如何自己封装一个 Spring Boot 登录 Starter?通用认证流程与扩展点设计实战

原创 已于 2026-06-22 13:12:16 修改 · 334 阅读 · 4 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#spring boot #java #starter #设计模式
于 2026-06-02 09:37:12 首次发布

本篇文章的目标读者:想理解 Spring Boot Starter 的开发方式、想把认证登录能力(或其他通用能力)组件化的同学。

那我们为什么要写一个登录的 Starter 呢?

Starter 其实就是一个快速的启动器,帮你快速接入某一类功能的一组依赖和默认配置入口。通过引入 Starter 后,我们就不需要单个引入一堆依赖了。

如果你的公司有好多系统,你肯定不想为每个系统都写一套 /auth/login、JWT 生成、JWT 刷新、密码校验、登录态解析,你说可以直接复制过去,但每个系统的用户表可能不一样、密码比较规则可能也不一样、每个系统的前置后置逻辑可能也不一样、token续期逻辑可能也不一样,所以我们要把这一套固定流程沉淀成 starter,把变化点开放成扩展接口。

本篇文章就带大家从零搭建一个Spring Boot Starter 的登录组件,当然,大家在后续业务开发中可以完全使用这个框架抽象其他的通用能力进行封装。

1.Starter项目结构

我们可以参考springboot的开发方式,主要分为4层结构

1.auth-login-core

这个模块主要放认证领域模型、登录主流程、业务扩展接口等,比如一些用的的实体、dto、主要实现、接口定义。

2.auth-login-spring-boot-autoconfigure

这个模块主要放自动配置和真正开箱即用的能力,一些配置类的能力、过滤器、AuthAutoConfiguration、JwtTokenService等。

3.auth-login-spring-boot-starter

这个模块是给业务方引入的依赖入口。它本身几乎不写业务代码,只负责聚合依赖。比如我们可以直接在业务项目中引入(springboot就是这么搞的)。

4.auth-login-demo

这个模块主要用来演示业务项目如何接入自定义 starter 、实现auth-login-core中的接口,上面我们提到了auth-login-spring-boot-starter这个模块不写任何业务代码,主要是为了让业务方直接引用,比如:

<dependency>
            <groupId>com.jag.auth</groupId>
            <artifactId>auth-login-spring-boot-starter</artifactId>
            <version>${project.version}</version>
        </dependency>

2.明确边界,starter 负责什么

在登录的场景下,starter主要负责: /auth/login、/auth/refresh、JWT accessToken / refreshToken 生成、登录主流程编排、自动配置与过滤器等。

业务系统主要负责:根据用户名查询自己系统的用户、如果密码规则特殊,自己实现 PasswordMatcher 进行密码比对、可选前置校验,比如验证码、租户校验、可选登录成功失败后的审计处理等。

3.项目结构拆解

直接上图吧,比较清晰(绿色部分是需要我们业务实现的,黄色部分是组件实现的)

在这里插入图片描述

4.核心设计:模板方法 + 策略模式 + 扩展点模式

4.1.auth-login-core 模块中的核心实现

对于登录逻辑,我们要制定一套登录的主流程,也就是定义个模版。

这套流程主要功能为:前置校验、查找用户、校验密码、校验状态、生成 token、返回响应。这个流程固定死,不要直接让用户去实现,用户可按需求实现其中某个细节。 这就是模版方法模式/策略模式 / 扩展点模式。

登录模版实现细节 (我把注释放到了代码段里 方便理解)

public class DefaultLoginService implements LoginService {

    private final List<LoginPreChecker> preCheckers;
    private final AuthUserLoader authUserLoader;
    private final PasswordMatcher passwordMatcher;
    private final UserStatusChecker userStatusChecker;
    private final TokenService tokenService;
    private final List<LoginSuccessHandler> successHandlers;
    private final List<LoginFailureHandler> failureHandlers;

  	// 构造方法注入实例
    public DefaultLoginService(List<LoginPreChecker> preCheckers,
                               AuthUserLoader authUserLoader,
                               PasswordMatcher passwordMatcher,
                               UserStatusChecker userStatusChecker,
                               TokenService tokenService,
                               List<LoginSuccessHandler> successHandlers,
                               List<LoginFailureHandler> failureHandlers) {
        this.preCheckers = preCheckers;
        this.authUserLoader = authUserLoader;
        this.passwordMatcher = passwordMatcher;
        this.userStatusChecker = userStatusChecker;
        this.tokenService = tokenService;
        this.successHandlers = successHandlers;
        this.failureHandlers = failureHandlers;
    }

