1、什么是Spring Security核心功能Spring Security是一个基于 Spring 框架的安全框架提供了完整的安全解决方案包括认证、授权、攻击防护等功能。其核心功能包括认证提供了多种认证方式如表单认证、HTTP Basic认证、OAuth2认证等可以与多种身份验证机制集成。授权提供了多种授权方式如角色授权、基于表达式的授权等可以对应用程序中的不同资源进行授权。攻击防护提供了多种防护机制如跨站点请求伪造CSRF防护、注入攻击防护等。会话管理提供了会话管理机制如令牌管理、并发控制等。监视与管理提供了监视与管理机制如访问日志记录、审计等。Spring Security通过配置安全规则和过滤器链来实现以上功能可以轻松地为Spring应用程序提供安全性和保护机制。2、认证和授权有什么区别认证Authentication是验证用户身份的过程通常涉及到用户名和密码的检查。成功认证后用户将获得一个认证令牌用于后续的授权过程。授权Authorization是确定用户是否具有访问特定资源或执行特定操作的权限的过程。系统基于用户的角色、权限或访问控制列表ACL来判断用户是否具有访问权限。3、请简要介绍 Spring Security 的架构Spring Security 的架构主要由以下组件组成SecurityContextHolder存储与当前线程关联的安全上下文。Authentication表示用户的认证信息。UserDetails表示用户的详细信息。UserDetailsService用于加载用户详细信息的接口。AuthenticationManager负责处理认证请求。AccessDecisionManager负责授权决策。FilterChainProxy负责处理 HTTP 请求的过滤器链。SecurityFilterChain由一系列安全过滤器组成的链。4、什么是SecurityContextHolderSecurityContextHolder 是一个用于存储与当前线程关联的安全上下文的类。它使用 ThreadLocal 机制来存储 SecurityContext。SecurityContext 包含了当前用户的认证信息如 Authentication 对象。5、如何在 Spring Security 中自定义认证逻辑要在 Spring Security 中自定义认证逻辑需要实现 AuthenticationProvider 接口并在 configure() 方法中将自定义的 AuthenticationProvider 添加到 AuthenticationManagerBuilderConfiguration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { Autowired private CustomAuthenticationProvider customAuthenticationProvider; Override protected void configure(AuthenticationManagerBuilder auth) { auth.authenticationProvider(customAuthenticationProvider); } }6、如何在 Spring Security 中使用基于角色的访问控制要在 Spring Security 中使用基于角色的访问控制可以在 configure() 方法中配置 HttpSecurityConfiguration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers(/admin/**).hasRole(ADMIN) .antMatchers(/user/**).hasRole(USER) .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); }在这个示例中我们配置了两个基于角色的访问控制规则/admin/** 路径只允许具有 ADMIN 角色的用户访问。/user/** 路径只允许具有 USER 角色的用户访问。7、如何防止跨站请求伪造CSRF攻击Spring Security 默认启用了 CSRF 防护。要禁用 CSRF 防护可以在 configure() 方法中配置 HttpSecurityConfiguration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } }但是通常不推荐禁用 CSRF 防护。如果确实需要禁用 CSRF 防护请确保您了解可能带来的安全风险。8、Spring Security如何支持 OAuth2Spring Security 支持 OAuth2 通过 spring-security-oauth2 模块。要在 Spring Security 中使用 OAuth2需要引入相关依赖并进行相应的配置。主要有以下几个方面配置 OAuth2 服务器通过 EnableAuthorizationServer 注解启用 OAuth2 授权服务器。配置 OAuth2 客户端通过 EnableOAuth2Client 注解启用 OAuth2 客户端。配置 OAuth2 资源服务器通过 EnableResourceServer 注解启用 OAuth2 资源服务器。9、如何在 Spring Security 中实现 JWT 认证要在 Spring Security 中实现基于 JWTJSON Web Token的认证需要执行以下步骤引入 JWT 相关依赖如 jjwt。实现一个用于生成和解析 JWT 的工具类。创建一个自定义的 AuthenticationFilter用于从请求头中提取 JWT 并进行认证。在 SecurityConfig 类中配置 HttpSecurity将自定义的 AuthenticationFilter 添加到过滤器链。以下是一个简单的示例Configuration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { Autowired private JwtAuthenticationFilter jwtAuthenticationFilter; Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .anyRequest().authenticated(); } }在这个示例中我们禁用了 CSRF 防护和会话管理然后将自定义的 JwtAuthenticationFilter 添加到过滤器链。10、Spring Security原理Spring Security是一个基于Spring框架的安全性认证和授权框架它提供了全面的安全性解决方案可以保护Web应用程序中的所有关键部分。Spring Security的核心原理是拦截器Filter。Spring Security会在Web应用程序的过滤器链中添加一组自定义的过滤器这些过滤器可以实现身份验证和授权功能。当用户请求资源时Spring Security会拦截请求并使用配置的身份验证机制来验证用户身份。如果身份验证成功Spring Security会授权用户访问所请求的资源。Spring Security的具体工作原理如下用户请求Web应用程序的受保护资源。Spring Security拦截请求并尝试获取用户的身份验证信息。如果用户没有经过身份验证Spring Security将向用户显示一个登录页面并要求用户提供有效的凭据用户名和密码。一旦用户提供了有效的凭据Spring Security将验证这些凭据并创建一个已认证的安全上下文SecurityContext对象。安全上下文对象包含已认证的用户信息包括用户名、角色和授权信息。在接下来的请求中Spring Security将使用已经认证的安全上下文对象来判断用户是否有权访问受保护的资源。如果用户有权访问资源Spring Security将允许用户访问资源否则将返回一个错误信息。11、有哪些控制请求访问权限的方法在Spring Security中可以使用以下方法来控制请求访问权限permitAll()允许所有用户访问该请求不需要进行任何身份验证。denyAll()拒绝所有用户访问该请求。anonymous()允许匿名用户访问该请求。authenticated()要求用户进行身份验证但是不要求用户具有任何特定的角色。hasRole(String role)要求用户具有特定的角色才能访问该请求。hasAnyRole(String... roles)要求用户具有多个角色中的至少一个角色才能访问该请求。hasAuthority(String authority)要求用户具有特定的权限才能访问该请求。hasAnyAuthority(String... authorities)要求用户具有多个权限中的至少一个权限才能访问该请求。可以将这些方法应用于Spring Security的配置类或者在Spring Security注解中使用。12、校验流程图