Spring Security + JWT + Redis 的认证授权系统

1.spring Security的作用:

  • 身份认证和授权:核心安全框架,管理用户认证和权限控制
  • 提供过滤器链:拦截请求,进行安全验证
  • 会话管理:可配置会话策略(无状态、有状态)
  • CSRF保护:防止跨站请求伪造
  • 密码加密:内置PasswordEncoder

Q1:为什么角色需要加ROLE_前缀?

Spring Security内部使用RoleVoter检查角色时,默认查找以ROLE_开头的权限。这是历史遗留约定。

2.如何自定义角色前缀?

复制代码
@Bean
public RoleHierarchy roleHierarchy() {
    RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
    roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
    return roleHierarchy;
}

@Bean
public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler() {
    DefaultWebSecurityExpressionHandler expressionHandler = new DefaultWebSecurityExpressionHandler();
    expressionHandler.setRoleHierarchy(roleHierarchy());
    expressionHandler.setDefaultRolePrefix(""); // 去掉ROLE_前缀
    return expressionHandler;
}

3.如何动态加载权限

复制代码
@Component
public class DynamicPermissionService {
    
    @Autowired
    private PermissionRepository permissionRepository;
    
    public List<ConfigAttribute> getAttributes(String url) {
        // 从数据库查询URL需要的权限
        List<Permission> permissions = permissionRepository.findByUrl(url);
        
        return permissions.stream()
            .map(p -> new SecurityConfig(p.getCode()))
            .collect(Collectors.toList());
    }
}

4.如果没有自定义登录控制器则是默认启用Spring Security自带的login(请求)

默认登录的优点:

  • 快速集成:零配置即可使用
  • 功能完整:登录、登出、记住我等功能齐全
  • 安全性能好:内置CSRF防护、会话管理

缺点:

  • 不灵活:响应格式固定(重定向)
  • 不适合前后端分离:默认返回HTML/重定向
  • 定制复杂:需要了解Spring Security内部机制

如果想让默认登录适应前后端分离项目,只需要配置.successHandler()和.failureHandler()来自定义JSON响应即可。

2.jwt作用

  • 无状态令牌:代替Session,服务端无需村粗会话信息
  • 信息自包含:Token自身包含用户信息、权限等
  • 跨域友好:适合前后端分离和微服务架构
  • 有效期控制: 通过过期时间自动失效

3.redis作用

  • Token黑名单/白名单:存储已注销但未过期的Token
  • 用户信息缓存:减少数据库查询压力
  • 登录限制:记录登录失败次数,防止暴力破解
  • 会话管理:在分布式环境下共享会话信息

4.数据流转

  • 数据流转时序图

    用户 → 前端 → Spring Security → 数据库 → JWT生成 → Redis → 响应

  • 验证流程数据流转

    登录流程:
    1.前端 → 发送用户名密码到 /api/auth/login

    2.Spring Security → AuthenticationManager 调用 authenticate()

    3.UserDetailsService → 从 MySQL 查询用户信息

    4.PasswordEncoder → 验证密码(BCrypt对比)

    5.认证成功 → 生成JWT Token(包含用户ID、用户名、角色、过期时间)

    6.Redis → 缓存用户权限信息(可选)

    7.响应 → 返回JWT给前端

  • 访问受保护接口流程

    复制代码
    1.前端 → 在Header中添加 Authorization: Bearer <token>
    
    2.JwtAuthenticationFilter → 拦截请求,验证token签名和有效期
    
    3.Redis → 检查token是否在黑名单中
    
    4.UserDetailsService → 从DB或Redis缓存加载用户权限
    
    5.SecurityContext → 设置认证信息
    
    6.Spring Security → 检查URL权限配置
    
    7.控制器 → 执行业务逻辑并返回结果
相关推荐
Flittly5 小时前
【AgentScope Java新手村系列】(16)从RAG到多路检索
java·spring boot·spring
小兔崽子去哪了5 小时前
Java 生成二维码解决方案
java·后端
人活一口气9 小时前
从JVM调优到MCP协议:Java全栈技术体系深度总结与企业级架构实践
java·spring boot
NE_STOP11 小时前
Vibe Coding -- 完整项目案例实操
java
荣码11 小时前
GraphRAG:普通RAG只能回答"点"的问题,我踩了4个坑才搞懂
java·python
SimonKing11 小时前
Google第三方授权登录
java·后端·程序员
明月光81811 小时前
从一行 @Builder 说起:重新拾起 Java 的 Lombok、注解与 Builder 模式
java
考虑考虑20 小时前
Mybatis实现批量插入
java·后端·mybatis
咖啡八杯21 小时前
GoF设计模式——中介者模式
java·后端·spring·设计模式
青石路1 天前
记一次多JDK版本问题的排查,一坑套一坑,差点没爬上来
java