Spring Security 工作原理概览,springboot面试知识点总结

最新推荐文章于 2024-04-17 01:42:27 发布
最新推荐文章于 2024-04-17 01:42:27 发布
阅读量722 收藏 24
点赞数 29
分类专栏: 程序员 文章标签: spring spring boot 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84181221/article/details/137634116
版权

这是配置登录相关的操作从方法名可知,配置了登录页请求路径,密码属性名,用户名属性名,和登录请求路径,permitAll()代表任意用户可访问。

http

.authorizeRequests()

.antMatchers(“/test”).hasRole(“test”)

.anyRequest().authenticated()

.accessDecisionManager(accessDecisionManager());

以上配置是权限相关的配置,配置了一个 /test url 该有什么权限才能访问, anyRequest() 表示所有请求,authenticated() 表示已登录用户才能访问, accessDecisionManager() 表示绑定在 url 上的鉴权管理器

为了对比,现在贴出另一个权限配置清单:

http.authorizeRequests()

.antMatchers(“/tets_a/“,”/test_b/”).hasRole(“test”)

.antMatchers(“/a/“,”/b/”).authenticated()

.accessDecisionManager(accessDecisionManager())

我们可以看到权限配置的自由度很高,鉴权管理器可以绑定到任意 url 上;而且可以硬编码各种 url 权限:

http

.logout()

.logoutUrl(“/logout”)

.logoutSuccessHandler(new MyLogoutSuccessHandler())

登出相关配置,这里配置了登出 url 和登出成功处理器:

http

.exceptionHandling()

.accessDeniedHandler(new MyAccessDeniedHandler());

上面代码是配置鉴权失败的处理器。

http.addFilterAfter(new MyFittler(), LogoutFilter.class);

http.addFilterAt(getAuthenticationFilter(),UsernamePasswordAuthenticationFilter.class);

上面代码展示如何在过滤器链中插入自己的过滤器,addFilterBefore 加在对应的过滤器之前,addFilterAfter 加在对应的过滤器之后,addFilterAt 加在过滤器同一位置,事实上框架原有的 Filter 在启动 HttpSecurity 配置的过程中,都由框架完成了其一定程度上固定的配置,是不允许更改替换的。根据测试结果来看,调用 addFilterAt 方法插入的 Filter ,会在这个位置上的原有 Filter 之前执行。

注:关于 HttpSecurity 使用的是链式编程,其中 http.xxxx.and.yyyyy 这种写法和 http.xxxx;http.yyyy 写法意义一样。

  • 自定义 AuthenticationManager 和 AccessDecisionManager

重写 authenticationManagerBean() 方法,并构造一个 authenticationManager:

@Override

public AuthenticationManager authenticationManagerBean() throws Exception {

ProviderManager authenticationManager = new ProviderManager(Arrays.asLis(getMyAuthenticationProvider(),daoAuthenticationProvider()));

return authenticationManager;

}

我这里给 authenticationManager 配置了两个认证器,执行过程参考流程图。

定义构造AccessDecisionManager的方法并在配置类中调用,配置参考 configure(HttpSecurity http) 说明:

public AccessDecisionManager accessDecisionManager(){

List<AccessDecisionVoter<? extends Object>> decisionVoters

= Arrays.asList(

new MyExpressionVoter(),

new WebExpressionVoter(),

new RoleVoter(),

new AuthenticatedVoter());

return new UnanimousBased(decisionVoters);

}

投票管理器会收集投票器投票结果做统计,最终结果大于等于0代表通过;每个投票器会返回三个结果:-1(反对),0(通过),1(赞成)。

Security 权限系统

=============

  • UserDetails

Security 中的用户接口,我们自定义用户类要实现该接口。

  • GrantedAuthority

Security 中的用户权限接口,自定义权限需要实现该接口:

public class MyGrantedAuthority implements GrantedAuthority {

private String authority;

}

authority 表示权限字段,需要注意的是在 config 中配置的权限会被加上 ROLE_ 前缀,比如我们的配置 authorizeRequests().antMatchers("/test").hasRole("test"),配置了一个 test 权限但我们存储的权限字段(authority)应该是 ROLE_test

