请写一篇关于【Spring Security基础:快速搭建安全认证系统】的技术文章
凌晨1点17分,浦东张江某老小区的出租屋里,我终于把二宝哄睡了。
大宝刚上幼儿园,白天折腾一天,晚上睡得早;但二宝才8个月,夜醒三次是基本操作。老婆已经累到倒头就睡,我蹑手蹑脚爬起来,打开MacBook Pro,屏幕光在黑暗中显得格外刺眼——这是我每天唯一能“偷”来学习的时间。
上周五,我在公司被CTO叫去谈话:“下个版本要上线用户中心,你负责做权限控制,用Spring Security,两周内搞定。”
我当时差点一口老血喷出来——Spring Security?那个配置比《民法典》还厚、文档比黄浦江还长的玩意儿?
但我没敢说不。毕竟,房租3500,奶粉每月2000+,房贷还没着落,而我的月薪刚从15k涨到22k——这涨幅,全靠去年十月咬牙啃完微服务架构换来的。现在要是掉链子,怕是要回老家种地了。
一、别信“一行代码搞定”的鬼话
网上教程最爱说:“Spring Security集成超简单,加个starter就行!”
放屁!
我照着某B站UP主的视频,三分钟搭了个demo,登录页出来了,用户名密码输对就能进——看起来天下太平。结果第二天测试小哥跑来问我:“为什么普通用户能删管理员的数据?”
我:“???”
一查才发现,默认配置只做了认证(Authentication),压根没做授权(Authorization)。用户登录成功后,系统根本不知道他是谁、能干啥。这就像小区门禁刷脸进门没问题,但进了楼之后,谁都能随便进你家——这哪是安全系统,这是裸奔!
那一刻我坐在工位上,盯着IDEA里那几行@EnableWebSecurity,内心一万只草泥马奔腾。“代码人生”不是写业务逻辑,而是填前人留下的坑。
二、从“能跑”到“能用”:我的实战路径
我决定重头来过。目标很明确:
- 用户登录(支持用户名/密码)
- 不同角色有不同权限(比如USER不能删数据,ADMIN可以)
- 接口返回统一格式,别让前端骂我
- 最好还能对接JWT,为未来移动端留口子
第一步:别用默认登录页
Spring Security默认给你一个丑到爆的登录页,还带Spring Boot logo。我司UI设计师看到直接翻白眼:“这页面放出去,我们APP明天就下架。”
解决方案?自定义登录接口!
我不需要页面,只需要一个/auth/login的POST接口,传username和password,返回token。
@PostMapping("/login")
public ResponseEntity<?> login(@RequestBody LoginRequest request) {
try {
authenticationManager.authenticate(
new UsernamePasswordAuthenticationToken(
request.getUsername(),
request.getPassword()
)
);
// 生成JWT token
String token = jwtUtil.generateToken(request.getUsername());
return ResponseEntity.ok(new JwtResponse(token));
} catch (BadCredentialsException e) {
return ResponseEntity.status(401).body("用户名或密码错误");
}
}
关键点:绕过Spring Security的表单登录机制,自己接管认证流程。 这样前后端分离项目才能跑起来。
第二步:搞清楚“认证”和“授权”的区别
很多新手(包括曾经的我)以为登录成功就万事大吉。其实:
- 认证(Authentication):你是谁?(验证用户名密码)
- 授权(Authorization):你能干啥?(检查角色/权限)
Spring Security的UserDetails接口就是干这个的。我写了个CustomUserDetailsService:
@Service
public class CustomUserDetailsService implements UserDetailsService {
@Autowired
private UserRepository userRepo;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User user = userRepo.findByUsername(username);
if (user == null) throw new UsernameNotFoundException("用户不存在");
// 把数据库里的角色转成Spring Security认识的GrantedAuthority
List<GrantedAuthority> authorities = user.getRoles().stream()
.map(role -> new SimpleGrantedAuthority("ROLE_" + role.getName()))
.collect(Collectors.toList());
return new org.springframework.security.core.userdetails.User(
user.getUsername(),
user.getPassword(),
authorities
);
}
}
注意:角色名前面必须加ROLE_,否则hasRole('ADMIN')会失效——这是Spring Security的约定,文档藏得贼深,我踩了三天坑才找到。
第三步:接口权限控制,别再if else了
以前我写权限都是这样:
if (user.getRole().equals("ADMIN")) {
deleteData();
} else {
throw new AccessDeniedException();
}
现在?直接上注解!
