请写一篇关于【Spring Security基础:快速搭建安全认证系统】的技术文章
上周五晚上十一点半,我正蹲在出租屋的地板上啃冷掉的外卖,老婆在微信里发来消息:“你真打算回老家了?那边工资可能只有现在的一半……”
我盯着屏幕,手指悬在键盘上,迟迟没回。窗外是杭州城西科技园永远不灭的写字楼灯光,而我的MacBook屏幕上,是一行怎么也跑不通的Spring Security配置代码。
我是老张,30岁,去年十月从做了七年的建材销售转行做程序员。没错,就是那种白天陪客户喝酒、晚上背八股文的“半路出家选手”。刚入行时月薪8k,现在勉强摸到15k,房租3500,孩子奶粉钱2000+,老婆还在老家带娃——你说我焦虑不焦虑?
但今天不是来卖惨的。我想聊聊最近项目里踩的一个大坑:用Spring Security快速搭一个安全认证系统。这事儿说起来简单,做起来差点让我连夜买票回河南老家种地。
起因:老板一句话,我熬了三个通宵
事情得从两周前说起。我们组接了个新需求:给内部管理系统加个登录认证,还要支持角色权限控制。老板拍着我肩膀说:“小张啊,你是新人,正好练练手,用Spring Security搞一下,前端那边React已经搭好了。”
我嘴上说着“没问题”,心里慌得一批。Spring Security?我知道它很强大,但也听说它“配置地狱”的名号——XML时代的老古董,注解满天飞,过滤器链像迷宫。更要命的是,前端同事小李(一个95后Go语言狂热粉)还补了一句:“后端接口记得按RESTful规范来啊,我们前端要对接的。”
我当时就想问:你一个写Go的,为啥对Java后端指手画脚?(当然没敢说出口)
实战:从“Hello World”到“Why the Hell?”
我先拉了个最简Spring Boot项目(2.7.x),加上spring-boot-starter-security依赖。一启动,好家伙,自动生成了个随机密码,访问任何接口都跳登录页。典型的“开箱即用,但你根本不知道它在干啥”。
我想实现的需求其实很基础:
- 用户通过用户名/密码登录
- 登录成功后返回JWT Token
- 前端拿着Token请求受保护接口
- 不同角色(admin/user)能看到不同菜单
听起来是不是很常规?但Spring Security的默认行为完全不按常理出牌。比如:
- 它默认开启CSRF防护,而我的前端是纯API调用,根本不需要;
- 表单登录自动重定向,但我要的是JSON响应;
- 密码编码器没配,直接明文比对,一测就崩。
那几天我天天泡在Stack Overflow和官方文档里,看到一段经典吐槽:“Spring Security不是框架,是一个哲学体系。” 我深有体会。
破局:三步搞定核心流程
折腾三天后,我终于理清了思路。其实只要抓住三个关键点,就能快速搭起骨架:
第一步:关掉“多余”的默认行为
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.csrf().disable() // 前端是React SPA,用Token,不需要CSRF
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 无状态
.and()
.authorizeHttpRequests(authz -> authz
.requestMatchers("/api/auth/login").permitAll()
.anyRequest().authenticated()
)
.httpBasic().disable() // 关掉basic auth
.formLogin().disable(); // 关掉表单跳转
return http.build();
}
}
这段代码的核心就是:告诉Spring Security,“别自作聪明,按我说的来”。
第二步:自定义登录逻辑
我建了个AuthController,接收前端传来的username/password:
@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody LoginRequest request) {
try {
authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(
request.getUsername(),
request.getPassword()
)
);
// 认证成功,生成JWT
String token = jwtUtil.generateToken(request.getUsername());
return ResponseEntity.ok(new JwtResponse(token));
} catch (BadCredentialsException e) {
return ResponseEntity.status(401).body("Invalid credentials");
}
}
这里的关键是注入AuthenticationManager,让它去调用我自定义的UserDetailsService去查数据库。
第三步:用JWT替代Session
因为前端(React)和后端分离,不能靠Cookie维持会话。所以我引入了jjwt库,在每次请求Header里带Authorization: Bearer <token>,再写个JwtAuthenticationFilter拦截校验。
public class JwtAuthenticationFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(...) {
String token = extractToken(request);
if (token != null && jwtUtil.validateToken(token)) {
String username = jwtUtil.getUsernameFromToken(token);
UserDetails userDetails = userDetailsService.loadUserByUsername(username);
UsernamePasswordAuthenticationToken auth =
new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(auth);
}
chain.doFilter(request, response);
}
}
然后在SecurityConfig里把它插到过滤器链最前面:
http.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
意外插曲:Go佬的“灵魂拷问”
就在我以为万事大吉时,前端小李跑过来问我:“你这个Token过期时间设多久?刷新机制呢?要不要考虑OAuth2?”
我一愣:“就内部系统,简单点不行吗?”
他说:“我们团队以后可能要用Go重写后端,现在这套设计得留扩展性。”
我差点脱口而出:“那你现在就用Go写啊!” 但忍住了。转念一想,他说的也有道理。于是我补了个简单的Refresh Token逻辑,并把权限粒度细化到方法级别(用@PreAuthorize("hasRole('ADMIN')"))。
有意思的是,虽然他主攻Go,但他对安全设计的理解比我这个Java新手深得多。技术没有高低,只有场景适配——这句话我现在信了。
回望:从建材销售到安全认证,我到底图什么?
写完这套认证系统那天,我发了个朋友圈:“Spring Security,从入门到放弃再到入门。” 老同学评论:“你这转行值吗?累成狗,工资还没以前高。”
说实话,我也问过自己。去年在建材公司,月入22k,不用加班;现在15k,天天debug到凌晨。但奇怪的是,我居然觉得更踏实了。
因为每解决一个问题,都是实打实的能力增长。不像以前,业绩好可能是运气,客户突然取消订单,半年白干。而代码不会骗人——你写了,它就跑;你没懂,它就报错。
至于回不回老家?我和老婆长谈了一次。老家IT岗位少,但生活成本低,孩子能有人带。我决定:再拼一年,把Spring Cloud、分布式这些啃下来,如果薪资能到20k+,就留下;否则,回老家找份远程工作,或者干脆学Go试试——毕竟,连前端都开始聊Go了,这世界变化太快。
给同样“半路出家”的朋友几点建议
- 别怕“重复造轮子”:Spring Security虽复杂,但亲手配一遍,比看十篇教程都管用。
- 前端不是敌人:多和他们沟通,理解他们的诉求(比如Token格式、错误码统一),合作才能顺畅。
- Go不是威胁:技术栈只是工具。我甚至打算下个月开始学Go,万一以后真要转呢?
- 30岁不是终点:我工位隔壁28岁应届生叫我“张哥”,但我知道,论学习速度,他甩我几条街。可论解决问题的耐心,我未必输。
最后,回到那个周五夜晚。我没回老婆消息,而是默默改完了最后一行配置。测试通过那一刻,窗外雨停了,楼下的烧烤摊还在营业。我点了瓶啤酒,对自己说:“老张,你行的。”
也许明天我还是会犹豫要不要回老家,但至少今晚,我搞定了Spring Security。这就够了。
共勉。
评论 0