一、Spring Security 概述Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架是 Spring 生态系统中保护基于 Java 的应用程序的事实标准。它为 Java 应用程序提供了全面的安全服务包括但不限于1.1 核心功能认证(Authentication)验证用户身份授权(Authorization)控制访问权限防护功能防范常见攻击如 CSRF、会话固定等2.2 主要特性支持多种认证方式表单登录、HTTP 基本认证、OAuth2.0、LDAP等细粒度的权限控制方法级安全、URL访问控制与Spring深度集成无缝支持Spring Boot、Spring MVC等框架可扩展架构允许自定义认证逻辑和用户存储1.3 典型应用场景Web应用安全防护REST API安全微服务安全架构单点登录(SSO)实现1.4 核心组件2. 核心组件2.1 SecurityContext安全上下文存储当前认证用户信息通过SecurityContextHolder访问。2.2 Authentication代表认证请求或已认证的主体包含2.3 UserDetails封装用户信息的核心接口自定义用户类通常需要实现此接口。2.4 UserDetailsService加载用户特定数据的核心接口通常需要自定义实现从数据库加载用户信息。2.5 GrantedAuthority表示授予Authentication对象的权限。3. 基本配置3.1 依赖配置dependency groupIdorg.springframework.boot/groupId artifactIdspring-boot-starter-security/artifactId /dependency3.2 基础安全配置Configuration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers(/, /home).permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage(/login) .permitAll() .and() .logout() .permitAll(); } Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser(user).password({noop}password).roles(USER) .and() .withUser(admin).password({noop}admin).roles(ADMIN); } }4. 认证流程5. 授权控制5.1 URL级别授权Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers(/admin/**).hasRole(ADMIN) .antMatchers(/user/**).hasAnyRole(USER, ADMIN) .antMatchers(/public/**).permitAll() .anyRequest().authenticated(); }5.2 方法级别授权PreAuthorize(hasRole(ADMIN)) public void deleteUser(Long userId) { // 删除用户逻辑 } PostAuthorize(returnObject.owner authentication.name) public Document getDocument(Long docId) { // 获取文档逻辑 }6. 密码加密Spring Security推荐使用BCryptPasswordEncoderBean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); }使用示例// 加密密码 String encodedPassword passwordEncoder.encode(rawPassword); // 验证密码 boolean matches passwordEncoder.matches(rawPassword, encodedPassword);7. CSRF防护Spring Security默认启用CSRF防护对于表单提交需要添加CSRF令牌input typehidden name${_csrf.parameterName} value${_csrf.token}/对于REST API可以考虑禁用CSRFOverride protected void configure(HttpSecurity http) throws Exception { http.csrf().disable(); }SecurityContext保存当前安全上下文AuthenticationManager认证核心接口二、Spring Security基础1. Spring Security概述Spring Security是Spring框架的一个安全模块为基于Java的企业应用提供了全面的安全服务。它主要解决认证(Authentication)和授权(Authorization)两大核心安全问题。主要特性支持多种认证方式表单登录、HTTP基本认证、OAuth2等细粒度的权限控制基于角色、权限表达式等防止常见安全攻击CSRF、XSS、会话固定等与Spring框架无缝集成支持方法级安全控制提供Remember-Me功能可扩展性强支持自定义安全逻辑principal用户身份通常是UserDetailscredentials凭证如密码authorities授予的权限用户提交凭据用户名/密码AuthenticationFilter接收请求并创建Authentication对象AuthenticationManager委托AuthenticationProvider进行认证UserDetailsService加载用户信息PasswordEncoder验证密码认证成功后将Authentication对象存入SecurityContext后续请求通过SecurityContext获取认证信息UserDetailsService用户信息加载接口SecurityFilterChain安全过滤器链1.5 发展历程起源于2003年的Acegi Security项目2008年正式并入Spring框架持续更新至今支持最新安全标准和协议Spring Security 通过其模块化设计既能为简单应用提供开箱即用的安全方案也能为复杂企业系统提供定制化的安全架构。