当前位置：首页 > news >正文

Spring 源码硬核解析系列专题（八）：Spring Security 的认证与授权源码解析

news 2025/7/8 17:22:23

在前几期中，我们从 Spring 核心到 Spring Boot，再到 Spring Cloud，逐步探索了 Spring 生态的底层原理。作为企业级应用的关键组件，Spring Security 提供了全面的安全解决方案，包括认证（Authentication）和授权（Authorization）。本篇将深入 Spring Security 的源码，剖析其核心机制与实现细节。

1. Spring Security 的核心概念

在进入源码之前，先明确几个关键概念：

认证（Authentication）：验证用户身份（如用户名密码登录）。
授权（Authorization）：决定用户是否有权限访问资源。
SecurityContext：存储当前用户的认证信息。
Filter Chain：拦截请求，执行安全逻辑。

Spring Security 的核心是基于 Servlet Filter 的拦截机制，与 Spring MVC 无缝集成。

2. Spring Security 的基本配置

一个简单的 Spring Boot 项目启用 Spring Security：

@SpringBootApplication
public class MyApplication {
   
    public static void main(String[] args) {
   
        SpringApplication.run(MyApplication.class, args);
    }
}

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        http.authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .logout();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   
        auth.inMemoryAuthentication()
            .withUser("admin").password("{noop}123456").roles("ADMIN");
    }
}