    @Override
    public LoginResponse login(LoginRequest request) {
        try {
          	// 1.前置检查:遍历并且执行业务实现的 LoginPreChecker
            for (LoginPreChecker preChecker : preCheckers) {
                preChecker.check(request);
            }
						// 2.查找用户:获取业务系统用户,业务系统需实现这个方法
            AuthUser user = authUserLoader.loadByUsername(request.getUsername());
            if (user == null) {
                throw new AuthException("USER_NOT_FOUND", "User does not exist");
            }
						// 3.校验密码:业务系统实现 PasswordMatcher 可以定义自己的密码校验逻辑
            if (!passwordMatcher.matches(request.getPassword(), user.getPasswordHash())) {
                throw new AuthException("BAD_CREDENTIALS", "Username or password is incorrect");
            }
						// 4.校验状态:业务系统可以实现此方法校验用户状态等
            userStatusChecker.check(user);
          
          	// 5.生成token:token生成的逻辑一般不需要业务系统实现
            TokenPair tokenPair = tokenService.generate(user);
          
						// 6.成功处理器:比如可以通过实现 LoginSuccessHandler 来记录登录成功日志
            for (LoginSuccessHandler successHandler : successHandlers) {
                successHandler.onSuccess(user, tokenPair);
            }
            return LoginResponse.from(user, tokenPair);
        } catch (Exception ex) {
          	// 7.失败处理器:比如可以通过实现 LoginFailureHandler 来记录异常信息
            for (LoginFailureHandler failureHandler : failureHandlers) {
                failureHandler.onFailure(request, ex);
            }
            throw ex;
        }
    }

    @Override
    public TokenPair refreshToken(String refreshToken) {
        return tokenService.refresh(refreshToken);
    }
}

我把上述核心的业务扩展接口列一下,以下接口均可提供默认实现或业务实现。

// 查找用户
public interface AuthUserLoader {
    AuthUser loadByUsername(String username);
}
// 失败处理器
public interface LoginFailureHandler {
    void onFailure(LoginRequest request, Exception ex);
}
// 前置检查
public interface LoginPreChecker {
    void check(LoginRequest request);
}
// 成功处理器
public interface LoginSuccessHandler {
    void onSuccess(AuthUser user, TokenPair tokenPair);
}
// 校验密码
public interface PasswordMatcher {
    boolean matches(String rawPassword, String encodedPassword);
}
// 校验状态
public interface UserStatusChecker {
    void check(AuthUser user);
}

4.2.auth-login-spring-boot-autoconfigure 模块中核心实现

这个模块主要提供登录入口、自动配置、初始化 Bean、Jwt 实现、过滤器等,这里主要对自动配置和初始化 Bean 做下说明。

首先为了让 Spring Boot 知道要去加载我们的 AuthAutoConfiguration ,需要在 META-INF/spring.factories 里声明自动配置类。

例如:

org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
com.jag.auth.autoconfigure.config.AuthAutoConfiguration

然后我们需要定义一个 AuthAutoConfiguration 来初始化 Bean,并且通过 @ConditionalOnMissingBean 注解提供默认实现,业务系统如需覆盖直接创建对应实现类即可

@Configuration
@EnableConfigurationProperties(AuthProperties.class)
@ConditionalOnClass(HttpSecurity.class)
public class AuthAutoConfiguration {
    @Bean
    @ConditionalOnMissingBean
    public PasswordMatcher passwordMatcher() {
        return new BCryptPasswordMatcher();
    }
    @Bean
    @ConditionalOnMissingBean
    public UserStatusChecker userStatusChecker() {
        return new DefaultUserStatusChecker();
    }
    @Bean
    @ConditionalOnMissingBean
    public TokenService tokenService(AuthProperties authProperties) {
        return new JwtTokenService(authProperties);
    }
    @Bean
    @ConditionalOnMissingBean
    public LoginService loginService(ObjectProvider<List<LoginPreChecker>> preCheckersProvider,
                                     AuthUserLoader authUserLoader,
                                     PasswordMatcher passwordMatcher,
                                     UserStatusChecker userStatusChecker,
                                     TokenService tokenService,
                                     ObjectProvider<List<LoginSuccessHandler>> successHandlersProvider,
                                     ObjectProvider<List<LoginFailureHandler>> failureHandlersProvider) {
        return new DefaultLoginService(
                preCheckersProvider.getIfAvailable(Collections::emptyList),
                authUserLoader,
                passwordMatcher,
                userStatusChecker,
                tokenService,
                successHandlersProvider.getIfAvailable(Collections::emptyList),
                failureHandlersProvider.getIfAvailable(Collections::emptyList)
        );
    }
    @Bean
    @ConditionalOnMissingBean
    public JwtAuthenticationFilter jwtAuthenticationFilter(TokenService tokenService, AuthProperties authProperties) {
        return new JwtAuthenticationFilter(tokenService, authProperties);
    }
    @Bean
    @ConditionalOnMissingBean
    public SecurityFilterChain securityFilterChain(HttpSecurity http,
                                                   JwtAuthenticationFilter jwtAuthenticationFilter) throws Exception {
        http
                .csrf(AbstractHttpConfigurer::disable)
                .httpBasic(AbstractHttpConfigurer::disable)
                .formLogin(AbstractHttpConfigurer::disable)
                .authorizeHttpRequests(authorize -> authorize
                        .antMatchers("/auth/login", "/auth/refresh").permitAll()
                        .anyRequest().authenticated()
                )
                .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
                .exceptionHandling(Customizer.withDefaults());
        return http.build();
    }
    @Bean
    @ConditionalOnMissingBean
    public AuthController authController(LoginService loginService) {
        return new AuthController(loginService);
    }
    @Bean
    @ConditionalOnMissingBean
    public AuthExceptionHandler authExceptionHandler() {
        return new AuthExceptionHandler();
    }
}

