搜索
首页后端开发Golang了解 JWT 身份验证:Spring Security 的架构和 Go 实现

设置 JWT 无状态身份验证(可在此处获取)后,我想通过识别关键组件及其交互来了解 Spring Security 抽象下发生的情况。为了使这种探索更有吸引力,我使用标准 HTTP 库在 Go 中重新实现了一个最小版本。通过分解三个核心流程 - 注册、令牌生成和受保护的资源访问 - 并在 Go 中重建它们,我开始将 Spring Security 的身份验证模式映射到更简单的组件。

这篇文章特别关注身份验证流程 - 系统如何验证用户身份 - 而不是授权。我们将使用序列图探索流程,这些序列图通过 Spring Security 架构中的不同组件跟踪请求。

主要部件

系统提供三个端点:

  1. 用户注册:接受新用户的用户名和密码
  2. 令牌生成(登录):当用户使用有效凭据成功登录时创建 JWT 令牌
  3. 受保护的访问:使经过身份验证的用户能够使用其令牌访问受保护的资源。 getAuthenticatedUser 端点作为示例,返回经过身份验证的令牌持有者的个人资料信息

在以下部分中,我将解释每个流程中涉及的核心组件,并为每个流程提供序列图。

注册流程

Understanding JWT Authentication: Spring Security

包含用户名和密码的注册请求通过 Spring Security 过滤器链,由于注册端点被配置为不需要在 SecurityConfiguration 中进行身份验证,因此在该过滤器链中进行的处理最少。然后请求通过 Spring 的 DispatcherServlet,后者根据 URL 模式将其路由到 UserController 中的适当方法。请求到达 UserController 的注册端点,其中用户信息与散列密码一起存储。

代币生成流程

Understanding JWT Authentication: Spring Security

包含用户名和密码的登录请求通过 Spring Security 过滤器链,其中发生最少的处理,因为此端点也配置为不需要在 SecurityConfiguration 中进行身份验证。请求通过 Spring 的 DispatcherServlet 移动到 UserController 的登录端点,该端点委托给 AuthenticationManager。使用 ApplicationConfiguration 中定义的配置 bean,AuthenticationManager 根据存储的凭据验证提供的凭据。身份验证成功后,UserController 使用 JwtService 生成包含用户信息和创建时间等元数据的 JWT 令牌,该令牌将返回给客户端以供后续经过身份验证的请求。

受保护的资源访问流程

成功的身份验证流程 (200)

Understanding JWT Authentication: Spring Security

身份验证流程失败 (401)

Understanding JWT Authentication: Spring Security

当授权标头中包含 JWT 令牌的请求到达时,它会通过 JwtAuthenticationFilter - 自定义定义的 OncePerRequestFilter - 它使用 JwtService 处理令牌。如果有效,过滤器将通过 ApplicationConfiguration 中配置的 UserDetailsS​​ervice 检索用户,并在 SecurityContextHolder 中设置身份验证。如果令牌丢失或无效,过滤器将允许请求继续,而无需设置身份验证。

在链的后面,AuthorizationFilter 检查请求是否通过 SecurityContextHolder 进行了正确的身份验证。当它检测到缺少身份验证时,它会抛出 AccessDeniedException。此异常由 ExceptionTranslationFilter 捕获,它检查用户是否是匿名的,并委托给 SecurityConfiguration 中配置的 JwtAuthenticationEntryPoint 返回 401 Unauthorized 响应。

如果所有过滤器都通过,请求将到达 Spring 的 DispatcherServlet,后者将其路由到 UserController 中的 getAuthenticatedUser 端点。此端点从过滤器链过程中填充的 SecurityContextHolder 检索经过身份验证的用户信息。

注意:Spring Security 采用丰富的过滤器和专用组件生态系统来处理各种安全问题。为了理解核心身份验证流程,我只关注 JWT 令牌验证和用户身份验证中的关键参与者。

Go 实现:映射组件

Go 实现通过映射到关键 Spring Security 组件的简化架构提供类似的功能:

过滤链

  • 提供 Spring Security 过滤器链的最小版本
  • 按顺序处理每个请求的过滤器
  • 使用每个请求链实例(VirtualFilterChain)来实现线程安全

调度员

  • 映射到 Spring 的 DispatcherServlet
  • 安全过滤器处理后将请求路由到适当的处理程序

身份验证上下文

  • 使用Go的上下文包来存储每个请求的身份验证状态
  • 映射到 Spring 的 SecurityContextHolder

JwtFilter

  • 直接相当于Spring的JwtAuthenticationFilter
  • 提取并验证 JWT 令牌
  • 成功验证后填充身份验证上下文

身份验证过滤器

  • Spring的AuthorizationFilter的简化版
  • 专注于身份验证
  • 检查身份验证上下文,如果缺失则返回 401

JwtService

  • 类似于Spring的JwtService
  • 处理令牌生成和验证
  • 使用相同的核心 JWT 操作,但配置更简单

测试覆盖率

两种实现都包括验证密钥身份验证场景的集成测试(auth_test.go 和 AuthTest.java):

