Spring Security 的工作流程如下:

1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。

2.然后 Spring Security 会判断该请求是否认证(authenticated)和授权(authorized)。

  • 认证(Authentication):验证用户身份,判断用户是否能登录系统。Spring Security 支持多种认证方式,如 LDAP、Form 登录等。
  • 授权(Authorization):验证用户是否有权限访问某个资源。Spring Security 基于角色(Role)和权限(Permission)进行授权。

3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。

4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。

5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。

6.在过滤链的最后,Spring Security 还有一个 Filter 来清理 SecurityContext。这样可以确保安全地结束会话。

具体流程:

1.用户访问首页,不需要认证,可以正常访问。

2.用户点击登录链接,进入登录页登录。

  • 登录请求被 Spring Security 的 Filters 链拦截。
  • 调用 AuthenticationManager 进行认证,成功后将用户信息存储到 SecurityContext。
  • 重定向到首页。

3.用户访问需要权限的页面,请求被拦截。

  • 检查当前请求是否已认证(从 SecurityContext 获取用户信息)。
  • 如果已认证,检查当前用户是否有访问权限(调用 AccessDecisionManager)。
  • 如果有权限,放行请求,继续调用链。
  • 如果无权限,返回 403 响应。

4.用户退出,清空 SecurityContext。

  • 点击退出链接,Spring Security 清空 SecurityContext。
  • 重定向到首页。