SS中的CSRF,passwordEncoder,authenticationProvider,authenticationManager,securityFilterChain几个概念及调用时机
一、CSRF 令牌(Cross-Site Request Forgery)
作用
防「跨站请求伪造攻击」:比如你登录银行网站后,黑客诱导你点他的链接,利用你的登录状态偷偷转走你的钱,CSRF 令牌就是给每个请求加「专属验证码」,确保请求是你主动发起的,不是黑客伪造的。
什么时候不用
前后端分离项目(Vue/React + Spring Boot)+ JWT 认证时必须禁用:因为 JWT 是放在请求头里的,黑客拿不到;而 CSRF 令牌主要保护「基于 Cookie 的会话认证」,和 JWT 不兼容。
二、核心组件:作用 + 调用时机
| 组件名 | 核心作用 | 调用时机 |
|---|---|---|
| passwordEncoder(密码编码器) | 1. 存密码时:把明文密码(123456)加密成密文($2a$10$xxx)存数据库,防泄露2. 验证时:把用户输入的明文密码加密后,和数据库密文对比 | - 注册 / 修改密码:调用encode()加密- 登录验证:Spring Security 自动调用matches()对比密码 |
| authenticationProvider(认证提供者) | 「实际干活的人」:负责查数据库拿用户信息 + 调用 passwordEncoder 验证密码,判断账号密码是否正确 | 登录时(比如调用/api/auth/login):AuthenticationManager 会把认证请求交给它处理 |
| authenticationManager(认证管理器) | 「调度员」:不自己干活,接收登录请求后,转发给 authenticationProvider 处理,返回认证结果(成功 / 失败) | - 登录接口手动调用(比如authManager.authenticate(...))- Spring Security 自动处理表单登录时调用 |
| securityFilterChain(安全过滤链) | 「大门保安」:所有请求进来先过它这关,负责:1. 禁用 CSRF、设置无状态会话 2. 判断哪些接口不用登录(比如 /login)、哪些需要 3. 把请求交给 JWT 过滤器验证 Token | 项目启动时加载规则,每个 HTTP 请求都会触发它的规则检查 |
三、一句话串联调用流程(登录场景)
- 用户调
/api/auth/login传账号密码 →securityFilterChain先检查:这个接口放行,不用认证; - 代码里调用authenticationManager处理登录请求 → 它把请求转给authenticationProvider;
- authenticationProvider查数据库拿用户密文密码 → 调用passwordEncoder对比用户输入的明文和数据库密文;
- 密码正确 → 生成 JWT 返回;密码错误 → 认证失败。
四、补充(JWT 场景的额外调用)
非登录请求(比如/api/invoices):
- securityFilterChain检查:这个接口需要认证 → 先调用JwtAuthenticationFilter;
- 过滤器验证 Token 有效后 → 调用authenticationManager/authenticationProvider加载用户权限;
- 最后通过securityFilterChain的权限规则,判断用户是否能访问该接口。
总结
- CSRF 令牌:保护 Cookie 认证,JWT 场景禁用;
- passwordEncoder:只干「加密 / 对比密码」一件事;
- authenticationProvider:实际查库 + 验证密码;
- authenticationManager:调度认证请求;
- securityFilterChain:所有请求的第一道安全关卡,管规则、管过滤器。