzong7 小时前
9 种 RAG 架构,每位 AI 开发者必学:完整实战指南
后端
rKWP8gKv77 小时前
Java微服务性能监控:Prometheus与Grafana集成方案
java·微服务·prometheus
老前端的功夫7 小时前
【Java从入门到入土】28:Stream API:告别for循环的新时代
java·开发语言·python
qq_435287927 小时前
第9章 夸父逐日与后羿射日:死循环与进程终止?十个太阳同时值班的并行冲突
java·开发语言·git·死循环·进程终止·并行冲突·夸父逐日
小江的记录本7 小时前
【Kafka核心】架构模型:Producer、Broker、Consumer、Consumer Group、Topic、Partition、Replica
java·数据库·分布式·后端·搜索引擎·架构·kafka
止语Lab7 小时前
从手动到框架:Go DI 演进的三个拐点
开发语言·后端·golang
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03Codex 接入 DeepSeek API 完整配置文档04【AI】2026 年具身智能模型和世界模型总结05裂开!ChatGPT 居然开始要手机号验证,附详细解决方法06零基础教你claude code 接入 deepseek V4072026年AI前瞻:量子AI、具身智能与科学发现的新纪元08在Windows 11上安装Docker的踩坑记录09实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲10CC-Switch & Claude 基于 Linux 服务器安装使用指南