SpringBoot3整合SpringSecurity6，它默默干了哪些操作？

写在前面 第一节中，我们基本上就引入SpringSecurity依赖，其他什么都没做就完成了认证功能。 之所以我们不用做什么，是因为SpringSecurity默认实现了很多功能。 当然了，这里默认实现都是基于内存的用户认证，即用户都是创建在内存当中的，实际应用都是基于数据库的。 小伙伴们不用着急，只要我们理解了基于内存的用户认证，那基于数据库也是一样的原理，不同的只是一个从内存中获取用户信息，一个从数据库中获取用户信息而已。 接下来，我们来简单看看其基本原理。 一、官方文档 官方文档对SpringSecurity 实现原理其实写的挺详细了。感兴趣的小伙伴可以点下面链接查看 https://docs.spring.io/spring-security/reference/servlet/architecture.html 但对于不少初学者，看官方文档可能会比较吃力。 所以晓凡将其简化，请接着往下看. 二、原理初探 我们以上一篇文章中案例，来看一下SpringSecurity流程。 SpringSecurity的原理其实就是一个过滤器链,如下图所示，每个过滤器各司其职。 上图中，并没有将所有过滤器都例举出来，刚开始，也没必要了解所有过滤器。 下面，我们来看看这几个主要过滤器 ① UsernamePasswordAuthenticationFilter 这个过滤器处理用户登录的请求。 就像是保安检查你的门禁卡和密码，确认你是不是小区的合法居民。 ② ExceptionTranslationFilter 这个过滤器捕获安全相关的异常，并将其转换为HTTP响应。 就像是保安发现了问题，他会采取相应的措施，比如不让你进入或者给你一个警告信息。 ③ FilterSecurityInterceptor 这个过滤器是授权的核心，它决定用户是否有权限执行特定的请求。 就像是保安检查你有没有权限去某个特定的区域。 三、 DefaultSecurityFilterChain类 为啥SpringSecurity默认帮我们实现那么多，其实主要是DefaultSecurityFilterChain的功劳，它加载了默认的15个Filter。 ① 我们在源码中找到DefaultSecurityFilterChain 类，并如下图所示加上断点看一下 ② 程序启动后，默认加载15个过滤器 四、各个过滤器作用 这里将例举出15个过滤器的作用，小伙伴们简单了解即可，切忌死记硬背，用得多了自然就记住了。 过滤器 作用 DisableEncodeUrlFilter 用来禁用URL编码。有时候，为了防止CSRF攻击，Spring Security会对重定向的URL进行编码。但如果你确定你的应用环境是安全的，可以用这个过滤器来禁用这个功能。 WebAsyncManagerIntegrationFilter 确保异步请求也能正确处理安全上下文。就像是小区保安需要确保即使是快递或者外卖这样的非正常访问，也能被正确地记录和管理。 SecurityContextHolderFilter 确保每个请求都能正确地获取到安全上下文，也就是知道当前是谁在访问。就像是小区保安需要知道是谁在小区里。 HeaderWriterFilter 会在HTTP响应中添加一些安全相关的头部，比如防止XSS攻击的头部。就像是小区保安会在小区的围墙上安装一些安全设备。 CsrfFilter 防止跨站请求伪造攻击，确保用户的操作是他们自己发起的。就像是小区保安会检查每个人的出入证，确保他们不是被坏人操控。 LogoutFilter 处理用户注销的请求，清除用户的身份信息。就像是小区保安在居民离开时，会注销他们的临时通行证。 UsernamePasswordAuthenticationFilter 处理基于用户名和密码的登录请求。就像是小区保安检查居民的门禁卡和密码。 DefaultLoginPageGeneratingFilter 在需要时生成默认的登录页面。就像是小区保安会给没有门禁卡的访客一个标准的表格来填写信息。 DefaultLogoutPageGeneratingFilter 在需要时生成默认的注销页面。就像是小区保安会给需要离开的居民一个标准的流程来完成注销。 BasicAuthenticationFilter 处理基本的身份验证，也就是基于用户名和密码的认证，但不加密。就像是小区保安检查居民的未加密的门禁卡和密码。 RequestCacheAwareFilter 记住用户最初的请求，如果因为认证被重定向，认证成功后可以回到最初的页面。就像是小区保安记得你最初想去的地方，即使你需要去验证身份，回来后他还能指引你去那里。 SecurityContextHolderAwareRequestFilter 确保每个请求都能正确地访问到安全上下文。就像是小区保安确保每个访客都能被正确地记录和管理。 AnonymousAuthenticationFilter 为匿名用户创建一个认证 token。就像是小区保安会给没有门禁卡的访客一个临时的通行证。 ExceptionTranslationFilter 捕获安全相关的异常，并将其转换为HTTP响应，比如401未授权或403禁止访问。