[技术资料] Spring Boot 如何配置认证和授权？

最新推荐文章于 2025-06-01 16:23:14 发布

Doug.

最新推荐文章于 2025-06-01 16:23:14 发布

阅读量1.1k

点赞数 18

CC 4.0 BY-SA版权

文章标签： spring boot 后端 java

本文链接：https://blog.csdn.net/liliYoung_/article/details/144218359

在现代的Web应用程序中，认证和授权是保障应用安全的重要措施。Spring Boot 通过集成 Spring Security 提供了强大且灵活的认证和授权机制。本文将详细介绍如何在Spring Boot中配置认证和授权，解析Spring Security的工作原理，并展示常见的配置方法。

1. 什么是认证和授权？

认证（Authentication）：验证用户的身份，确保访问系统的请求是来自合法用户。常见的认证方式有：用户名/密码认证、令牌认证、指纹认证等。
授权（Authorization）：认证通过后，授权控制用户访问资源的权限。系统会根据用户的角色和权限来判断是否允许其访问某个特定的资源或操作。

在Spring Security框架中，认证和授权是通过过滤器链来实现的，Spring Boot通过自动化配置极大简化了这些操作。

2. Spring Security的工作原理

2.1 过滤器链

Spring Security通过一个**过滤器链（FilterChain）**来处理Web请求。每当请求到达应用时，都会通过一系列过滤器进行安全检查，过滤器链的最终目标是确保请求是来自认证用户，并且这些用户有足够的权限来访问请求的资源。

过滤器链解析

DelegatingFilterProxy：Spring Security的过滤器通过Servlet容器的DelegatingFilterProxy注册到应用中，它将过滤器链交给Spring管理。
FilterChainProxy：FilterChainProxy是Spring Security的核心类，负责管理和代理所有的过滤器，确保所有请求都会经过一系列安全检查。
SecurityFilterChain：它定义了请求匹配规则和过滤器的集合，SecurityFilterChain通过HttpSecurity来配置，确保特定请求按特定规则执行安全控制。

2.2 核心类与接口

SecurityFilterChain：定义过滤器链的接口，决定如何处理请求。
HttpSecurity：通过HttpSecurity来配置认证和授权规则，并生成SecurityFilterChain。

2.3 过滤器示例

常见的Spring Security过滤器包括：

UsernamePasswordAuthenticationFilter：负责处理用户名和密码的登录认证。
ExceptionTranslationFilter：处理访问控制异常。
FilterSecurityInterceptor：负责权限校验。

3. Spring Boot中的认证与授权配置

在Spring Boot应用中，认证与授权的配置非常简单，主要通过Spring Security提供的HttpSecurity来进行配置。以下是几种常见的认证与授权配置方式。

3.1 配置用户详情（UserDetailsService）

Spring Security通过UserDetailsService来加载用户信息，典型实现可以使用内存存储，也可以通过数据库来加载用户信息。

@Bean
public UserDetailsService userDetailsService() {
    UserDetails user1 = User.withDefaultPasswordEncoder()
                            .username("admin")
                            .password("admin123")
                            .roles("ADMIN")
                            .build();
    return new InMemoryUserDetailsManager(user1);
}

UserDetailsService接口的主要功能是通过用户名加载用户信息，Spring Security会自动将返回的UserDetails对象与认证请求进行匹配。

3.2 配置认证与授权规则

通过HttpSecurity可以配置哪些URL需要进行认证、哪些URL需要特定的角色权限访问。以下是基本的配置方式：

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/public/**").permitAll() // 公开接口，无需认证
            .antMatchers("/admin/**").hasRole("ADMIN") // 需要ADMIN角色才能访问
            .anyRequest().authenticated() // 其他所有请求都需要认证
        .and()
        .formLogin() // 启用表单登录
            .permitAll()
        .and()
        .csrf().disable(); // 禁用CSRF（根据实际情况决定）
    return http.build();
}

3.3 使用内存认证

内存认证适用于简单的应用或开发环境，可以使用内存中的InMemoryUserDetailsManager来管理用户信息。

@Bean
public UserDetailsService userDetailsService() {
    return new InMemoryUserDetailsManager(
        User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build()
    );
}

3.4 多重过滤链配置

在某些复杂场景中，可能需要为不同的URL配置不同的认证方式。例如，API接口需要使用JWT Token认证，而Web界面使用表单认证。

@Bean
@Order(1)
public SecurityFilterChain apiSecurityFilterChain(HttpSecurity http) throws Exception {
    http
        .antMatcher("/api/**")
        .authorizeRequests()
            .anyRequest().hasRole("USER")
        .and()
        .httpBasic(); // 使用HTTP Basic认证
    return http.build();
}