4.3.了解 @ConditionalOnMissingBean 注解

用 PasswordMatcher 这个接口类举例,正常我们组件里已经实现了一套默认的密码比较逻辑,那业务系统想覆盖我们的逻辑,是如何实现的呢?

就是通过 @ConditionalOnMissingBean 注解,过程就是:

  1. starter 先声明了一个默认的 PasswordMatcher
  2. 但它加了 @ConditionalOnMissingBean 注解
  3. 业务系统自己也提供了同类型的 Bean
  4. starter 发现“已经有人提供了”,自己就退让
  5. 最终 DefaultLoginService 注入到的就是业务系统自己的实现

4.4.auth-login-spring-boot-starter 中核心实现

auth-login-spring-boot-starter 模块并不需要任何业务实现,但它却非常重要。

它的主要作用就是聚合组件中的所有依赖,通过 auth-login-spring-boot-starter 暴露入口让业务引用,依赖简洁,屏蔽内部模块拆分细节等。

springboot中的大量组件都是这个套路。

5.业务系统接入

首先引入自定义 starter 依赖

<dependency>
            <groupId>com.jag.auth</groupId>
            <artifactId>auth-login-spring-boot-starter</artifactId>
            <version>${project.version}</version>
        </dependency>

然后只需实现可扩展接口即可

在这里插入图片描述

6.完整源码

完整源码地址我放到评论区了

后续我们也可以将自定义的 starter 发布到 Maven 私服,这样就可以直接在公司内部使用了,关于如何发布到Maven私服涉及到的内容也不少,大家感兴趣的可以自己查查相关资料,后面有精力也会写一篇文章一起学习。

最近看到一个很扎心的现象:企业越来越关注开发效率,而 AI 正在成为新的生产力工具。同样的需求,会使用 AI 的工程师往往能够更快完成设计、编码和测试工作。与其担心被 AI 替代,不如尽早学会驾驭 AI。最近我不仅在学习 Java 底层,还在学习一些人工智能的知识,发现了一个不错的 AI 学习网站,内容通俗易懂,比较适合程序员快速上手,感兴趣的话也可以看看:人工智能学习网

