搜索
首页后端开发Golang了解 JWT 身份验证:Spring Security 的架构和 Go 实现

设置 JWT 无状态身份验证(可在此处获取)后,我想通过识别关键组件及其交互来了解 Spring Security 抽象下发生的情况。为了使这种探索更有吸引力,我使用标准 HTTP 库在 Go 中重新实现了一个最小版本。通过分解三个核心流程 - 注册、令牌生成和受保护的资源访问 - 并在 Go 中重建它们,我开始将 Spring Security 的身份验证模式映射到更简单的组件。

这篇文章特别关注身份验证流程 - 系统如何验证用户身份 - 而不是授权。我们将使用序列图探索流程,这些序列图通过 Spring Security 架构中的不同组件跟踪请求。

主要部件

系统提供三个端点:

  1. 用户注册:接受新用户的用户名和密码
  2. 令牌生成(登录):当用户使用有效凭据成功登录时创建 JWT 令牌
  3. 受保护的访问:使经过身份验证的用户能够使用其令牌访问受保护的资源。 getAuthenticatedUser 端点作为示例,返回经过身份验证的令牌持有者的个人资料信息

在以下部分中,我将解释每个流程中涉及的核心组件,并为每个流程提供序列图。

注册流程

Understanding JWT Authentication: Spring Security

包含用户名和密码的注册请求通过 Spring Security 过滤器链,由于注册端点被配置为不需要在 SecurityConfiguration 中进行身份验证,因此在该过滤器链中进行的处理最少。然后请求通过 Spring 的 DispatcherServlet,后者根据 URL 模式将其路由到 UserController 中的适当方法。请求到达 UserController 的注册端点,其中用户信息与散列密码一起存储。

代币生成流程

Understanding JWT Authentication: Spring Security

包含用户名和密码的登录请求通过 Spring Security 过滤器链,其中发生最少的处理,因为此端点也配置为不需要在 SecurityConfiguration 中进行身份验证。请求通过 Spring 的 DispatcherServlet 移动到 UserController 的登录端点,该端点委托给 AuthenticationManager。使用 ApplicationConfiguration 中定义的配置 bean,AuthenticationManager 根据存储的凭据验证提供的凭据。身份验证成功后,UserController 使用 JwtService 生成包含用户信息和创建时间等元数据的 JWT 令牌,该令牌将返回给客户端以供后续经过身份验证的请求。

受保护的资源访问流程

成功的身份验证流程 (200)

Understanding JWT Authentication: Spring Security

身份验证流程失败 (401)

Understanding JWT Authentication: Spring Security

当授权标头中包含 JWT 令牌的请求到达时,它会通过 JwtAuthenticationFilter - 自定义定义的 OncePerRequestFilter - 它使用 JwtService 处理令牌。如果有效,过滤器将通过 ApplicationConfiguration 中配置的 UserDetailsS​​ervice 检索用户,并在 SecurityContextHolder 中设置身份验证。如果令牌丢失或无效,过滤器将允许请求继续,而无需设置身份验证。

在链的后面,AuthorizationFilter 检查请求是否通过 SecurityContextHolder 进行了正确的身份验证。当它检测到缺少身份验证时,它会抛出 AccessDeniedException。此异常由 ExceptionTranslationFilter 捕获,它检查用户是否是匿名的,并委托给 SecurityConfiguration 中配置的 JwtAuthenticationEntryPoint 返回 401 Unauthorized 响应。

如果所有过滤器都通过,请求将到达 Spring 的 DispatcherServlet,后者将其路由到 UserController 中的 getAuthenticatedUser 端点。此端点从过滤器链过程中填充的 SecurityContextHolder 检索经过身份验证的用户信息。

注意:Spring Security 采用丰富的过滤器和专用组件生态系统来处理各种安全问题。为了理解核心身份验证流程,我只关注 JWT 令牌验证和用户身份验证中的关键参与者。

Go 实现:映射组件

Go 实现通过映射到关键 Spring Security 组件的简化架构提供类似的功能:

过滤链

  • 提供 Spring Security 过滤器链的最小版本
  • 按顺序处理每个请求的过滤器
  • 使用每个请求链实例(VirtualFilterChain)来实现线程安全

调度员

  • 映射到 Spring 的 DispatcherServlet
  • 安全过滤器处理后将请求路由到适当的处理程序

身份验证上下文

  • 使用Go的上下文包来存储每个请求的身份验证状态
  • 映射到 Spring 的 SecurityContextHolder

JwtFilter

  • 直接相当于Spring的JwtAuthenticationFilter
  • 提取并验证 JWT 令牌
  • 成功验证后填充身份验证上下文

身份验证过滤器

  • Spring的AuthorizationFilter的简化版
  • 专注于身份验证
  • 检查身份验证上下文,如果缺失则返回 401

JwtService

  • 类似于Spring的JwtService
  • 处理令牌生成和验证
  • 使用相同的核心 JWT 操作,但配置更简单

测试覆盖率

两种实现都包括验证密钥身份验证场景的集成测试(auth_test.go 和 AuthTest.java):