@Bean
@Order(2)
public SecurityFilterChain webSecurityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/login", "/register").permitAll() // 登录注册开放
            .anyRequest().authenticated() // 其他请求需要认证
        .and()
        .formLogin() // 表单登录
        .permitAll();
    return http.build();
}

4. Spring Security认证流程

用户请求到达：当用户请求某个URL时，Spring Security会根据配置的过滤器链进行逐步验证。
认证请求：UsernamePasswordAuthenticationFilter拦截登录请求，验证用户提供的用户名和密码是否正确。
授权检查：认证成功后，Spring Security会检查用户是否具有访问某个资源的权限。
访问资源：若认证与授权都通过，用户可以访问请求的资源。

5. 常见的认证方式

5.1 用户名/密码认证

最常见的认证方式，Spring Security提供了自动化配置和灵活的扩展机制，可以非常方便地实现。

5.2 JWT Token认证

在分布式应用中，通常使用JWT（JSON Web Token）进行认证。JWT可以通过Http Header进行传递，无需持久化存储session，适用于跨域认证。

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/api/**").authenticated()
        .and()
        .addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
    return http.build();
}

5.2.1. JWT概念与基本原理

JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在网络应用环境间安全地传递声明。它通过加密的方式传递声明，确保信息的安全性和完整性。JWT 主要由三部分组成：

Header（头部）：通常包含令牌的类型（JWT）和所使用的签名算法（如 HMAC SHA256 或 RSA）。
Payload（有效载荷）：包含要传递的数据，如用户信息、权限等。有效载荷是未加密的，所以不应存放敏感信息。
Signature（签名）：通过密钥对头部和有效载荷进行加密，生成签名，用于验证数据的完整性和来源。

JWT 结构：

<Header>.<Payload>.<Signature>

JWT 的认证过程是无状态的，意味着服务器在处理请求时不需要存储任何会话数据，所有的认证信息都可以通过 JWT 本身来传递。

5.2.2. JWT的生成与验证

在 Spring Security 中，我们可以使用 JWT 来代替传统的 Session 认证。JWT 的生成通常包含以下步骤：

用户登录：用户提供用户名和密码进行登录。
验证凭据：服务器验证用户名和密码。
生成JWT：在验证成功后，服务器生成 JWT，将其发送给客户端。
客户端保存 JWT：客户端将 JWT 存储在本地（如 LocalStorage 或 Cookie）。
后续请求：客户端将 JWT 附加到请求头中，服务器验证 JWT 并返回相应的资源。

2.1 JWT生成代码示例

下面是使用 Spring Security 和 Java 实现 JWT 生成的基本代码：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

public class JwtTokenUtil {

    private static final String SECRET_KEY = "secretKey";  // 私密密钥
    private static final long EXPIRATION_TIME = 86400000L; // JWT过期时间 1天

    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username) // 设置主题，通常是用户名
                .setIssuedAt(new Date()) // 设置签发时间
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) // 设置过期时间
                .signWith(SignatureAlgorithm.HS512, SECRET_KEY) // 使用密钥进行签名
                .compact();
    }
}

在上面的例子中，我们创建了一个 generateToken 方法，它使用密钥对用户名进行签名并生成 JWT。生成的 JWT 将包括用户的标识和过期时间。

2.2 JWT验证代码示例

JWT 验证过程包括解析 JWT 并验证其签名和过期时间。以下是验证 JWT 的代码：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureException;
import io.jsonwebtoken.MalformedJwtException;
import io.jsonwebtoken.ExpiredJwtException;

public class JwtTokenUtil {

    private static final String SECRET_KEY = "secretKey";

    public static String getUsernameFromToken(String token) {
        try {
            return Jwts.parser()
                    .setSigningKey(SECRET_KEY)
                    .parseClaimsJws(token) // 解析JWT
                    .getBody()
                    .getSubject(); // 获取主题信息（用户名）
        } catch (ExpiredJwtException e) {
            throw new RuntimeException("Token expired");
        } catch (MalformedJwtException | SignatureException e) {
            throw new RuntimeException("Invalid token");
        }
    }

    public static boolean isTokenExpired(String token) {
        return getExpirationDateFromToken(token).before(new Date());
    }

    public static Date getExpirationDateFromToken(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody()
                .getExpiration(); // 获取过期时间
    }
}

这里的 getUsernameFromToken 方法用来提取 JWT 中的用户名，isTokenExpired 方法用来检查 JWT 是否过期。

5.2.3. Spring Security集成JWT认证

将 JWT 与 Spring Security 集成，主要有以下几个步骤：

自定义 JWT 过滤器：创建一个过滤器，在每个请求中提取和验证 JWT。
配置 Spring Security：配置 Spring Security 以使用 JWT 进行身份验证，而不是传统的 Session 认证。

