Spring Security 源码学习(一): 初识 Spring Security

【参考文章】: 官网地址

1. 简介

Spring Security 一个基于 Spring AOP 和 Servlet 过滤器的一个功能强大且高度可定制的身份验证和访问控制框架。在 Web 请求级和方法调用级处理认证和授权。

认证: 判断用户是否为系统合法用户
授权: 判断该用户是否有权限访问资源

2. 初体验

2.1 添加依赖

通过添加下面的依赖,就可以快速为系统添加一层简单的安全访问框架

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.2 基本使用

添加依赖并启动服务后, 服务已经被 Spring Security 所保护

默认情况下,所有接口都需要在认证后才能访问. 此时访问任何接口被会被重定向到 Spring Security 默认的登录界面, 地址为 ip:port/login

默认的用户名为user, 默认密码为系统启动时随机生成的UUID字符串,会打印在控制台

下面是默认生成的账户信息

输入正确的用户名和密码信息, 即可进行请求访问

3. 基本原理

3.1 Filter简介

Servlet Filter 又称 Servlet 过滤器，它是在 Servlet 2.3 规范中定义的，能够对 Servlet 容器传给 Web 资源的 request 对象和 response 对象进行预处理操作

3.2 实现原理

Spring Security 的本质是添加了一个过滤器链(由多个过滤器组成), 在请求处理前进行认证和授权操作, 如果认证或者授权失败,则拒绝访问资源