Spring Security 的工作流程如下:
1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。
2.然后 Spring Security 会判断该请求是否认证(authenticated)和授权(authorized)。
- 认证(Authentication):验证用户身份,判断用户是否能登录系统。Spring Security 支持多种认证方式,如 LDAP、Form 登录等。
- 授权(Authorization):验证用户是否有权限访问某个资源。Spring Security 基于角色(Role)和权限(Permission)进行授权。
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。
4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。
5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。
6.在过滤链的最后,Spring Security 还有一个 Filter 来清理 SecurityContext。这样可以确保安全地结束会话。
具体流程:
1.用户访问首页,不需要认证,可以正常访问。
2.用户点击登录链接,进入登录页登录。
- 登录请求被 Spring Security 的 Filters 链拦截。
- 调用 AuthenticationManager 进行认证,成功后将用户信息存储到 SecurityContext。
- 重定向到首页。
3.用户访问需要权限的页面,请求被拦截。
- 检查当前请求是否已认证(从 SecurityContext 获取用户信息)。
- 如果已认证,检查当前用户是否有访问权限(调用 AccessDecisionManager)。
- 如果有权限,放行请求,继续调用链。
- 如果无权限,返回 403 响应。
4.用户退出,清空 SecurityContext。
- 点击退出链接,Spring Security 清空 SecurityContext。
- 重定向到首页。