Spring Security 深度解析:打造坚不可摧的用户认证与授权系统

news2025/5/11 17:58:26

Spring Security 深度解析:打造坚不可摧的用户认证与授权系统

一、引言

在当今数字化时代,构建安全可靠的用户认证与授权系统是软件开发中的关键任务。Spring Security 作为一款功能强大的 Java 安全框架,为开发者提供了全面的解决方案。本文将深入解析 Spring Security 的核心原理,通过详细代码实例,展示如何打造坚不可摧的用户认证与授权系统。

二、Spring Security 核心架构

(一)安全过滤器链

Spring Security 使用一系列过滤器来处理请求,实现安全功能。这些过滤器按顺序排列,每个过滤器负责不同的任务。例如:

public class CustomFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        // 自定义安全逻辑
        filterChain.doFilter(request, response);
    }
}

在 Spring Security 配置中,可以通过重写 configure 方法来添加自定义过滤器。

(二)认证与授权流程

  1. 认证流程 :用户提交用户名和密码,Spring Security 的 AuthenticationManager 验证凭据,生成 Authentication 对象。
  2. 授权流程 :在用户认证成功后,根据用户角色和权限,控制对资源的访问。
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated()
        .and()
        .formLogin()
        .and()
        .logout();
}

三、用户认证实现

(一)基于数据库的用户认证

  1. 数据库表设计 :创建用户表(users)和角色表(authorities),并建立关联关系。
  2. 自定义用户详情服务 :实现 UserDetailsService 接口,加载用户信息。
@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), getAuthorities(user));
    }

    private Collection<? extends GrantedAuthority> getAuthorities(User user) {
        return user.getRoles().stream()
                .map(role -> new SimpleGrantedAuthority("ROLE_" + role.getName()))
                .collect(Collectors.toList());
    }
}

(二)基于 JWT 的认证

  1. JWT 生成与解析 :使用 JWT 库生成和解析令牌。
  2. 自定义过滤器 :在请求头中提取 JWT 令牌,并进行验证。
public class JwtAuthenticationFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String token = request.getHeader("Authorization");
        if (token != null && token.startsWith("Bearer ")) {
            String jwt = token.substring(7);
            try {
                // 解析 JWT 并验证
                Claims claims = Jwts.parser().setSigningKey("secretKey").parseClaimsJws(jwt).getBody();
                // 设置用户信息
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                        claims.getSubject(), null, getAuthorities(claims));
                SecurityContextHolder.getContext().setAuthentication(authentication);
            } catch (ExpiredJwtException e) {
                // 处理过期令牌
            }
        }
        filterChain.doFilter(request, response);
    }

    private List<GrantedAuthority> getAuthorities(Claims claims) {
        // 从 JWT 中提取角色信息
        return null;
    }
}

四、授权控制实现

(一)基于角色的访问控制(RBAC)

  1. 定义角色和权限 :在系统中定义不同角色(如管理员、用户等),并为每个角色分配相应的权限。
  2. 使用注解进行方法级授权 :在控制器方法上使用 @PreAuthorize 注解,控制访问权限。
@RestController
@RequestMapping("/admin")
public class AdminController {
    @PreAuthorize("hasRole('ADMIN')")
    @GetMapping("/dashboard")
    public String getAdminDashboard() {
        return "Admin Dashboard";
    }
}

(二)基于表达式的访问控制

  1. 编写自定义表达式 :通过实现 AuthorizationRule 接口,创建自定义授权规则。
  2. 在配置中使用表达式 :在 configure 方法中,使用 expressionHandler 来指定自定义表达式处理器。
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.expressionHandler(new CustomWebSecurityExpressionHandler());
    // 其他配置
}

五、安全加固与优化

(一)防止常见安全漏洞

  1. CSRF 攻击防护 :在 Spring Security 配置中启用 CSRF 保护。
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    // 其他配置
}
  1. XSS 攻击防护 :对用户输入进行过滤和编码。
@InitBinder
public void initBinder(WebDataBinder binder) {
    binder.registerCustomEditor(String.class, new StringTrimmerEditor(true));
}

(二)性能优化

  1. 缓存用户信息 :使用缓存(如 Redis)存储用户信息,减少数据库查询。
  2. 异步认证处理 :对认证请求进行异步处理,提高响应速度。
@Async
public CompletableFuture<UserDetails> loadUserByUsernameAsync(String username) {
    return CompletableFuture.supplyAsync(() -> customUserDetailsService.loadUserByUsername(username));
}

六、结语

通过深入解析 Spring Security 的核心架构和关键功能,我们展示了如何构建一个健壮的用户认证与授权系统。在实际开发中,应根据具体需求灵活运用 Spring Security 的特性,并不断关注安全漏洞和性能优化。只有这样,才能为用户提供更安全可靠的服务。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2373312.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Selenium模拟人类行为,操作网页的方法(全)

Selenium模拟人类行为,操作网页的方法(全)

