20个SpringSecurity框架核心组件详解

Spring Security 是一个功能强大且灵活的身份验证和访问控制框架，在很多项目中都会采用该框架来实现权限控制功能，兄弟们在开发中需要搞清楚底层实现逻辑，或者面试时会被面试官频频追问底层源码，今天的文章，V哥总结了Spring Security框架中的20个核心组件，分享给大家，助你一臂之力，客官点赞收藏慢慢享用，定让你满足，先列出来是哪20个组件，V 哥再带着大家一个一个解释：

1. Authentication（身份验证）：用于验证用户的身份，通常通过用户名和密码进行身份验证。
2. Authorization（授权）：用于控制哪些用户具有哪些权限来访问应用程序中的特定资源。
3. UserDetailsService：定义加载用户信息的策略，通常与 AuthenticationManager 一起使用。
4. UserDetails：表示应用程序中的用户详细信息，如用户名、密码和权限等。
5. AuthenticationManager：负责验证认证对象，并返回一个已认证的对象，通常包括使用多个 AuthenticationProvider。
6. AuthenticationProvider：用于对用户进行身份验证，支持不同类型的身份验证机制，如用户名/密码、LDAP、OAuth 等。
7. GrantedAuthority：表示用户所拥有的权限，通常由角色或权限字符串表示。
8. AccessDecisionManager：用于决定用户是否有权访问受保护资源。
9. AccessDecisionVoter：用于根据配置的访问策略投票决定用户是否有权访问受保护资源。
10. SecurityContextHolder：提供对当前线程的 SecurityContext 的访问，其中包含经过身份验证的用户的安全信息。
11. SecurityContext：保存关联到当前执行线程的安全信息，包括已认证的主体和其权限。
12. FilterChain：用于处理传入的 HTTP 请求，Spring Security 将其用于应用一系列安全过滤器来执行身份验证和授权逻辑。
13. SecurityConfigurerAdapter：用于配置 Spring Security 的 Java 配置适配器，允许用户自定义安全配置。
14. AuthenticationEntryPoint：在用户试图访问受保护资源但未经过身份验证时触发的策略。
15. LogoutHandler：处理用户登出时执行的操作，如清除会话、撤销令牌等。
16. RememberMeServices：支持“记住我”功能，用于在用户下次访问应用程序时自动进行身份验证。
17. PasswordEncoder：用于加密和验证密码，以确保安全存储用户凭据。
18. SessionManagement：用于管理用户的会话，如设置最大并发会话数、会话创建和销毁事件等。
19. CsrfTokenRepository：用于防止 CSRF（跨站请求伪造）攻击的令牌存储库。
20. SecurityFilterChain：定义了一系列安全过滤器，用于保护特定的 URL 路径或请求模式。

下面咱们来分别解释一下这20个组件。

1.Authentication（身份验证）

Authentication 是 Spring Security 中用于表示用户身份认证信息的核心接口。它包含了用户的身份信息（如用户名、密码）以及用户所拥有的权限信息。下面我们将详细分析 Authentication 组件的源码和运行过程。

Authentication 接口源码:

public interface Authentication extends Principal, Serializable {
   
   
    Collection<? extends GrantedAuthority> getAuthorities();
    Object getCredentials();
    Object getDetails();
    Object getPrincipal();
    boolean isAuthenticated();
    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

• getAuthorities()：获取当前用户所拥有的权限集合。
• getCredentials()：获取当前用户的凭据，通常是密码或令牌。
• getDetails()：获取与当前身份验证请求相关的详细信息，如 IP 地址、会话 ID 等。
• getPrincipal()：获取当前用户的主体信息，通常是用户名或用户对象。
• isAuthenticated()：判断当前用户是否已经完成身份验证。
• setAuthenticated(boolean isAuthenticated)：设置当前用户的身份验证状态。

Authentication 运行过程:

• 当用户发起身份验证请求时，通常会提交用户名和密码等凭据。
• 这些凭据将由 AuthenticationManager 接口处理。
• AuthenticationManager 负责使用配置的 AuthenticationProvider 对凭据进行验证。
• 每个 AuthenticationProvider 都会尝试对传入的凭据进行验证，并返回一个已认证的 Authentication 对象，或者在验证失败时抛出异常。
• 返回的 Authentication 对象中包含了用户的身份信息、权限信息以及其他相关信息。
• 如果至少有一个 AuthenticationProvider 验证成功，则认为用户已经完成身份验证，isAuthenticated() 方法返回 true。
• 最终，认证成功的 Authentication 对象将被存储在 SecurityContext 中，以便后续的授权和访问控制。

Authentication 接口及其相关的运行过程是 Spring Security 中实现身份验证的核心。它提供了一个标准化的表示方式，用于封装和传递用户的身份信息。同时，通过 AuthenticationManager 的配合，可以实现灵活的身份验证逻辑，并支持多种身份验证机制，如用户名/密码、LDAP、OAuth 等。

2.Authorization（授权）

Authorization（授权）在 Spring Security 中负责确定用户是否有权访问特定资源。授权过程涉及到用户的角色和权限，以及资源的访问规则。下面我们将详细分析 Authorization 组件的源码和运行过程。

Authorization 接口源码:

在 Spring Security 中，授权的核心接口是 AccessDecisionManager，它实现了授权的逻辑。AccessDecisionManager 的定义如下：

public interface AccessDecisionManager {
   
   
    void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)
        throws AccessDeniedException, InsufficientAuthenticationException;
}

• decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)：该方法用于决定用户是否有权访问特定资源。它接收当前用户的认证信息（Authentication）、受保护资源对象（Object）以及配置的权限要求（ConfigAttribute），并根据用户的权限进行决策。

Authorization 运行过程:

• 当用户尝试访问受保护的资源时，Spring Security 将调用 AccessDecisionManager 接口来进行授权决策。
• AccessDecisionManager 将根据用户的认证信息（Authentication）和受保护资源的访问规则（配置的权限要求）来判断用户是否有权访问该资源。
• 在 decide() 方法中，AccessDecisionManager 将根据用户的权限信息（通常是角色或权限列表）与配置的权限要求进行比较，并根据访问策略（如全部允许、至少一项允许等）来决定是否允许访问。
• 如果用户具有足够的权限，则授权通过，用户可以访问资源。否则，将抛出 AccessDeniedException 异常，拒绝访问。

Authorization 组件通过 AccessDecisionManager 实现了授权的逻辑。AccessDecisionManager 根据用户的认证信息和资源的访问规则，决定用户是否有权访问特定资源。这种基于角色和权限的授权机制能够有效地保护应用程序的安全性，确保只有具有相应权限的用户才能访问受保护资源。

3.UserDetailsService

UserDetailsService 是 Spring Security 中负责加载用户信息的接口。它通常被用于从数据源（如数据库）中加载用户信息，以便进行身份验证和授权。下面我们将详细分析 UserDetailsService 组件的源码和运行过程。

UserDetailsService 接口源码:

public interface UserDetailsService {
   
   
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

• loadUserByUsername(String username)：该方法用于根据用户名加载用户信息。当进行身份验证时，AuthenticationManager 首先会调用这个方法，传入用户名作为参数，以获取与之对应的用户信息。

UserDetailsService 运行过程:

• 当用户进行身份验证时，AuthenticationManager 会调用 UserDetailsService 的 loadUserByUsername() 方法。
• loadUserByUsername() 方法会接收到用户提交的用户名作为参数，然后根据这个用户名从数据源中检索用户信息。
• 一般情况下，loadUserByUsername() 方法会查询数据库，根据用户名检索用户信息，包括用户的身份信息（如用户名、密码）和权限信息（如角色列表）。
• 如果找到了与用户名对应的用户信息，则 loadUserByUsername() 方法会返回一个 UserDetails 对象，其中包含了用户的身份信息和权限信息。
• 如果未找到与用户名对应的用户信息，则 loadUserByUsername() 方法会抛出 UsernameNotFoundException 异常，表示用户不存在。
• 最终，返回的 UserDetails 对象将被 AuthenticationManager 使用，用于进行身份验证和授权操作。

UserDetailsService 组件通过提供一个标准化的接口，使得开发人员可以根据具体需求实现用户信息的加载逻辑。通常情况下，开发人员需要实现自己的 UserDetailsService 接口，从数据源中加载用户信息，并将其封装成 UserDetails 对象返回。这种方式能够实现灵活的用户认证和授权，适应不同的业务需求和数据源。

4.UserDetails

UserDetails 是 Spring Security 中表示用户详细信息的核心接口。它包含了用户的身份信息（如用户名、密码）以及用户所拥有的权限信息。下面我们将详细分析 UserDetails 组件的源码和运行过程。

UserDetails 接口源码:

public interface UserDetails extends Serializable {
   
   
    Collection<? extends GrantedAuthority> getAuthorities();
    String getPassword();
    String getUsername();
    boolean isAccountNonExpired();
    boolean isAccountNonLocked();
    boolean isCredentialsNonExpired();
    boolean isEnabled();
}

• getAuthorities()：获取当前用户所拥有的权限集合。
• getPassword()：获取当前用户的密码。
• getUsername()：获取当前用户的用户名。
• isAccountNonExpired()：判断当前用户的账号是否未过期。
• isAccountNonLocked()：判断当前用户的账号是否未被锁定。
• isCredentialsNonExpired()：判断当前用户的凭据（密码）是否未过期。
• isEnabled()：判断当前用户是否可用（即账号是否启用）。

UserDetails 运行过程:

• 当用户进行身份验证时，AuthenticationManager 会调用 UserDetailsService 的 loadUserByUsername() 方法，获取 UserDetails 对象。
• loadUserByUsername() 方法会从数据源中加载用户信息，并将其封装成 UserDetails 对象返回。
• 返回的 UserDetails 对象中包含了用户的身份信息和权限信息。
• 在进行身份验证时，AuthenticationManager 会将用户提交的凭据与 UserDetails 对象中的密码进行比对，以验证用户身份。
• 如果用户身份验证成功，将生成一个认证成功的 Authentication 对象，并将 UserDetails 对象存储在其中。
• 后续的授权操作中，AccessDecisionManager 可以通过 UserDetails 对象获取用户的权限信息，并根据权限规则进行授权决策。

UserDetails 接口定义了表示用户详细信息的标准，开发人员可以根据具体的业务需求自定义 UserDetails 的实现类。通常情况下，开发人员需要实现自己的 UserDetails 类，从数据源中加载用户信息，并提供相应的方法来获取用户的身份信息和权限信息。这种方式能够实现灵活的用户认证和授权，适应不同的业务需求和数据源。

5.AuthenticationManager

AuthenticationManager 是 Spring Security 中负责处理身份验证请求的核心接口。它接收来自用户的身份验证请求，并使用配置的 AuthenticationProvider 对这些请求进行验证。下面我们将详细分析 AuthenticationManager 组件的源码和运行过程。

AuthenticationManager 接口源码:

public interface AuthenticationManager {
   
   
    Authentication authenticate(Authentication