就像是小区保安在发现问题时，会采取相应的措施，比如不让进入或者给出一个错误信息。 AuthorizationFilter 负责检查用户是否有权限执行特定的请求。就像是小区保安会检查你有没有权限去某个特定的区域。 五、基于内存的用户认证 在上面流程图中，我们提到了UsernamePasswordAuthenticationFilter 这个过滤器。用户认证就是在这个过滤器中完成的。 这个过滤器的职责就是：将内存中的用户信息获取出来，再和我们界面上输入的用户名和密码进行比较。 如果比较成功，认证成功，允许用户访问资源；如果比较失败，用户认证失败，拒绝访问。 5.1 认证流程 用户提交登录请求：用户在登录页面输入用户名和密码，然后提交给服务器。 UsernamePasswordAuthenticationFilter拦截用户请求：这个过滤器会拦截登录请求，从请求中提取用户名和密码，创建一个UsernamePasswordAuthenticationToken对象。 AuthenticationManager处理认证：UsernamePasswordAuthenticationFilter将UsernamePasswordAuthenticationToken传递给AuthenticationManager进行认证。 ProviderManager遍历AuthenticationProvider：AuthenticationManager的默认实现ProviderManager会遍历所有的AuthenticationProvider，找到能够处理UsernamePasswordAuthenticationToken的DaoAuthenticationProvider。 DaoAuthenticationProvider认证：DaoAuthenticationProvider会调用UserDetailsService的loadUserByUsername方法获取用户信息，然后使用PasswordEncoder对比密码。 认证成功或失败： 如果密码正确，DaoAuthenticationProvider会创建一个新的Authentication对象，包含用户的权限信息，返回给AuthenticationManager。 如果密码不正确，会抛出BadCredentialsException异常。 SecurityContextHolder设置认证信息：认证成功后，AuthenticationManager会将认证信息设置到SecurityContextHolder中。 用户登录成功：用户登录成功后，就可以访问系统资源了。 5.2 代码实现 相信通过上面流程图，大家对认证流程已经很清楚了。 下面我们看看怎么把用户存入内存中，我们参照官方给出的实例即可 https://docs.spring.io/spring-security/reference/servlet/configuration/java.html ①创建一个WebSecurityConfig配置类： ②然后定义一个@Bean，类型是UserDetailsService，实现是InMemoryUserDetailsManager 具体代码如下 @Configuration //标明这个类为配置类，spring应用程序一启动，类中的been 就会被初始化在spring容器中 @EnableWebSecurity //开启spring security 自定义配置 public class WebSecurityConfig { @Bean public UserDetailsService userDetailsService(){ //1、创建基于内存的用户管理器 InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager(); // 3、将第二步创建的UserDetail对象交给UserDetailsManager 管理 inMemoryUserDetailsManager.createUser( //2、创建UserDetail 对象，用于管理用户名、用户密码、用户角色、用户权限 //下面代码创建了一个用户名为user,密码为123456，角色为user的用户对象 User.withDefaultPasswordEncoder() .username("user") .password("123456") .roles("user") .build()); return inMemoryUserDetailsManager; } } 通过上面配置类，在程序启动的时候。就会将用户名：user 密码：123456 角色：user这样一个用户存入内存中。 当用户想要获取资源时，就会走5.1小节认证流程。 六、小结 通过这篇的学习，我们知道了SpringSecurity 默认为我们干了些啥？基于内存的认证是怎么实现的？ 当然了，实际开发中，我们不可能把用户存于内存中，而是需要将用户存于数据库中。通过数据库获取用户和权限信息。 由于文章篇幅原因，这篇就到这儿了。下一篇我们来看看实际开发中，怎么基于数据库进行认证。