看到有朋友评论问&#xff0c;用selenium怎么模仿人类行为&#xff0c;去操作网页的页面呢&#xff1f; 我想了想&#xff0c;这确实是一个很大的点&#xff0c;不应该是一段代码能解决的&#xff0c; 就像是,如果让程序模拟人类的行为。例如模拟人类买菜&#xff0c;做饭&am…
阅读更多...
右值引用的剖析

右值引用的剖析

引入&#xff1a;为什么要有右值引用&#xff1f; 右值引用的存在&#xff0c;就是为了解决左值引用解决不了的问题&#xff01; 左值引用的问题&#xff1a; 我们知道&#xff0c;左值引用在做参数和做返回值都可以提高效率&#xff1b;但是有时候&#xff0c;我们无法用左…
阅读更多...
高效Python开发:uv包管理器全面解析

高效Python开发:uv包管理器全面解析

目录 uv简介亮点与 pip、pip-tools、pipx、poetry、pyenv、virtualenv 对比 安装uv快速开始uv安装pythonuv运行脚本运行无依赖的脚本运行有依赖的脚本创建带元数据的 Python 脚本使用 shebang 创建可执行文件使用其他package indexes锁定依赖提高可复现性指定不同的 Python 版本…
阅读更多...
【Linux系统编程】进程属性--进程状态

【Linux系统编程】进程属性--进程状态

1.进程的状态 1.1进程的状态在PCB中就是一个变量 一般用宏来定义&#xff0c;例如&#xff1a; #define RUNNING 1 #define BLOCK 2 struct task_struct中的int status 1.2并行和并发 CPU执行代码&#xff0c;不是把进程代码执行完毕&#xff0c;才执行下一个&#xff0…
阅读更多...
高精度之加减乘除之多解总结(加与减篇)

高精度之加减乘除之多解总结(加与减篇)

开篇总述&#xff1a;精度计算的教学比较杂乱&#xff0c;无系统的学习&#xff0c;且存在同法多线的方式进行同一种运算&#xff0c;所以我写此篇的目的只是为了直指本质&#xff0c;不走教科书方式&#xff0c;步骤冗杂。 一&#xff0c;加法 我在此讲两种方法&#xff1a; …
阅读更多...
dify插件接入fastmcp示例

dify插件接入fastmcp示例

文章目录 1. 使用python完成mcp服务1.1 准备环境&#xff08;python安装fastmcp&#xff09;1.2 mcp服务端示例代码1.3 启动mcp服务端 2. dify接入2.1 安装MCP SSE和 Agent 策略&#xff08;支持 MCP 工具&#xff09; 插件2.2 dify agent插件配置mcp:2.3 mcp服务配置&#xff…
阅读更多...
c++——二叉树进阶

c++——二叉树进阶

1. 内容安排说明 二叉树在前面C数据结构阶段已经讲过&#xff0c;本节取名二叉树进阶是因为&#xff1a; 1. map和set特性需要先铺垫二叉搜索树&#xff0c;而二叉搜索树也是一种树形结构 2. 二叉搜索树的特性了解&#xff0c;有助于更好的理解map和set的特性 3. 二叉树中部…
阅读更多...
基于flask+pandas+csv的报表实现

基于flask+pandas+csv的报表实现

基于大模型根据提示词去写SQL执行SQL返回结果输出报表技术上可行的&#xff0c;但为啥还要基于pandas去实现呢&#xff1f; 原因有以下几点&#xff1a; 1、大模型无法满足实时性输出报表的需求&#xff1b; 2、使用大模型比较适合数据量比较大的场景&#xff0c;大模型主要…
阅读更多...
PySide6 GUI 学习笔记——常用类及控件使用方法(常用类字体QFont)

PySide6 GUI 学习笔记——常用类及控件使用方法(常用类字体QFont)

文章目录 一、QFont常用方法二、常用方法总结1. 基础属性设置2. 高级样式控制3. 序列化与反序列化4. 字体信息获取 三、应用实例 字体类QFont用于设置界面控件上显示的字体&#xff0c;它包含字体名称、字体尺寸、粗体字、斜体字、删除线、上划线、下划线、字体间距等属性。 如…
阅读更多...
宝塔服务安装使用的保姆级教程

宝塔服务安装使用的保姆级教程

宝塔介绍&#xff1a; 宝塔面板&#xff08;BT Panel&#xff09; 是一款 国产的服务器运维管理面板&#xff0c;主要用于简化 Linux/Windows 服务器的网站、数据库、FTP、防火墙等管理操作。它通过图形化界面&#xff08;Web端&#xff09;和命令行工具&#xff08;bt 命令&a…
阅读更多...
Linux平台下SSH 协议克隆Github远程仓库并配置密钥

