Spring Security(04)——认证简介

最新推荐文章于 2023-09-16 17:39:18 发布
最新推荐文章于 2023-09-16 17:39:18 发布
阅读量487 收藏
点赞数
分类专栏: spring spring security 权限/认证系统 文章标签: spring security

认证简介

目录

1.1     认证过程

1.2     Web应用的认证过程

1.2.1    ExceptionTranslationFilter

1.2.2    在request之间共享SecurityContext

 

1.1     认证过程

       1、用户使用用户名和密码进行登录。

       2、Spring Security将获取到的用户名和密码封装成一个实现了Authentication接口的UsernamePasswordAuthenticationToken。

       3、将上述产生的token对象传递给AuthenticationManager进行登录认证。

       4、AuthenticationManager认证成功后将会返回一个封装了用户权限等信息的Authentication对象。

       5、通过调用SecurityContextHolder.getContext().setAuthentication(...)将AuthenticationManager返回的Authentication对象赋予给当前的SecurityContext。

 

       上述介绍的就是Spring Security的认证过程。在认证成功后,用户就可以继续操作去访问其它受保护的资源了,但是在访问的时候将会使用保存在SecurityContext中的Authentication对象进行相关的权限鉴定。

 

1.2     Web应用的认证过程

       如果用户直接访问登录页面,那么认证过程跟上节描述的基本一致,只是在认证完成后将跳转到指定的成功页面,默认是应用的根路径。如果用户直接访问一个受保护的资源,那么认证过程将如下:

       1、引导用户进行登录,通常是重定向到一个基于form表单进行登录的页面,具体视配置而定。

       2、用户输入用户名和密码后请求认证,后台还是会像上节描述的那样获取用户名和密码封装成一个UsernamePasswordAuthenticationToken对象,然后把它传递给AuthenticationManager进行认证。

       3、如果认证失败将继续执行步骤1,如果认证成功则会保存返回的Authentication到SecurityContext,然后默认会将用户重定向到之前访问的页面。

       4、用户登录认证成功后再次访问之前受保护的资源时就会对用户进行权限鉴定,如不存在对应的访问权限,则会返回403错误码。

 

       在上述步骤中将有很多不同的类参与,但其中主要的参与者是ExceptionTranslationFilter。

 

1.2.1   ExceptionTranslationFilter

       ExceptionTranslationFilter是用来处理来自AbstractSecurityInterceptor抛出的AuthenticationException和AccessDeniedException的。AbstractSecurityInterceptor是Spring Security用于拦截请求进行权限鉴定的,其拥有两个具体的子类,拦截方法调用的MethodSecurityInterceptor和拦截URL请求的FilterSecurityInterceptor。当ExceptionTranslationFilter捕获到的是AuthenticationException时将调用AuthenticationEntryPoint引导用户进行登录;如果捕获的是AccessDeniedException,但是用户还没有通过认证,则调用AuthenticationEntryPoint引导用户进行登录认证,否则将返回一个表示不存在对应权限的403错误码。

 

1.2.2  在request之间共享SecurityContext

       可能你早就有这么一个疑问了,既然SecurityContext是存放在ThreadLocal中的,而且在每次权限鉴定的时候都是从ThreadLocal中获取SecurityContext中对应的Authentication所拥有的权限,并且不同的request是不同的线程,为什么每次都可以从ThreadLocal中获取到当前用户对应的SecurityContext呢?在Web应用中这是通过SecurityContextPersistentFilter实现的,默认情况下其会在每次请求开始的时候从session中获取SecurityContext,然后把它设置给SecurityContextHolder,在请求结束后又会将SecurityContextHolder所持有的SecurityContext保存在session中,并且清除SecurityContextHolder所持有的SecurityContext。这样当我们第一次访问系统的时候,SecurityContextHolder所持有的SecurityContext肯定是空的,待我们登录成功后,SecurityContextHolder所持有的SecurityContext就不是空的了,且包含有认证成功的Authentication对象,待请求结束后我们就会将SecurityContext存在session中,等到下次请求的时候就可以从session中获取到该SecurityContext并把它赋予给SecurityContextHolder了,由于SecurityContextHolder已经持有认证过的Authentication对象了,所以下次访问的时候也就不再需要进行登录认证了。

 

(注:本文是基于Spring Security3.1.6所写)

 