@RestController
@RequestMapping("/api/admin")
@PreAuthorize("hasRole('ADMIN')")
public class AdminController {
@DeleteMapping("/users/{id}")
public void deleteUser(@PathVariable Long id) {
// 只有ADMIN能进来
}
}
但要记得在启动类加@EnableGlobalMethodSecurity(prePostEnabled = true),否则注解无效。
开发心得:框架的功能不用,等于白给。
三、资源有限?那就精准打击
作为两个娃的奶爸,我每天有效学习时间不超过2小时。不可能像学生时代那样通读官方文档。我的策略是:只学马上要用的部分。
- 遇到问题 → 去Stack Overflow搜关键词 → 看最高赞回答 → 改代码 → 跑不通 → 再搜
- 实在不行,就去看Spring Security的源码(别怕,核心逻辑其实就几个Filter)
- 收藏几个优质资源:
- Baeldung的Spring Security系列(英文但超清晰)
- 《Spring Security实战》这本书(第4章讲认证流程简直神作)
- GitHub上star过万的开源项目(比如spring-security-oauth2-demo)
记住:程序员最宝贵的不是代码量,是解决问题的路径。
四、面试题?其实都是实战变形
上个月我帮朋友内推,他被问到一道题:
“Spring Security的认证流程是怎样的?”
他背了一堆FilterChain、AuthenticationManager,结果面试官摇头:“你做过实际项目吗?”
其实,面试官想听的是你的理解。比如我就会这么答:
“用户请求进来,先经过UsernamePasswordAuthenticationFilter(如果是登录请求),它会把用户名密码封装成Authentication对象,交给AuthenticationManager。Manager找Provider(比如DaoAuthenticationProvider),Provider调UserDetailsService查用户,再比对密码。成功后,把完整的Authentication存入SecurityContext。后续请求通过SecurityContextPersistenceFilter恢复上下文,再由FilterSecurityInterceptor检查权限。”
这不就是我上周踩过的坑吗? 面试题从来不是考记忆力,而是考你是否真的“痛”过。
五、深夜复盘:安全不是功能,是责任
上周上线前夜,我又熬到凌晨2点。老婆发微信:“还不睡?明天还要送大宝上学。”
我回:“再测一遍权限,怕出事。”
为什么这么谨慎?因为去年有个同行,公司系统没做权限校验,普通用户通过改URL ID删了财务数据,最后赔了20万。安全漏洞不是bug,是定时炸弹。
Spring Security看似复杂,但它帮你挡住了90%的基础攻击:CSRF、Session Fixation、暴力破解……这些如果你自己实现,至少要多写5000行代码,还不一定靠谱。
六、写给同样在夹缝中成长的你
我知道你在看这篇文章时,可能也在某个出租屋、某个深夜、某个崩溃边缘。
也许你刚被需求压垮,也许你正为面试焦虑,也许你也在为孩子的奶粉钱发愁。
但我想说:技术这条路,从来不是一蹴而就。
我花了一周才搞懂Spring Security的核心流程,花了三周才写出第一个生产级的认证模块。中间无数次想放弃,觉得“老子不干了,回家开滴滴”。
可每次看到大宝指着我的电脑说“爸爸在写魔法”,又觉得——再撑一下吧。
代码人生,不是写完美的程序,而是在混乱中建立秩序,在疲惫中坚持前行。
最后的小建议(纯干货)
- 别一上来就搞OAuth2/JWT:先把基于Session的认证跑通,理解核心流程再扩展。
- 自定义异常处理:重写
AccessDeniedHandler和AuthenticationEntryPoint,返回JSON而不是跳转页面。 - 密码必须加密:用
BCryptPasswordEncoder,别再存明文! - 测试用Postman:模拟不同角色请求,别依赖前端联调。
- 日志打详细点:特别是
SecurityContext的变化,排查问题快十倍。
凌晨2点03分,二宝又醒了。
我合上电脑,轻手轻脚走向婴儿床。
明天还要上班,还要改bug,还要陪大宝搭积木。
但今晚,我又离“靠谱工程师”近了一步。
共勉。
评论 0