Spring Boot 整合 Security 权限控制中的常见陷阱

Spring Security 作为 Spring 生态中最强大的安全框架，为 Spring Boot 应用提供了全面的认证（Authentication）和授权（Authorization）功能。它能够帮助我们轻松实现用户登录、角色管理、资源访问控制等复杂需求。然而，Security 的强大也意味着其配置的复杂性，稍有不慎就可能踏入“陷阱”，导致权限控制不生效、认证流程异常，甚至引发安全漏洞。

本文将深入剖析 Spring Boot 整合 Spring Security 时最常见的配置陷阱和问题，并提供详细的解决方案，助你拨开迷雾，构建一个安全可靠的应用程序。

1. Spring Security 基础回顾

在深入探讨陷阱之前，我们先快速回顾一下 Spring Security 的核心组件和工作流程：

• Authentication（认证）： 验证用户身份的过程（“你是谁？”）。
  • UserDetailsService：用于从数据源（数据库、LDAP 等）加载用户详情。
  • PasswordEncoder：用于对用户密码进行编码和验证。
  • AuthenticationProvider：执行实际的认证逻辑。
• Authorization（授权）： 决定用户是否有权访问特定资源的过程（“你有什么权限？”）。
  • AccessDecisionManager：决定是否允许访问。
  • SecurityContextHolder：存储当前认证用户信息。
• Filter Chain（过滤器链）： Spring Security 通过一系列的 Servlet Filter 来拦截请求，执行认证和授权逻辑。

2. 常见陷阱与解决方案

2.1 陷阱一：忘记启用安全配置或配置类顺序问题

问题现象： 即使添加了 Spring Security 依赖，应用启动后访问受保护的接口仍然可以直接访问，或者没有跳转到登录页。

原因分析：

1. 没有 @EnableWebSecurity： 如果你完全自定义了 Spring Security 配置，可能会忘记在配置类上添加 @EnableWebSecurity 注解来启用 Spring Security 的 Web 安全功能。
2. 多 Security 配置类优先级冲突： 如果存在多个继承 WebSecurityConfigurerAdapter（旧版本）或实现 FilterChainProxy 的 SecurityFilterChain Bean（新版本）的配置类，它们的顺序可能会导致某些配置被覆盖。

解决方案：

1. 确保启用：

   @Configuration
   @EnableWebSecurity // 启用 Spring Security 的 Web 安全功能
   public class WebSecurityConfig {// ...
   }
   

2. 明确配置类顺序（针对旧版本或特定场景）：
   对于旧版本的 WebSecurityConfigurerAdapter，可以使用 @Order 注解来指定优先级（数字越小优先级越高）。
   对于 Spring Security 6.x+，主要通过定义多个 SecurityFilterChain Bean 来实现，它们会按照定义的顺序进行匹配。

   // Spring Security 6.x+ 示例
   @Configuration
   public class MultiSecurityFilterChainConfig {// 第一个 SecurityFilterChain：用于处理 /public/** 路径，不进行认证@Bean@Order(1) // 优先级最高public SecurityFilterChain publicFilterChain(HttpSecurity http) throws Exception {http.securityMatcher("/public/**") // 只匹配 /public/** 路径.authorizeHttpRequests(auth -> auth.anyRequest().permitAll()); // 允许所有请求return http.build();}// 第二个 SecurityFilterChain：处理其他所有请求，需要认证@Bean@Order(2)public SecurityFilterChain formLoginFilterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests(auth -> auth.anyRequest().authenticated()) // 所有请求都需要认证.formLogin(Customizer.withDefaults()); // 使用默认表单登录return http.build();}
   }
   

2.2 陷阱二：忽略默认安全规则，导致接口无法访问

问题现象： 配置了自定义认证和授权规则后，发现部分接口无法访问，但又不是权限不足的提示。

原因分析：
Spring Security 默认是所有请求都需要认证的。如果你只配置了部分接口的权限，而忘记为其他接口（例如静态资源、登录接口、注册接口）设置 permitAll()，这些接口也会被拦截。