One more thing

获得真正自由的方法是要学会自我控制。如果情绪总是处于失控状态就会被感情牵着鼻子走,丧失自由。所以那些精神自由,保持独立思考的人也正是擅长于控制自己情绪的人。

从 0 到 1 精通 Spring Boot 3.x:自定义 Starter 开发企业级实践(附完整源码)
2503_91057718的博客
09-22 1644
本文深入解析了SpringBoot Starter的核心原理,并演示了如何开发一个企业级用户认证Starter。主要内容包括:1. Starter核心原理:通过自动配置类、条件注解和配置属性绑定实现"引入即生效";2. 实战开发:设计用户认证Starter,包含拦截器、Token服务等核心功能;3. 关键实现:配置属性绑定、自动配置类编写、资源文件配置;4. 注意事项:依赖管理的最小化原则和版本控制。该Starter支持灵活配置拦截路径、Token过期时间等参数,可直接集成到Spring
做基于Spring Security Jwt认证Starter
qq_41090272的博客
09-19 818
以前老的项目大多采用的是session进行用户身份的管理,目前很多公司的项目都是前后端分离, 这样使用session 成本就会变高,然后多数项目会采用Jwt进行用户的身份的管理。 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。有不清楚的同学可以先看看者篇文章:10分钟了解JSON Web令牌(JWT) 今天要做的事就是将Jwt认证和授权的过程封装一个Springboo...
HBuilderX和IntelliJ IDEA实现简单登录认证功能
沐雨橙风ιε的博客
10-17 1万+
今天抽空写了一个登录的demo项目,使用HBuilderX和IntelliJ IDEA创建前后端分离的项目,并实现简单的登录功能(简单连接数据库判断),通过Ajax后端的Spring Boot项目进行交互。
jsets-shiro-spring-boot-starter 使用教程
gitblog_00710的博客
08-26 589
jsets-shiro-spring-boot-starter 使用教程 项目介绍 jsets-shiro-spring-boot-starter一个用于在 Spring Boot 项目中集成 Apache Shiro 权限管理框架的 Starter 项目。该项目旨在简化 Shiro 在 Spring Boot 中的配置和使用,提供开箱即用的体验。它封装了常用的功能,如验证码、密码错误次数限制...
SpringBoot 4.x 第1节】夯爆了,为什么现在要学 Spring Boot 4.x?从零开始理解版本体系、核心变化真实项目开发路线(超详解)!
热门推荐
**My Coding Family**
05-19 1万+
🏆 本文收录于 《滚雪球学 Spring Boot 4.x》 专栏。 本专栏面向 有一点 Java 基础,但没有系统学过 Spring Boot 的读者,采用“滚雪球式学习法”:先跑通、再理解、再重构、再上线,最终带你从第一个 Hello API 一路完成一个可部署、可监控、可扩展的后端项目。
一个基于 Spring boot + shiro + redis mybatis 的单点登录starter
编码爱好者
03-09 903
这是我个人参考 https://gitee.com/liselotte/spring-boot-shiro-demo 进行修改,简单的封装一个基于shiro的单点登录starter 我个人不反对你们转发、复制、包括下载以及修改源码等等操作,如果你觉得有用,点个赞,如果你觉得我写的很差,请轻点喷我,毕竟我还是一个菜鸡。。。。 注意事项: 1、支持微服务模块 2、此项目未上传至中央仓库,如有需要,可自...
spring boot集成spring-boot-starter-mail邮件功能
qinshengfei的专栏
01-04 4842
前情提要 以目前IT系统功能来看,邮件功能是非常重要的一个功能。例如:找回密码、邮箱验证,邮件动态码、忘记密码,邮件营销等,都需要用到邮件功能。结合当下最流行的spring boot微服务,推出了spring-boot-starter-mail邮件支持包。 功能使用 引入maven包 <dependency> <groupId>org.springframework.b...
Spring Boot后端框架搭建登录功能实现教程
weixin_42263617的博客
09-11 1041
在现代Web开发中,后端框架的选择直接影响项目的开发效率、可维护性扩展能力。Web后端框架通过封装底层复杂性,提供模块化、组件化的开发方式,使开发者能够专注于业务逻辑的实现。Spring Boot作为Java生态中最具代表性的框架之一,凭借其“约定优于配置”的理念,极大简化了传统Spring框架的繁琐配置流程。它通过自动配置机制、起步依赖和内嵌服务器支持,显著提升了开发效率,成为企业级应用开发的首选框架。
boot集成的邮箱 spring_spring boot集成spring-boot-starter-mail邮件功能
weixin_35600835的博客
12-24 1855
前情提要以目前IT系统功能来看,邮件功能是非常重要的一个功能。例如:找回密码、邮箱验证,邮件动态码、忘记密码,邮件营销等,都需要用到邮件功能。结合当下最流行的spring boot微服务,推出了spring-boot-starter-mail邮件支持包。功能使用引入maven包org.springframework.bootspring-boot-starter-mail相关参数配置(以QQ邮箱为...
Spring Boot 3.x迁移指南:从2.x升级的完整流程和坑点总结
yp0to1的博客
06-17 564