5.2.3.1 自定义 JWT 过滤器

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class JwtAuthenticationFilter extends OncePerRequestFilter {

    private static final String HEADER = "Authorization";
    private static final String PREFIX = "Bearer ";

    private JwtTokenUtil jwtTokenUtil;

    public JwtAuthenticationFilter(JwtTokenUtil jwtTokenUtil) {
        this.jwtTokenUtil = jwtTokenUtil;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, javax.servlet.http.HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
        String header = request.getHeader(HEADER);

        if (header != null && header.startsWith(PREFIX)) {
            String token = header.substring(PREFIX.length());
            String username = jwtTokenUtil.getUsernameFromToken(token);

            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                Authentication authentication = new UsernamePasswordAuthenticationToken(username, null, null);
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }

        chain.doFilter(request, response);
    }
}

在上面的 JwtAuthenticationFilter 中，我们从请求头中提取 JWT，验证其合法性，然后将用户名设置为认证信息。

5.2.3.2 配置 Spring Security 以使用 JWT

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private JwtTokenUtil jwtTokenUtil;

    public SecurityConfig(JwtTokenUtil jwtTokenUtil) {
        this.jwtTokenUtil = jwtTokenUtil;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.addFilterBefore(new JwtAuthenticationFilter(jwtTokenUtil), UsernamePasswordAuthenticationFilter.class)
            .authorizeRequests()
            .antMatchers("/login", "/register").permitAll()
            .anyRequest().authenticated();
    }
}

在 SecurityConfig 类中，我们通过 addFilterBefore 方法将 JwtAuthenticationFilter 加入到 Spring Security 的过滤器链中，确保每个请求都会经过 JWT 验证。

5.2.4. JWT授权与权限控制

JWT 本身只负责认证，但我们可以利用它来进行授权。授权通常基于用户的角色或权限，通过在 JWT 中存储角色信息，可以在 Spring Security 中进行细粒度的访问控制。

例如，可以在 Payload 部分存储角色信息，在后续请求中根据角色进行访问控制。

5.3 OAuth2认证

OAuth2 是一种开放的授权框架，旨在让用户授权第三方应用访问自己存储在服务提供者上的资源，而无需将用户名和密码交给第三方应用。OAuth2 被广泛用于社交登录、第三方应用访问用户数据等场景。

OAuth2 本身并不是一个认证协议，而是一个授权协议，它主要用于授权管理。当应用需要访问受保护的资源时，OAuth2 提供了一种安全的方式来委托权限。

Spring Security支持OAuth2协议，适用于社交登录或与其他系统进行认证。通过Spring Security的OAuth2模块，可以集成Google、Facebook等第三方认证。

5.3.1 OAuth2 的认证流程

OAuth2的认证通常涉及四种授权方式（授权码、简化、密码、客户端凭证），其中最常见的是授权码模式。

用户访问第三方应用，第三方应用请求授权。
用户同意授权，OAuth2 服务器发放一个授权码（Authorization Code）。
第三方应用使用授权码请求令牌（Access Token）。
OAuth2 服务器验证授权码，返回访问令牌（Access Token）及刷新令牌（Refresh Token）。
第三方应用使用访问令牌来访问用户资源。

5.3.2 OAuth2的优缺点

优点：

灵活性：支持多种授权方式，适应不同的应用场景（如 Web 应用、移动应用、第三方登录等）。
安全性高：OAuth2 令牌可过期，可以通过刷新令牌来延续会话，避免泄露用户密码。
第三方授权：用户授权后，第三方应用可以安全访问用户资源，而不需要获取用户密码。

缺点：

复杂性较高：OAuth2的实现比JWT复杂，涉及的概念和配置更多。
依赖服务：OAuth2需要依赖一个授权服务器，可能增加部署和维护的复杂度。
安全性：如果实现不当，OAuth2 的授权流程可能暴露访问令牌，导致安全漏洞。

5.3.3. OAuth2 的四种授权模式

OAuth2 中，客户端（Client）需要通过授权服务器（Authorization Server）获取访问令牌（Access Token），然后用令牌访问资源服务器（Resource Server）上的受保护资源。这四种模式分别是：