报名流程

  • 使用有效凭据成功用户注册
  • 重复的用户名注册尝试

登录流程

  • 使用有效凭据成功登录
  • 尝试使用不存在的用户名登录
  • 尝试使用错误密码登录

受保护的资源访问

  • 使用有效令牌成功访问
  • 没有 auth header 的访问尝试
  • 尝试使用无效令牌格式进行访问
  • 使用过期令牌进行访问
  • 尝试使用有效的令牌格式进行访问,但用户不存在

Java 实现包括详细注释,通过 Spring Security 的过滤器链解释每个测试场景的流程。使用等效组件在 Go 实现中复制这些相同的流程。

旅程总结

我通过将 Spring Security 的 JWT 身份验证分解为流程和测试用例来研究它。然后我将这些模式映射到 Go 组件。集成测试向我展示了请求如何流经 Spring Security 的过滤器链和组件。构建这些模式的简单版本帮助我理解了 Spring Security 的设计。测试证明两种实现都以相同的方式处理身份验证。通过分析、测试和重建,我对 Spring Security 的身份验证工作原理有了更深入的了解。

以上是了解 JWT 身份验证:Spring Security 的架构和 Go 实现的详细内容。更多信息请关注PHP中文网其他相关文章!

声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
GO中的接口和多态性:实现代码可重复使用性GO中的接口和多态性:实现代码可重复使用性Apr 29, 2025 am 12:31 AM

Interfaceand -polymormormormormormingingoenhancecodereusability and Maintainability.1)DewineInterfaceSattherightabStractractionLevel.2)useInterInterFacesForceFordEffeldIndentientIndoction.3)ProfileCodeTomanagePerformanceImpacts。

'初始化”功能在GO中的作用是什么?'初始化”功能在GO中的作用是什么?Apr 29, 2025 am 12:28 AM

TheinitfunctioninGorunsautomaticallybeforethemainfunctiontoinitializepackagesandsetuptheenvironment.It'susefulforsettingupglobalvariables,resources,andperformingone-timesetuptasksacrossanypackage.Here'showitworks:1)Itcanbeusedinanypackage,notjusttheo

GO中的界面组成:构建复杂的抽象GO中的界面组成:构建复杂的抽象Apr 29, 2025 am 12:24 AM

接口组合在Go编程中通过将功能分解为小型、专注的接口来构建复杂抽象。1)定义Reader、Writer和Closer接口。2)通过组合这些接口创建如File和NetworkStream的复杂类型。3)使用ProcessData函数展示如何处理这些组合接口。这种方法增强了代码的灵活性、可测试性和可重用性,但需注意避免过度碎片化和组合复杂性。

在GO中使用Init功能时的潜在陷阱和考虑因素在GO中使用Init功能时的潜在陷阱和考虑因素Apr 29, 2025 am 12:02 AM

initfunctionsingoareAutomationalCalledBeLedBeForeTheMainFunctionandAreuseFulforSetupButcomeWithChallenges.1)executiondorder:totiernitFunctionSrunIndIndefinitionorder,cancancapationSifsUsiseSiftheyDepplothother.2)测试:sterfunctionsmunctionsmunctionsMayInterfionsMayInterferfereWithTests,b

您如何通过Go中的地图迭代?您如何通过Go中的地图迭代?Apr 28, 2025 pm 05:15 PM

文章通过GO中的地图讨论迭代,专注于安全实践,修改条目和大型地图的性能注意事项。

您如何在GO中创建地图?您如何在GO中创建地图?Apr 28, 2025 pm 05:14 PM

本文讨论了创建和操纵GO中的地图,包括初始化方法以及添加/更新元素。

阵列和切片的GO有什么区别?阵列和切片的GO有什么区别?Apr 28, 2025 pm 05:13 PM

本文讨论了GO中的数组和切片之间的差异,重点是尺寸,内存分配,功能传递和用法方案。阵列是固定尺寸的,分配的堆栈,而切片是动态的,通常是堆积的,并且更灵活。

您如何在Go中创建切片?您如何在Go中创建切片?Apr 28, 2025 pm 05:12 PM

本文讨论了在GO中创建和初始化切片,包括使用文字,制造功能以及切片现有数组或切片。它还涵盖了切片语法并确定切片长度和容量。

See all articles

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

Video Face Swap

Video Face Swap

使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热工具

EditPlus 中文破解版

EditPlus 中文破解版

体积小,语法高亮,不支持代码提示功能

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

WebStorm Mac版

WebStorm Mac版

好用的JavaScript开发工具

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

功能强大的PHP集成开发环境

SublimeText3 Mac版

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)