  • UserDetailsService

Security 中的用户 Service,自定义用户服务类需要实现该接口:

@Service

public class MyUserDetailService implements UserDetailsService {

@Override

public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

return…

}

}

loadUserByUsername的作用在上文中已经说明,就是根据用户名查询用户对象。

  • SecurityContextHolder

用户在完成登录后 Security 会将用户信息存储到这个类中,之后其他流程需要得到用户信息时都是从这个类中获得,用户信息被封装成 SecurityContext ,而实际存储的类是 SecurityContextHolderStrategy ,默认的SecurityContextHolderStrategy 实现类是 ThreadLocalSecurityContextHolderStrategy 它使用了ThreadLocal来存储了用户信息。

手动填充 SecurityContextHolder 示例:

UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(“test”,“test”,list);

SecurityContextHolder.getContext().setAuthentication(token);

对于使用 token 鉴权的系统,我们就可以验证token后手动填充SecurityContextHolder,填充时机只要在执行投票器之前即可,或者干脆可以在投票器中填充,然后在登出操作中清空SecurityContextHolder。

Security 扩展

===========

Security 可扩展的有

  1. 鉴权失败处理器

  2. 验证器

  3. 登录成功处理器

  4. 投票器

  5. 自定义token处理过滤器

  6. 登出成功处理器

  7. 登录失败处理器

  8. 自定义 UsernamePasswordAuthenticationFilter

  • 鉴权失败处理器

Security 鉴权失败默认跳转登录页面,我们可以实现 AccessDeniedHandler 接口,重写 handle() 方法来自定义处理逻辑;然后参考配置类说明将处理器加入到配置当中。

  • 验证器

实现 AuthenticationProvider 接口来实现自己验证逻辑。需要注意的是在这个类里面就算你抛出异常,也不会中断验证流程,而是算你验证失败,我们由流程图知道,只要有一个验证器验证成功,就算验证成功,所以你需要留意这一点。

  • 登录成功处理器

在 Security 中验证成功默认跳转到上一次请求页面或者路径为 “/” 的页面,我们同样可以自定义:继承 SimpleUrlAuthenticationSuccessHandler 这个类或者实现 AuthenticationSuccessHandler 接口。我这里建议采用继承的方式,SimpleUrlAuthenticationSuccessHandler 是默认的处理器,采用继承可以契合里氏替换原则,提高代码的复用性和避免不必要的错误。

  • 投票器

投票器可继承 WebExpressionVoter 或者实现 AccessDecisionVoter接口;WebExpressionVoter 是 Security 默认的投票器;我这里同样建议采用继承的方式;添加到配置的方式参考 上文;

注意:投票器 vote 方法返回一个int值;-1代表反对,0代表弃权,1代表赞成;投票管理器收集投票结果,如果最终结果大于等于0则放行该请求。

  • 自定义token处理过滤器

自定义 token 处理器继承自 OncePerRequestFilter 或者 GenericFilterBean 或者 Filter 都可以,在这个处理器里面需要完成的逻辑是:获取请求里的 token,验证 token 是否合法然后填充 SecurityContextHolder ,虽然说过滤器只要添加在投票器之前就可以,但我这里还是建议添加在 http.addFilterAfter(new MyFittler(), LogoutFilter.class);

  • 登出成功处理器

实现LogoutSuccessHandler接口,添加到配置的方式参考上文。

  • 登录失败处理器

登录失败默认跳转到登录页,我们同样可以自定义。继承 SimpleUrlAuthenticationFailureHandler 或者实现 AuthenticationFailureHandler,建议采用继承。

  • 自定义UsernamePasswordAuthenticationFilter

我们自定义UsernamePasswordAuthenticationFilter可以极大提高我们 Security的灵活性(比如添加验证验证码是否正确的功能)。

我们直接继承 UsernamePasswordAuthenticationFilter ,然后在配置类中初始化这个过滤器,给这个过滤器添加登录失败处理器,登录成功处理器,登录管理器,登录请求 url 。

这里配置略微复杂,贴一下代码清单

初始化过滤器:

MyUsernamePasswordAuthenticationFilte getAuthenticationFilter(){

MyUsernamePasswordAuthenticationFilter myUsernamePasswordAuthenticationFilter = new MyUsernamePasswordAuthenticationFilter(redisService);

myUsernamePasswordAuthenticationFilter.setAuthenticationFailureHandler(new MyUrlAuthenticationFailureHandler());

myUsernamePasswordAuthenticationFilter.setAuthenticationSuccessHandler(new MyAuthenticationSuccessHandler());

myUsernamePasswordAuthenticationFilter.setFilterProcessesUrl(“/sign_in”);

myUsernamePasswordAuthenticationFilter.setAuthenticationManager(getAuthenticationManager());

return myUsernamePasswordAuthenticationFilter;

}

添加到配置:

http.addFilterAt(getAuthenticationFilter(),UsernamePasswordAuthenticationFilter.class);

总结

==

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加V获取:vip1024b (备注Java)
img

最后

看完上述知识点如果你深感Java基础不够扎实,或者刷题刷的不够、知识不全面

小编专门为你量身定制了一套<Java一线大厂高岗面试题解析合集:JAVA基础-中级-高级面试+SSM框架+分布式+性能调优+微服务+并发编程+网络+设计模式+数据结构与算法>

image

针对知识面不够,也莫慌!还有一整套的<Java核心进阶手册>,可以瞬间查漏补缺

image

全都是一丢一丢的收集整理纯手打出来的

更有纯手绘的各大知识体系大纲,可供梳理:Java筑基、MySQL、Redis、并发编程、Spring、分布式高性能架构知识、微服务架构知识、开源框架知识点等等的xmind手绘图~

image

image

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

[外链图片转存中…(img-jgUSVXMI-1712808972763)]

针对知识面不够,也莫慌!还有一整套的<Java核心进阶手册>,可以瞬间查漏补缺

[外链图片转存中…(img-pOv63TQq-1712808972764)]

全都是一丢一丢的收集整理纯手打出来的

更有纯手绘的各大知识体系大纲,可供梳理:Java筑基、MySQL、Redis、并发编程、Spring、分布式高性能架构知识、微服务架构知识、开源框架知识点等等的xmind手绘图~

[外链图片转存中…(img-qmWHM4E3-1712808972764)]

[外链图片转存中…(img-qH1Ai90J-1712808972764)]

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-ylnquTlr-1712808972764)]