Spring Boot 3.x迁移工作量不小,但这是必须做的。新项目:直接用Spring Boot 3.2 + Java 21(一步到位)老项目:制定迁移计划,逐步迁移(先迁移不重要的服务)测试优先:迁移完后一定要做充分的测试(单元测试 + 集成测试 + 压测)工具辅助:用Spring Boot Migrator和OpenRewrite自动化迁移,减少手动改代码的工作量迁移虽然麻烦,但迁移后能用上虚拟线程、Native Image这些新特性,还是很值得的。参考资料。
Spring Boot + Vue 在线法律咨询辅助系统:从需求分析、数据库设计到核心功能实现
2301_79630794的博客
06-22 205
基于 Spring Boot、Vue、MyBatis MySQL 设计在线法律咨询辅助系统,梳理用户端管理端功能、核心数据表、登录鉴权流程、咨询业务闭环及测试优化思路。
Spring Boot 自动装配原理揭秘:@Conditional 注解全家桶详解
开发小能手-Haha king的博客
06-23 199
├── src/import org/*** 自定义条件:检查是否处于生产环境} }/*** 自定义条件:检查是否处于生产环境} }/*** 自定义条件:检查是否处于生产环境} }/*** 自定义条件:检查是否处于生产环境} }import org/*** 自定义条件:检查是否处于生产环境} }/*** 自定义条件:检查是否处于生产环境} }/**
Spring Boot JWT Token 无感刷新(理论)
花花鱼的专栏
06-22 180
Access Token 过期:可以用刷新,用户无感知。Refresh Token 过期:无法刷新,必须重新登录。每次刷新时,建议生成新的,实现「活跃用户无限续期」:只要用户在有效期内使用软件,就能一直续登,直到长期不使用导致过期。短有效期 Access Token保证接口鉴权安全。长有效期 Refresh Token保证用户体验,避免频繁登录。Access Token 过期时,用 Refresh Token 自动刷新,用户无感知。
Spring Boot + XXL-Job 实现考勤自动补账:缺卡生成、历史回算和幂等设计
tiandingtong的博客
06-22 187
基于智慧考勤真实项目代码,梳理 Spring Boot + XXL-Job 实现考勤自动补账、缺卡生成、历史回算和日统计同步的工程设计
Spring Boot 4.1新增gRPC自动配置SSRF防护功能并支持 Kotlin 2.3
xhtdj的博客
06-20 450
2025 年 11 月发布的 Spring Boot 4.0 Spring Framework 7.0 一同推出,属于一次大版本迭代重构:以 Jakarta EE 11 为基线,集成 Jackson 3,拆分式自动配置 JAR,借助 JSpecify 实现空值安全,同时新增 API 版本控制 Gradle 9 支持。Spring Boot 4.1 包含面向服务器端和客户端应用的 Spring gRPC 自动配置,支持独立的 Netty 和 Servlet HTTP/2 传输。
Spring Boot自动配置原理
2401_83135864的博客
06-23 212
自动配置 = Spring Boot 提前写好的 @Bean 配置类,按需生效,无需手动注册。自动配置是 Spring Boot 实现「约定大于配置(Convention over Configuration)」的核心机制。// 1. 自动配置类@Bean// 2. 配置属性// 3. 注册自动配置。
Spring Boot 国际化(i18n)完全指南
BADAO_LIUMANG_QIZHI的博客
06-16 272
本文介绍了Spring Boot中实现国际化(i18n)的完整指南。主要内容包括:i18n的核心概念,即将用户可见文本从代码抽离到资源文件;核心组件MessageSource、LocaleResolver和资源文件的职责;资源文件的命名规范和查找优先级;两种配置方式(YAML和Java Config);以及一个完整的用户注册模块示例,展示中文和英文资源文件的定义、配置类实现和工具类封装。文章强调了UTF-8编码的重要性,并提供了缓存策略等实用技巧,帮助开发者在Spring Boot应用中高效实现多语言支持。
48_Spring Boot RESTful API开发
yuhou25的博客
06-20 288
在现代Web开发中,已成为前后端分离架构的标准通信方式。Spring Boot提供了强大的注解和工具支持,让开发者可以轻松构建规范的RESTful接口。为什么RESTful很重要?在前后端分离的架构中,后端只负责提供API接口、返回JSON数据,前端(Vue/React/小程序)通过HTTP请求获取数据并渲染页面。如果没有统一的API设计规范,每个人的接口风格都不一样——有人用GET创建资源、有人用POST查询数据——前后端联调时会耗费大量时间在沟通上。
Spring Boot核心组件解析:MappingJackson2HttpMessageConverter全解
窗台有只猫的博客
06-17 422
本文深入解析了Spring Boot中处理JSON数据交互的核心组件——MappingJackson2HttpMessageConverter。文章从核心定位、工作流程实战应用三个维度展开,首先阐述了其作为Jackson库Spring MVC桥梁的默认地位及底层依赖;其次剖析了其在HTTP请求中实现Java对象JSON双向自动转换的序列化机制;最后提供了基于Jackson2ObjectMapperBuilderCustomizer的全局定制方案手动配置方法,旨在帮助开发者彻底掌握该组件的原理,实现高
spring boot中 获取应用程序上下文对象ApplicationContext
最新发布
weixin_41463944的博客
06-23 25
spring boot中 获取应用程序上下文对象ApplicationContext
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

最后一支迷迭香

您的赞赏将给作者加杯☕️

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值