报名流程

  • 使用有效凭据成功用户注册
  • 重复的用户名注册尝试

登录流程

  • 使用有效凭据成功登录
  • 尝试使用不存在的用户名登录
  • 尝试使用错误密码登录

受保护的资源访问

  • 使用有效令牌成功访问
  • 没有 auth header 的访问尝试
  • 尝试使用无效令牌格式进行访问
  • 使用过期令牌进行访问
  • 尝试使用有效的令牌格式进行访问,但用户不存在

Java 实现包括详细注释,通过 Spring Security 的过滤器链解释每个测试场景的流程。使用等效组件在 Go 实现中复制这些相同的流程。

旅程总结

我通过将 Spring Security 的 JWT 身份验证分解为流程和测试用例来研究它。然后我将这些模式映射到 Go 组件。集成测试向我展示了请求如何流经 Spring Security 的过滤器链和组件。构建这些模式的简单版本帮助我理解了 Spring Security 的设计。测试证明两种实现都以相同的方式处理身份验证。通过分析、测试和重建,我对 Spring Security 的身份验证工作原理有了更深入的了解。

以上是了解 JWT 身份验证:Spring Security 的架构和 Go 实现的详细内容。更多信息请关注PHP中文网其他相关文章!

声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
您如何使用PPROF工具分析GO性能?您如何使用PPROF工具分析GO性能?Mar 21, 2025 pm 06:37 PM

本文解释了如何使用PPROF工具来分析GO性能,包括启用分析,收集数据并识别CPU和内存问题等常见的瓶颈。

您如何在GO中编写单元测试?您如何在GO中编写单元测试?Mar 21, 2025 pm 06:34 PM

本文讨论了GO中的编写单元测试,涵盖了最佳实践,模拟技术和有效测试管理的工具。

Debian OpenSSL有哪些漏洞Debian OpenSSL有哪些漏洞Apr 02, 2025 am 07:30 AM

OpenSSL,作为广泛应用于安全通信的开源库,提供了加密算法、密钥和证书管理等功能。然而,其历史版本中存在一些已知安全漏洞,其中一些危害极大。本文将重点介绍Debian系统中OpenSSL的常见漏洞及应对措施。DebianOpenSSL已知漏洞:OpenSSL曾出现过多个严重漏洞,例如:心脏出血漏洞(CVE-2014-0160):该漏洞影响OpenSSL1.0.1至1.0.1f以及1.0.2至1.0.2beta版本。攻击者可利用此漏洞未经授权读取服务器上的敏感信息,包括加密密钥等。

如何编写模拟对象和存根以进行测试?如何编写模拟对象和存根以进行测试?Mar 10, 2025 pm 05:38 PM

本文演示了创建模拟和存根进行单元测试。 它强调使用接口,提供模拟实现的示例,并讨论最佳实践,例如保持模拟集中并使用断言库。 文章

如何定义GO中仿制药的自定义类型约束?如何定义GO中仿制药的自定义类型约束?Mar 10, 2025 pm 03:20 PM

本文探讨了GO的仿制药自定义类型约束。 它详细介绍了界面如何定义通用功能的最低类型要求,从而改善了类型的安全性和代码可重复使用性。 本文还讨论了局限性和最佳实践

解释GO反射软件包的目的。您什么时候使用反射?绩效有什么影响?解释GO反射软件包的目的。您什么时候使用反射?绩效有什么影响?Mar 25, 2025 am 11:17 AM

本文讨论了GO的反思软件包,用于运行时操作代码,对序列化,通用编程等有益。它警告性能成本,例如较慢的执行和更高的内存使用,建议明智的使用和最佳

您如何在GO中使用表驱动测试?您如何在GO中使用表驱动测试?Mar 21, 2025 pm 06:35 PM

本文讨论了GO中使用表驱动的测试,该方法使用测试用例表来测试具有多个输入和结果的功能。它突出了诸如提高的可读性,降低重复,可伸缩性,一致性和A

如何使用跟踪工具了解GO应用程序的执行流?如何使用跟踪工具了解GO应用程序的执行流?Mar 10, 2025 pm 05:36 PM

本文使用跟踪工具探讨了GO应用程序执行流。 它讨论了手册和自动仪器技术,比较诸如Jaeger,Zipkin和Opentelemetry之类的工具,并突出显示有效的数据可视化

See all articles

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
3 周前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳图形设置
3 周前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.如果您听不到任何人,如何修复音频
3 周前By尊渡假赌尊渡假赌尊渡假赌

热工具

SecLists

SecLists

SecLists是最终安全测试人员的伙伴。它是一个包含各种类型列表的集合,这些列表在安全评估过程中经常使用,都在一个地方。SecLists通过方便地提供安全测试人员可能需要的所有列表,帮助提高安全测试的效率和生产力。列表类型包括用户名、密码、URL、模糊测试有效载荷、敏感数据模式、Web shell等等。测试人员只需将此存储库拉到新的测试机上,他就可以访问到所需的每种类型的列表。

EditPlus 中文破解版

EditPlus 中文破解版

体积小,语法高亮,不支持代码提示功能

适用于 Eclipse 的 SAP NetWeaver 服务器适配器

适用于 Eclipse 的 SAP NetWeaver 服务器适配器

将Eclipse与SAP NetWeaver应用服务器集成。

Atom编辑器mac版下载

Atom编辑器mac版下载

最流行的的开源编辑器

PhpStorm Mac 版本

PhpStorm Mac 版本

最新(2018.2.1 )专业的PHP集成开发工具