Component public class AuthenticationEventListener { EventListener public void handleSuccessfulAuthentication( AuthenticationSuccessEvent event) { // 处理认证成功事件 String username event.getAuthentication().getName(); log.info(用户 {} 登录成功, username); } EventListener public void handleFailedAuthentication( AbstractAuthenticationFailureEvent event) { // 处理认证失败事件 String username event.getAuthentication().getName(); log.warn(用户 {} 登录失败: {}, username, event.getException().getMessage()); } }三、Spring Security登录认证3.1 基本认证流程Spring Security的登录认证流程主要包含以下关键步骤用户提交凭证用户通过表单提交用户名和密码过滤器链处理UsernamePasswordAuthenticationFilter拦截请求认证管理器处理AuthenticationManager委托AuthenticationProvider进行认证用户详情服务UserDetailsService加载用户信息密码校验PasswordEncoder进行密码匹配认证结果处理成功或失败的后续处理3.2 核心组件3.2.1 AuthenticationManager认证管理器是认证处理的入口点通常使用ProviderManager实现3.2.2 AuthenticationProvider认证提供者具体实现认证逻辑如DaoAuthenticationProvider基于数据库的认证LdapAuthenticationProvider基于LDAP的认证JwtAuthenticationProvider基于JWT的认证3.2.3 UserDetailsService用户详情服务接口负责根据用户名加载用户信息典型实现Service public class CustomUserDetailsService implements UserDetailsService { Override public UserDetails loadUserByUsername(String username) { // 从数据库或其他数据源加载用户信息 User user userRepository.findByUsername(username); if (user null) { throw new UsernameNotFoundException(用户不存在); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), user.getAuthorities() ); } }3.2.4 PasswordEncoder密码编码器用于密码加密和校验常用实现BCryptPasswordEncoder推荐Pbkdf2PasswordEncoderSCryptPasswordEncoderArgon2PasswordEncoder3.3 配置示例3.3.1 内存认证配置Configuration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser(user).password(passwordEncoder().encode(password)).roles(USER) .and() .withUser(admin).password(passwordEncoder().encode(admin)).roles(ADMIN); } Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } }3.3.2 数据库认证配置Configuration EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { Autowired private UserDetailsService userDetailsService; Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } }3.4 自定义认证3.4.1 自定义登录页面Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers(/login).permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage(/login) // 自定义登录页 .defaultSuccessUrl(/home) // 登录成功跳转 .failureUrl(/login?errortrue) // 登录失败跳转 .permitAll(); }3.4.2 自定义认证逻辑Service public class CustomAuthenticationProvider implements AuthenticationProvider { Autowired private UserDetailsService userDetailsService; Autowired private PasswordEncoder passwordEncoder; Override public Authentication authenticate(Authentication authentication) { String username authentication.getName(); String password authentication.getCredentials().toString(); UserDetails user userDetailsService.loadUserByUsername(username); if (!passwordEncoder.matches(password, user.getPassword())) { throw new BadCredentialsException(密码错误); } return new UsernamePasswordAuthenticationToken( user, password, user.getAuthorities()); } Override public boolean supports(Class? authentication) { return authentication.equals(UsernamePasswordAuthenticationToken.class); } }3.5 认证事件处理Spring Security提供认证事件机制可以监听认证过程中的各种事件Component public class AuthenticationEventListener { EventListener public void handleSuccessfulAuthentication( AuthenticationSuccessEvent event) { // 处理认证成功事件 String username event.getAuthentication().getName(); log.info(用户 {} 登录成功, username); } EventListener public void handleFailedAuthentication( AbstractAuthenticationFailureEvent event) { // 处理认证失败事件 String username event.getAuthentication().getName(); log.warn(用户 {} 登录失败: {}, username, event.getException().getMessage()); } }3.6 常见问题CSRF保护默认启用需要确保表单中包含CSRF令牌会话固定保护默认启用登录后会创建新会话密码加密务必使用强密码编码器不要存储明文密码安全头部默认添加X-Content-Type-Options等安全头部