Spring Security 源码详解

Spring Security 是一个强大的、可高度自定义的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的实际标准。Spring Security 的主要目标是提供身份验证和授权服务，同时尽可能地减少对应用程序代码的影响。

Spring Security 的核心是两个主要区域：身份验证和授权，或者可以说是"谁是你"和"你能做什么"。

身份验证是建立一个系统主体（principal）的过程。在 Spring Security 中，这通常是通过一个用户名和密码的形式完成的，但也可以是任何可以证明主体是谁的方法。

授权是决定一个主体是否允许进行一个特定的安全相关操作（例如，访问一个 web 资源或执行一个方法）。

Spring Security 的设计是模块化的，你可以只使用你需要的部分，并且可以扩展和插入自己的实现，以满足特定的需求。

Spring Security 的主要组件包括：

SecurityContextHolder：这是 Spring Security 的核心，它存储了当前用户的详细信息。这些信息通常是在用户登录时设置的，并且可以在应用程序的任何地方访问。
Authentication：这是一个接口，表示用户的身份和凭证。最常见的实现是 UsernamePasswordAuthenticationToken。
GrantedAuthority：这是一个接口，表示授予认证主体的权限。这些权限通常是在用户登录时加载的。
UserDetailsService：这是一个接口，定义了如何检索用户的详细信息。最常见的实现是从数据库加载用户的详细信息。
PasswordEncoder：这是一个接口，定义了如何加密和比较密码。Spring Security 提供了多种实现，包括 BCryptPasswordEncoder 和 Pbkdf2PasswordEncoder。
FilterSecurityInterceptor：这是一个过滤器，它处理安全决策的所有工作。它使用 AccessDecisionManager 和 SecurityMetadataSource 来做出决定。
AccessDecisionManager：这是一个接口，定义了 Spring Security 如何做出授权决定。最常见的实现是 AffirmativeBased。
SecurityMetadataSource：这是一个接口，定义了如何获取安全元数据（即，哪些 URL 需要什么样的权限）。

Spring Security 的工作流程是这样的：

用户首先发送一个请求到应用程序。
SecurityFilterChain 开始处理这个请求。这个过滤器链包含了一系列的 Spring Security 过滤器，每个过滤器都有一个特定的任务。
如果用户没有认证，他们将被重定向到登录页面。
用户提交他们的用户名和密码，这些信息被 AuthenticationFilter 捕获。
AuthenticationFilter 然后使用 UserDetailsService 加载用户的详细信息，并使用 PasswordEncoder 比较提交的密码和存储的密码。
如果密码匹配，一个 Authentication 对象将被创建并存储在 SecurityContextHolder 中。
用户再次发送他们的请求，这次他们已经被认证。
FilterSecurityInterceptor 检查用户是否有足够的权限来访问请求的资源。
如果用户有足够的权限，他们将被允许访问资源。否则，他们将看到一个错误页面。

这就是 Spring Security 的基本工作原理。它提供了一个强大的框架，可以很容易地添加到任何基于 Spring 的应用程序中，以提供身份验证和授权服务。

海外免备案云服务器链接：www.tsyvps.com

蓝易云香港五网 CN2 GIA/GT 精品网络服务器。拒绝绕路，拒绝不稳定。

发布于: 刚刚阅读数: 2