5.3.3.1 授权码模式（Authorization Code）

授权码模式是 OAuth2 最常用、最安全的授权模式，主要用于服务端应用。流程如下：

适用场景

客户端是可信的服务端应用。
用户通过浏览器访问应用，客户端与授权服务器之间可以安全地传输授权码。

流程

用户在客户端发起授权请求。
客户端将用户重定向到授权服务器的授权页面。
用户登录授权服务器并同意授权，授权服务器返回一个授权码（Authorization Code）。
客户端使用授权码向授权服务器发送请求，获取访问令牌（Access Token）。
授权服务器验证授权码，返回访问令牌（Access Token）和可选的刷新令牌（Refresh Token）。
客户端使用访问令牌访问资源服务器上的受保护资源。

5.3.3.2 简化模式（Implicit Grant）

简化模式是授权码模式的简化版，访问令牌直接返回给客户端，而不需要通过授权码换取。这种模式适用于不存储敏感数据的公用客户端（如单页应用）。

适用场景

客户端是单页应用（SPA）或运行在用户设备上的应用。
不安全的环境，不能安全存储访问令牌。

流程

用户在客户端发起授权请求。
客户端将用户重定向到授权服务器的授权页面。
用户登录授权服务器并同意授权，授权服务器直接返回访问令牌（Access Token）。
客户端使用访问令牌访问资源服务器上的受保护资源。

特点

简化了授权流程，跳过了授权码步骤。
不适合高安全性场景，因为令牌直接暴露在用户设备上。

5.3.3.3 密码模式（Resource Owner Password Credentials）

密码模式允许用户直接将用户名和密码提供给客户端，客户端使用这些凭据向授权服务器请求访问令牌。

适用场景

客户端是可信的，并且与授权服务器在同一个环境中（如内部系统）。
用户高度信任客户端，并愿意直接输入凭据。

流程

用户直接将用户名和密码输入到客户端。
客户端使用用户名和密码向授权服务器发送请求，获取访问令牌（Access Token）。
授权服务器验证用户名和密码，返回访问令牌（Access Token）和可选的刷新令牌（Refresh Token）。
客户端使用访问令牌访问资源服务器上的受保护资源。

特点

简化了流程，但暴露了用户的凭据，安全性较低。
不适合第三方应用，通常用于受信任的内部应用。

5.3.3.4 客户端模式（Client Credentials）

客户端模式中，没有用户的参与，客户端以自己的身份直接向授权服务器请求访问令牌。这种模式用于服务器间通信或客户端访问自己的资源。

适用场景

客户端需要访问自己的受保护资源。
客户端与授权服务器之间可以安全通信。

流程

客户端使用客户端 ID 和客户端密钥向授权服务器发送请求，获取访问令牌（Access Token）。
授权服务器验证客户端的身份，返回访问令牌（Access Token）。
客户端使用访问令牌访问资源服务器上的受保护资源。

特点

没有用户参与，适合机器对机器的通信。
安全性较高，但要求客户端与授权服务器间的通信是安全的。

5.3.4. OAuth2 授权模式的对比

模式	用户交互	适用场景	安全性	特点
授权码模式	需要	服务端应用，用户通过浏览器访问	高	推荐使用，支持刷新令牌
简化模式	需要	单页应用（SPA），适合客户端不可存储敏感信息	中	令牌暴露在客户端中
密码模式	不需要	内部系统，用户信任客户端	低	简化流程，但暴露用户名密码
客户端模式	不需要	机器对机器通信，无需用户参与	高	客户端以自身身份访问资源

OAuth2 提供了四种授权模式，每种模式都针对不同的场景需求设计：

授权码模式：最常用，适合服务端应用，安全性高。
简化模式：适合单页应用，流程简单，但安全性相对较低。
密码模式：适合内部应用，但用户凭据暴露，需谨慎使用。
客户端模式：适合机器对机器通信，安全性高。

开发者应根据实际需求选择合适的授权模式，并结合应用场景实现合理的安全设计。

5.3.5. OAuth2 实现细节

5.3.5.1 Access Token 和 Refresh Token

Access Token：用于访问资源服务器的令牌，通常有过期时间。
Refresh Token：用于获取新的访问令牌，当 Access Token 过期时，客户端可以使用 Refresh Token 请求新的 Access Token。

5.3.5.2 授权服务器和资源服务器

授权服务器（Authorization Server）：负责认证用户和颁发令牌的服务器。
资源服务器（Resource Server）：存储受保护资源的服务器，客户端需要提供有效的 Access Token 才能访问资源。

5.3.6. OAuth2 与 Spring Security 集成

在 Spring Security 中，可以通过配置实现 OAuth2 的各种模式。以下是一个简单的授权码模式配置示例：

授权服务器配置

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                .withClient("client-id")
                .secret("{noop}client-secret")
                .authorizedGrantTypes("authorization_code", "refresh_token", "password")
                .scopes("read", "write")
                .redirectUris("http://localhost:8080/callback");
    }
}

资源服务器配置

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated();
    }
}