(注:原创文章,转载请注明出处。原文地址:http://haohaoxuexi.iteye.com/blog/2156765

caomiao2006
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
4. Spring Security 认证简介
一个人的人生
11-29 1362
认证简介 目录 1.1     认证过程 1.2     Web应用的认证过程 1.2.1    ExceptionTranslationFilter 1.2.2    在request之间共享SecurityContext   1.1     认证过程        1、用户使用用户名和密码进行登录。        2、Spring Security将获取到的用户名和密码封装成
Spring-Security登录认证授权原理
热门推荐
abcwanglinyong的博客
07-10 3万+
spring-security源码下载地址:https://github.com/spring-projects/spring-security Spring-Security源码解读:1.使用ctrl+shift+n组合键查找UsernamePasswordAuthenticationFilter过滤器,该过滤器是用来处理用户认证逻辑的,进入后如图:(1)可以看到它默认的登录请求url是"/lo...
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 8752
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
Security实战之认证流程
little_sc的博客
02-27 516
基于SpringSecurity 6版本,介绍认证流程、实战演示
Spring Security认证流程 附实例展示
weixin_47847063的博客
03-07 541
简单来说Spring Security的验证流程如下:如果密码不正确,则返回错误消息并重新显示登录表单。更具体地说,Spring Security的验证流程如下:这个过程可以通过配置文件进行自定义,例如更改认证方式、添加额外的过滤器等等。以下是一个简单的Spring Security认证流程示例,包括了UserDetailsService和PasswordEncoder的实现: 在该示例中,Spring Security认证流程如下:在上述示例中,MyUserDetailsService实现了UserDe
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
分享课程——《Spring Security+OAuth2 精讲,打造企业级认证与授权》,2022最新升级版,新增第10+11章的内容。
SpringSecurity 3.0.1.RELEASE.CHM
03-21
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. Config -...
Spring Security 中文教程.pdf
12-06
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. ...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
Spring Security-3.0.1 中文官方文档(翻译版) 这次发布的Spring Security-3.0.1 是一个bug fix 版,主要是对3.0 中存在的一些问题进 行修 正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行...
SpringSecurity认证流程
qq_46599129的博客
02-26 168
SpringSecurity框架认证架构图以及认证流程
SpringSecurity认证授权具体流程步骤(具体实例)
Derrick_itRose的博客
07-27 265
创建出五个表,五个表之间的关系为:sys_user:登录表,用于登陆后查询idsys_user_role:用于根据用用户的id来查询到role_ idsys_role_function:用于通过role_id来查询对应的fun_idsys_function:用于通过fun_id来查询对应的方法,以及fun_code方法权限。
SpringSecurity认证流程(超级详细)
qq_34091529的博客
06-27 5443
最近开发项目的时候遇到了和SpringSecurity相关的一些问题,但是之前并没有去了解过SpringSecurity,导致改系统安全权限验证的时候就比较吃力了,目前项目开发大多都直接用脚手架直接开发,系统安全权限验证已经形成了,所以并不是自己写的,自己理解起来会更慢一些,所以这篇文章就是为了分析SpringSecurity认证流程而写的。
SpringSecurity认证流程分析
张氏小毛驴的博客
08-11 1575
SpringSecurity认证,其实就是我们的登录验证。​ Web系统中登录验证的核心就是凭证,比较多使用的是Session和JWT,其原理都是在用户成功登录后返回给用户一个凭证,后续用户访问时需要携带凭证来辨别自己的身份。后端会根据这个凭证进行安全判断,如果凭证没问题则代表已登录,否则则直接拒绝请求。​ 以下内容会先分析源码理清楚认证的流程。...
SpringSecurity用户认证
m0_62787705的博客
06-06 632
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
SpringSecurity框架认证流程
weixin_51093734的博客
06-08 211
Spring Boot支持Spring Security的依赖项,用于处理认证与授权。
SpringSecurity认证流程分析(各个组件之间的关联)
SunRains
11-22 3864
我一开始对于SpringSecurity也不是很熟悉,但是Security 作为一个Spring家族中的安全管理框架,而且每个项目都有授权、认证、鉴权等功能,所以很有必要对Spring Security了解清楚。在说明各个流程之前,找了一张关于它的架构,我只截取了其中关于认证这一部分的内容。 由上图可以清楚的看到在Security 认证的过程涉及到的对象,以及各个对象之间的关联。对于刚入门Java Web开发的时候,Filter作为JavaWeb的三大组件之一给我们留...
SpringSecurity原始登录认证过程
最新发布
qq_44695454的博客
09-16 135
SpringSecurity原始登录认证过程
SpringSecurity基于数据库认证
08-31
- *1* *3* [Spring Security——基于数据库的用户信息认证](https://blog.csdn.net/qq_40151840/article/details/104620157)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值