2401_84181221
关注
  • 29
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security学习总结
皮蛋小粥的博客
11-09 1541
关于设计模式的文章在公众号上面已经更新完了,感兴趣的小伙伴可以关注公众号每天学Java随时查看! 学习Spring Security是在一个客户的项目上看到客户在自己项目上使用Spring Security,当时很好奇这么框架是干嘛的,就私下问了他们的技术人员:Security是做什么的。他大致的意思是说,Security是一个提供安全权限控制的框架,利用这个框架可以为系统中的人员定制相关的权限...
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
SpringSecurity(十一)权限表达式和Rbac数据模型
lizc_lizc的博客
11-18 5083
常用表达式   表达式 说明 hasRole([role]) 用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀) hasAnyRole([role1,role2]) 用户拥有任意一个制定的角色时返回true hasAuthority([authority]) 等同于hasRole,但不会带有ROLE_前缀 has...
2024年Java常见面试题,Spring Boot 2(11)
最新发布
2401_84412988的博客
04-17 399
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、微服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,
Security详解
myli92的博客
05-12 1049
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
SpringBoot 集成 SpringSecurity完全解读
laidanlove250的博客
06-17 458
一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功...
SpringBoot+SpringCloud面试题.doc
06-07
Spring bootSpring 的一套快速配置脚手架,可以基于spring boot 快速开发单个微服务,Spring Cloud是一个基于Spring Boot实现的云应用开发工具;Spring boot专注于快速、方便集成的单个个体,Spring Cloud是关注...
Spring+Mybatis+Springboot面试试题及答案.zip
03-25
文档饱含spring面试试题及答案、mybatis面试试题及答案以及springboot面试试题及答案,试题全面,答案详细。涵盖了最近面试中的格式问题类型。
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
Java、springBootspringCloud知识点整理;大厂面试总结。.zip
02-25
Java、springBootspringCloud知识点整理;大厂面试总结
基于url的动态权限
chouxi8731的博客
09-03 867
方案一:扩展access()的SpEL表达式 .anyRequest().access("@authService.canAcess(request,authentication)") 方案二:自定义AccessDecisionManager (1)自定义SecurityMetadataSou...
java ip 白名单,Spring Security-将IP范围列入白名单
weixin_29743937的博客
03-19 683
我已经看过很多资源和stackoverflow问题,它们为使用.xml文件提供了答案:我只想知道是否可以使用Spring Security在不使用XML配置的情况下将IP地址范围列入白名单?以下是控制器中的一种简单方法:@RequestMapping(value = "/makeit", method = RequestMethod.GET)@ResponseBody//@PreAuthorize...
spring-security权限控制和校验
terry2870的专栏
03-15 3305
文章目录前言一、spring-security是什么?二、spring-security能为我们做什么?三、使用步骤1.maven依赖2.application.properties文件总结 前言     在我们项目中经常会涉及到权限管理,特别是一些企业级后台应用中,那权限管理是必不可少的。这个时候就涉及到技术选型的问题。在我以前项目中也没用到什么权限框架,就全部到一个spring mvc拦截器中去校验权限,当然,对需求比较少,小型的项目这也不失一个好的实现(实现简单,功能单一),但是对于一些比较大的应用
Spring Security OAuth2笔记系列】- Security控制授权- 基于数据库Rbac数据模型控制权限
代码有毒的博客
08-31 4046
基于数据库Rbac数据模型控制权限 前面都是讲的怎么在权限规则基本不变的情况下,怎么写代码控制权限; 这一节要实现内管系统的场景; 这些所有的信息都必须存在数据库中。因为变动频繁,员工离职、部门调动,新增权限等; 通用RBAC数据模型 Role-Based-Access Control 通常由三直系表,两张关系表 对于资源表:存储数据的表现是 某一个url的别名是菜单或则按钮...
使用Spring安全表达式控制系统功能访问权限
字母哥博客
11-21 1692
一、SPEL表达式权限控制 从spring security 3.0开始已经可以使用spring Expression表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式函数 描述 hasRole([role]) 用户拥有指定的角色时返回true (Spring sec...
Spring Security 初识(四)--请求拦截
热门推荐
只有变秃 才能变强
12-29 2万+
Spring Security 初识(四)–请求拦截在我们前面的文章Spring Security 初识(一)中,我们看到了一个最简单的 Spring Security 配置,会要求所有的请求都要经过认证.但是,这并不是我们想要的,我们通常想自定义应用的安全性.因为有些路径我们想要谁都可以访问.Spring Security对此的实现也很简单.关键在于重载 WebSecurityConfigure
用户授权
qq_43843037的博客
01-24 1103
用户授权 授权的方式包括 web授权和方法授权,web授权是通过 url拦截进行授权,方法授权是通过 方法拦截进行授权。他 们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为 FilterSecurityInterceptor;若为方 法授权则拦截器为MethodSecurityInterceptor。如果同时通过web授权和方法授权则先执行web授权,再执行方 法授权,最后决策通过,则允许访问资源,否则将禁止访问。 web授权 Spring Security可以通过
Requested registry access is not allowed
weixin_34327761的博客
12-27 352
Requested registry access is not allowed(不允许所请求的注册表访问权) 今天在写一个Service程序时候遇到这个问题,因为在家里电脑上没有问题的(XP),不成想在公司的Win7上居然出现这个问题,猜测应该是Win7的权限管理问题。 问题出现在如下创建一个EventLog的代码中, publicvoidLogEvent(S...
帮我整理一下spring ,springboot, springcould面试知识点
09-22
面试中,除了掌握上述知识点,还需要了解最新的 SpringSpring BootSpring Cloud 的版本和更新内容,能够结合实际项目经验回答面试官的问题,展示自己对这些框架的深入理解和实践经验。 ### 回答3: Spring是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值