Linux平台下SSH 协议克隆Github远程仓库并配置密钥

目录 注意&#xff1a;先提前配置好SSH密钥&#xff0c;然后再git clone 1. 检查现有 SSH 密钥 2. 生成新的 SSH 密钥 3. 将 SSH 密钥添加到 ssh-agent 4. 将公钥添加到 GitHub 5. 测试 SSH 连接 6. 配置 Git 使用 SSH 注意&#xff1a;先提前配置好SSH密钥&#xff0c;然…
阅读更多...
Java【网络原理】(5)深入浅出HTTPS:状态码与SSL/TLS加密全解析

Java【网络原理】(5)深入浅出HTTPS:状态码与SSL/TLS加密全解析

目录 1.前言 2.正文 2.1状态码 2.2HTTP与HTTPS的关系 2.3SSL协议 2.3.1对称加密 2.3.2非对称加密 2.3.3中间人攻击 2.3.4校验机制 2.3.4.1证书 2.3.4.2数字签名 1. 数字签名的生成过程 2. 数字签名的验证过程 2.4TLS协议&#xff08;握手过程&#xff09; 3.小结…
阅读更多...
【基础IO下】磁盘/软硬链接/动静态库

【基础IO下】磁盘/软硬链接/动静态库

前言&#xff1a; 文件分为内存文件和磁盘文件。磁盘文件是一个特殊的存在&#xff0c;因为磁盘文件不属于冯诺依曼体系&#xff0c;而是位于专门的存储设备中。因此&#xff0c;磁盘文件存在的意义是将文件更好的存储起来&#xff0c;一边后续对文件进行访问。在高效存储磁盘…
阅读更多...
SpringBoot项目容器化进行部署,meven的docker插件远程构建docker镜像

SpringBoot项目容器化进行部署,meven的docker插件远程构建docker镜像

需求&#xff1a;将Spring Boot项目使用容器化进行部署 前提 默认其他环境,如mysql,redis等已经通过docker部署完毕, 这里只讨论,如何制作springboot项目的镜像 要将Spring Boot项目使用docker容器进行部署&#xff0c;就需要将Spring Boot项目构建成一个docker镜像 一、手动…
阅读更多...
【小记】excel vlookup一对多匹配

【小记】excel vlookup一对多匹配

一个学生报四门课&#xff0c;输出每个学生课程 应用概述操作预处理数据计数指令 COUNTIFS进行一对多匹配 vlookup 应用概述 应用场景&#xff1a;学生报名考试&#xff0c;需要整理成指定格式&#xff0c;发给考试院。 一个学生最多报考四门 格式实例&#xff1a;准考证号 …
阅读更多...
LeetCode热题100 两数之和

LeetCode热题100 两数之和

目录 两数之和题目解析方法一暴力求解代码 方法二哈希代码 感谢各位大佬对我的支持,如果我的文章对你有用,欢迎点击以下链接 &#x1f412;&#x1f412;&#x1f412; 个人主页 &#x1f978;&#x1f978;&#x1f978; C语言 &#x1f43f;️&#x1f43f;️&#x1f43f;…
阅读更多...
[春秋云镜] Brute4Road 仿真场景

[春秋云镜] Brute4Road 仿真场景

文章目录 靶标介绍&#xff1a;知识点约束性委派攻击 外网redis主从复制base64提权 内网搭建代理wpcargo插件漏洞mssql弱口令SweetPotato提权远程桌面连接mimikatz抓取hash约束性委派攻击 参考文章 靶标介绍&#xff1a; Brute4Road是一套难度为中等的靶场环境&#xff0c;完成…
阅读更多...
鸿蒙系统使用ArkTS开发语言支持身份证阅读器、社保卡读卡器等调用二次开发SDK

鸿蒙系统使用ArkTS开发语言支持身份证阅读器、社保卡读卡器等调用二次开发SDK

har库导入&#xff1a; { "license": "", "devDependencies": {}, "author": "", "name": "entry", "description": "Please describe the basic information.", &qu…
阅读更多...
《Python星球日记》 第54天:卷积神经网络进阶

《Python星球日记》 第54天:卷积神经网络进阶

名人说&#xff1a;路漫漫其修远兮&#xff0c;吾将上下而求索。—— 屈原《离骚》 创作者&#xff1a;Code_流苏(CSDN)&#xff08;一个喜欢古诗词和编程的Coder&#x1f60a;&#xff09; 目录 一、深度CNN架构解析1. LeNet-5&#xff08;1998&#xff09;2. AlexNet&#x…
阅读更多...
《AI大模型应知应会100篇》第53篇:Hugging Face生态系统入门

《AI大模型应知应会100篇》第53篇:Hugging Face生态系统入门

第53篇&#xff1a;Hugging Face生态系统入门 ——从模型获取到部署的全流程实战指南 &#x1f4cc; 摘要 在人工智能快速发展的今天&#xff0c;Hugging Face已成为自然语言处理&#xff08;NLP&#xff09;领域最具影响力的开源平台之一。它不仅提供丰富的预训练模型、强大…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023