Как работает Spring Security?

Spring Security — это стандартный фреймворк безопасности для приложений на Spring, который предоставляет комплексные решения для аутентификации (кто вы?) и авторизации (что вам разрешено?). Его архитектура построена вокруг сервлетных фильтров, что позволяет ему перехватывать и обрабатывать каждый входящий HTTP-запрос до того, как он достигнет ваших контроллеров.

Основные компоненты и поток запроса

Когда запрос поступает в приложение, он проходит через цепочку фильтров Spring Security (SecurityFilterChain). Ключевые фильтры включают:

• UsernamePasswordAuthenticationFilter: Обрабатывает отправку формы логина.
• BasicAuthenticationFilter: Обрабатывает заголовок HTTP Basic Auth.
• AuthorizationFilter (ранее FilterSecurityInterceptor): Проверяет, имеет ли аутентифицированный пользователь доступ к запрашиваемому ресурсу.

Процесс аутентификации обычно делегируется AuthenticationManager, который, в свою очередь, использует ProviderManager и один или несколько AuthenticationProvider (например, DaoAuthenticationProvider для загрузки пользователей из базы данных). Успешная аутентификация создает объект Authentication, который помещается в SecurityContext, а тот хранится в SecurityContextHolder (часто в ThreadLocal).

Конфигурация и пример кода

Конфигурация может быть выполнена через Java-конфигурацию, расширяя WebSecurityConfigurerAdapter (в старых версиях) или объявляя бин SecurityFilterChain. Вот пример базовой конфигурации для защиты всех эндпоинтов, требующей аутентификации через форму логина:

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
            )
            .formLogin(form -> form
                .loginPage("/login")
                .permitAll()
            )
            .logout(logout -> logout.permitAll());
        return http.build();
    }

    // Пример in-memory аутентификации
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        return new InMemoryUserDetailsManager(user);
    }
}

Где применяется

Spring Security применяется практически во всех корпоративных Spring-приложениях, требующих контроля доступа. Он поддерживает множество сценариев: от простой аутентификации по форме до интеграции с OAuth2, JWT (JSON Web Tokens), LDAP и системами единого входа (SAML). Его фильтры и провайдеры легко расширяются для реализации кастомной логики безопасности.

Вывод: Spring Security стоит применять, когда необходимо реализовать надежную, стандартизированную и расширяемую систему безопасности в Spring-приложении, особенно в корпоративной среде с комплексными требованиями к ролям и правам доступа.