Spring Security本质上是一个过滤器链,里面包含着多个过滤器,用来拦截过滤对应的请求
Spring Security 主要分为认证和授权两个部分,认证:用通俗的话来说就是去查看数据库中有没有这个用户;授权:再找到这个用户后对该用户进行权限的赋予。
Spring Security的整个流程大致如下:
1. 首先是用户登录,获取用户名和密码;
2.用户名和密码会被Spring Security拦截:在此过程中,会先获取用户名,然后去比对用户名和数据库中的是否一致,接着通过用户名去查询密码,并比对密码与输入的密码是否一致,其中密码默认通过BCryptPasswordEncoder进行加密;
3.在确认完用户的信息之后,会把用户信息封装到springSecurity LoginUser对象中,如果认证成功,则会通过用户的id查询数据库,获取用户的权限关系;
4.在认证成功之后吗,会将用户对象通过jwt加密,此过程中可以将token顺便放到redis中
5.最后返回给前端的则是token的uuid
在整个过程中,过滤器主要用来判断请求头上有没有token的uuid,如果没有就直接return,如果有的话则通过token的uuid去查看redis中的token;之后对token进行解析,获取body那部分信息;最后通过session进行数据共享,将用户对象信息放到Spring Security的一个本地线程SecContextHolder当中。