Spring Security api接口 认证放行
实现类
ApiKeyAuthFilter认证过滤器ApiKeyAuthenticationToken认证令牌ApiKeyAuthenticationProviderAPI认证鉴权SecurityConfig安全配置类
ApiKeyAuthFilter
方法概要OncePerRequestFilter 是 Spring Web 提供的一个抽象过滤器基类,核心作用是确保过滤器的 doFilterInternal 方法在一次HTTP 请求的整个处理流程中只执行一次。
@Component 自动注册为 Spring Bean。
注入 AuthenticationManager
AuthenticationManager是 Spring Security 的 认证总入口;- 调用它的
authenticate()方法会:- 遍历所有
AuthenticationProvider; - 找到支持
ApiKeyAuthenticationToken的 Provider(即你的ApiKeyAuthenticationProvider); - 执行验证逻辑。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
public class ApiKeyAuthFilter extends OncePerRequestFilter {
private AuthenticationManager authenticationManager; // 注入 AuthenticationManager
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
String apiKey = request.getHeader("X-API-Key");
// 只处理 /api/ 开头的接口(根据你的需求调整)
if (apiKey != null && request.getRequestURI().startsWith("/api/")) {
try {
// 1. 创建未认证的 Token
ApiKeyAuthenticationToken authToken = new ApiKeyAuthenticationToken(apiKey);
// 2. ⭐️ 关键:显式调用 AuthenticationManager 进行认证
Authentication authenticated = authenticationManager.authenticate(authToken);
// 3. 将认证成功的 Token 放入 SecurityContext
SecurityContextHolder.getContext().setAuthentication(authenticated);
} catch (AuthenticationException e) {
// 认证失败:清空上下文,并返回 401
SecurityContextHolder.clearContext();
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
response.getWriter().write("Invalid API Key");
return;
}
}
filterChain.doFilter(request, response);
}
}
- 遍历所有
ApiKeyAuthenticationToken
AbstractAuthenticationToken 是 Spring Security 提供的认证令牌抽象类
继承实现用户登录以及令牌校验的操作,当 setAuthenticated 等于true时直接放行
1 | public class ApiKeyAuthenticationToken extends AbstractAuthenticationToken { |
ApiKeyAuthenticationProvider
Spring Security 中实现 API Key 认证的核心组件,它负责 验证客户端传入的 API Key 是否合法,并生成已认证的安全上下文(Authentication)。
核心关系:接口约定 + 方法实现(契约模式)AuthenticationProvider 是 Spring Security 定义的认证核心接口(契约),authenticate() 是这个接口强制要求实现的核心方法(契约内容)—— 简单说:
- implements AuthenticationProvider:表示你的类「承诺遵守 Spring Security 的认证规则」;
- authenticate():是你兑现这个承诺的「具体认证逻辑」(校验 API Key、用户名密码等)。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
public class ApiKeyAuthenticationProvider implements AuthenticationProvider {
private ISysApiKeysService sysApiKeysService;
// 核心方法:执行具体的认证逻辑
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
String providedKey = (String) authentication.getCredentials();
SysApiKeys sysApiKeys = sysApiKeysService.selectByApikey(providedKey);
if(sysApiKeys != null){
ApiKeyAuthenticationToken authenticatedToken =
new ApiKeyAuthenticationToken(sysApiKeys);
return authenticatedToken;
}
throw new BadCredentialsException("Invalid API Key");
}
// 辅助方法:判断当前 Provider 是否支持处理某个类型的 Token
public boolean supports(Class<?> authentication) {
return ApiKeyAuthenticationToken.class.isAssignableFrom(authentication);
}
}
SecurityConfig
@EnableMethodSecurity 注解(配合 @Configuration)是为了启用方法级别的权限控制,比如通过 @PreAuthorize、@Secured 等注解限制接口访问addFilterBefore() 是 Spring Security 中用于自定义过滤器链顺序的核心方法,它的作用是:
在指定的内置(或已注册)Filter 之前插入你自己的 Filter。所以必须在 原有UsernamePasswordAuthenticationFilter 认证之前去先走apiKeyAuthFilter
1 | // 添加 Api filter |
protected SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception
Spring Security 中配置 HTTP 层面安全规则的核心方法,它的核心作用是通过 HttpSecurity 对象定制请求的安全策略(如哪些请求需要认证、哪些放行、用什么方式认证、异常如何处理等)。下面我会从「核心作用、常用配置、实战示例、与方法级权限的区别」四个维度讲清楚这个方法的用处。
- 这个方法的本质是构建一个
SecurityFilterChain过滤器链,Spring Security 会将这个过滤器链应用到所有 - HTTP 请求上,实现: 控制哪些请求需要认证、哪些请求可以匿名访问(放行);
- 定义认证方式(如 HTTP Basic、表单登录、JWT
过滤器等); - 配置跨域(CORS)、CSRF 防护、会话管理; 定制认证失败、权限不足的响应(如返回 JSON 而非默认页面);
- 整合自定义过滤器(如 JWT 校验过滤器)。
完整代码
1 | /** |