Spring Security

最新推荐文章于 2023-02-09 23:29:43 发布
最新推荐文章于 2023-02-09 23:29:43 发布
阅读量127 收藏
点赞数 1
分类专栏: java及框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candyys/article/details/105859874
版权

Spring Security 简介

Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架(对访问权限进行控制)。应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。

系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。   spring security的主要核心功能为 认证和授权,所有的架构也是基于这两个核心功能去实现的。

它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控
制编写大量重复代码的工作。

应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。

框架原理

众所周知 想要对对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。所以springSecurity在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。
        如下为其主要过滤器  

        WebAsyncManagerIntegrationFilter 
        SecurityContextPersistenceFilter 
        HeaderWriterFilter 
        CorsFilter 
        LogoutFilter
        RequestCacheAwareFilter
        SecurityContextHolderAwareRequestFilter
        AnonymousAuthenticationFilter
        SessionManagementFilter
        ExceptionTranslationFilter
        FilterSecurityInterceptor
        UsernamePasswordAuthenticationFilter
        BasicAuthenticationFilter

框架的核心组件

        SecurityContextHolder:提供对SecurityContext的访问
        SecurityContext,:持有Authentication对象和其他可能需要的信息
        AuthenticationManager 其中可以包含多个AuthenticationProvider
        ProviderManager对象为AuthenticationManager接口的实现类
        AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
        Authentication:Spring Security方式的认证主体
        GrantedAuthority:对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示
        UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
        UserDetailsService:通过username构建UserDetails对象,通过loadUserByUsername根据userName获取UserDetail对象 (可以在这里基于自身业务进行自定义的实现  如通过数据库,xml,缓存获取等)           

 

 

1.引入依赖(pom.xml)(引入依赖在spring依赖引入的基础上,引入spring Security依赖,版本可以使用spring的版本)

<dependency>
   <groupId>com.imooc.security</groupId>
   <artifactId>imooc-security-browser</artifactId>
   <version>1.0.0-SNAPSHOT</version>
</dependency>
2.配置系统(参见 application-example.properties)

3.增加UserDetailsService接口实现

4.如果需要记住我功能,需要创建数据库表(参见 db.sql)

5.如果需要社交登录功能,需要以下额外的步骤
1).配置appId和appSecret
2).创建并配置用户注册页面,并实现注册服务(需要配置访问权限),注意在服务中要调用ProviderSignInUtils的doPostSignUp方法。
3).添加SocialUserDetailsService接口实现
4).创建社交登录用的表 (参见 db.sql)

参考链接:

 

附录链接

项目视频地址:https://www.bilibili.com/video/BV11t411h7xS?p=56

项目地址:https://github.com/Mr-zhango/imooc-SpringSecurity

 

hu4wufu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
SpringSecurity(一)核心功能
陈橙橙
03-10 4679
前言 最近在潜心研究一下安全框架,并在此进行一下记录,如有不对还请不吝赐教。 对于一个安全管理管理框架而言,无论是Shiro还是SpringSecurity,最核心的功能,无非就是两个 认证:你是谁? 授权:你可以做什么 认证 SpringSecurity支持多种不同的认证方式,这些认证方式有的是SpringSecurity自己提供的认证功能,有的是第三方标准组织制定的。SpringSecurity集成的主流认证机制主要有如下几种: 表单认证 OAuth2.0认证 SAML2.0认证 CAS认证
浅析Spring Security 核心组件
qq_44005305的博客
02-09 522
近几天在网上找了一个 Spring Security 和JWT 的例子来学习,项目地址是:作为学习Spring Security还是不错的,通过研究该 demo 发现自己对 Spring Security一知半解,并没有弄清楚Spring Seurity的流程,所以才想写一篇文章先来分析分析Spring Security核心组件,其中参考了官方文档及其一些大佬写的Spring Security分析文章,有雷同的地方还请见谅。
Spring Security核心功能
目目沐沐
05-28 811
Spring Security核心功能
Spring Security详解(一)认证之核心组件和服务
Jagger的博客
06-22 1万+
文章目录什么是Spring Security验证?1.核心组件1.1 SecurityContextHolder1.2 Authentication1.3 UserDetails 和 UserDetailsService1.4 UserDetailsService1.5 AuthenticationManager1.6 AuthenticationProvider1.7 总结 什么是Spring Security验证? 让我们考虑一个大家都很熟悉的标准的验证场景。 提示用户输入用户名和密码进行登录。 该
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springSecurity
最新发布
10-14
springSecurity
spring security核心功能简要
u010681191的博客
10-02 1616
如图 绿色filter代表若干种认证方式,可以通过配置来决定,那种过滤器可激活,哪种不被激活,蓝色和橘黄色的是必须存在的 FilterSecurityInterceptor为最后一道拦截器,会根据前面绿色的过滤器配合,配置当中的url 与 特定授权方式,来决定是否可以访问api ExceptionTranslationFilter 为 处理FilterSecurityIntercepto...
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
Spring Security核心
txd2016_5_11的博客
01-29 456
Spring Security核心类包括:Authentication、SecurityContextHolder、AuthenticationManager 和 AuthenticationProvider、UserDetailsService、JdbcDaoImpl、InMemoryDaoImpl以及GrantedAuthority。 一、Authentication         A...
springsecurity核心原理以及主要的实现方实践
y41992910的博客
06-29 316
主要分为两个步骤 1.认证(鉴定你的账号密码是否正确) 2.授权(允许你访问哪些资源)
Spring Security核心类介绍
ruanhao1203的专栏
01-24 1047
1.1     Authentication        Authentication是一个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为一个Authentication具体实现类的对象,在登录认证成功之后又会生成一个信息更全面,包含用户权限等信息的Authentication对象,然后把它保存在SecurityContextHolder所持有的SecurityContext
springsecurity核心要义
老螺丝的技术人生
12-31 379
springsecurity框架的核心组件 SecurityContextHolder:提供对SecurityContext的访问 SecurityContext:持有Authentication对象和其他可能需要的信息 AuthenticationManager: 其中可以包含多个AuthenticationProvider ProviderManager:AuthenticationMan...
SpringSecurity 核心组件介绍
weixin_57763462的博客
07-05 292
SecurityContextHolder SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等,这些都被保存 SecurityContextHolder默认使用ThreadLocal 策略来存储认证信息。看到ThreadLocal 也就意味着,这是一种与线程绑定的策略。在web环境下,Spring Security在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证
Spring Security核心类详解
林木森的博客
11-22 1001
Spring Security是什么 Spring Security 是一种基于 Spring AOP 和 Servlet 过滤器 Filter 的安全框架,它提供了全面的安全解决方案,提供在 Web 请求和方法调用级别的用户鉴权和权限控制。 Web 应用的安全性通常包括两方面:用户认证(Authentication)和用户授权(Authorization)。 用户认证指的是验证某个用户是否为系统合法用户,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认
Spring Security(三)--核心配置解读
芋道源码
12-28 837
上一篇文章《Spring Security(二)--Guides》,通过Spring Security的配置项了解了Spring Security是如何保护我们的应用的,本篇文章对上一次的配置做一个分析。作者:老徐原文地址:https://www.cnkirito.moe/2017/09/20/spring-security-3/友情提示:欢迎关注公众号【芋道源码】。?关注后,拉你进【源码圈】微信
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值