SpringSecurity工作流程

最新推荐文章于 2024-06-06 21:35:30 发布
最新推荐文章于 2024-06-06 21:35:30 发布
阅读量736 收藏 4
点赞数 1
分类专栏: 架构 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cavan_C/article/details/118416053
版权

SpringSecurity过滤器链

SpringSecurity采用的是责任链的设计模式,它有一条很长的过滤器链。

  • SecurityContextPersistenceFilter会在请求开始时从配置好的SecurityContextRepository中获取SecurityContext,然后把它设置给SecurityContextHolder。在请求完成后将SecurityHolder持有的SecurityContext再保存到配置好的SecurityContextRepository,同时清除SecurityContextHolder所持有的SecurityContext;
  • UsernamePassword
  • AuthenticationFilter用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码,其内部还有登录成功或失败后进行处理的AuthenticationSuccessHandler和AuthenticationFailureHandler,这些都可以根据需求做相关改变;
  • ExceptionTranslationFilter能够捕获来自FilterChain所有的异常,并进行处理。

       但是它只会处理两类异常:AuthenticationException和AccessDeniedException,其它的异常它会继续抛出。

  •  如果捕获到的是AuthenticationException,那么将会使用其对应的AuthenticationEntryPoint的commence()处理。在处理之前,ExceptionTranslationFilter先使用RequestCache将当前的HttpServerletRequest的信息保存起来,以至于用户成功登陆后可以跳转到之前的界面;
  • 如果捕获到的是AccessDeniedException,那么当前访问的用户是否已经登陆认证做不同的处理,如果未登陆,则会使用关联的AuthenticationEntryPoint的commence()方法进行处理,否则将使用关联的AccessDeniedHandler的handle()方法进行处理。                 
  • FilterSecurityInterceptor是用于保护Http资源的,它需要一个AccessDecisionManager和一个AuthenticationManager的引用。它会从SecurityContextHolder获取Authentication,然后通过SecurityMetadataSource可以得知当前请求是否在请求受保护的资源。对于请求那些受保护的资源,如果Authentication.isAuthenticated()返回false或者FilterSecurityInterceptor的alwaysReauthenticate属性为true,那么将会使用其引用的AuthenticationManager再认证一次,认证之后再使用认证后的Authentication替换SecurityContextHolder中拥有的那个。然后就是利用AccessDecisionManager进行权限的检查;

说明:

  • AuthenticationEntryPoint是在用户没有登陆时用于引导用户进行登录认证的;
  • AccessDeniedHandler用于在用户已经登录了,但是访问其自身没有权限的资源时做出对应的处理【默认实现类:AccessDeniedHandlerImpl】;
  • RequestCache【默认实现类:HttpSessionRequestCache】会将HttpServletRequest相关信息封装为一个SavedRequest并保存到HttpSession中。

认证流程

在这里插入图片描述

说明:

  • 客户端发起一个请求,进入Security过滤链;
  • 当到LogoutFilter的时候判断是否是登出路径,如果是登录路径这道LogoutHandler,如果登出成功则到LogoutSuccessHandler登出成功处理,如果登出失败则由ExceptionTranslationFilter;如果不是登出路径则直接进入下一个过滤器;
  • 当到UsernamePasswordAuthenticationFilter的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到AuthenticationFailureHandler登录失败处理器处理,如果登录成功则到AuthenticationSuccessHandler登录成功处理器处理,如果不是登录请求则不仅如此该过滤器;
  • 当到FilterSecurityInterceptor的时候会拿到uri,根据uri去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权成功则到Controller层否则到AccessDentiedHandler鉴权失败处理器处理。

博享未来
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
springSecurity工作流程学习
qq_15042899的专栏
06-19 4236
springSecurity执行流程 整个程序执行的过程如下: 1、容器启动时    通过MyInvocationSecurityMetadataSource # loadResourceDefine 加载系统资源与权限列表resourceMap(一个Map结构,资源[url]为key,权限[auth]为value )     2、WEB服务器启动,加载security内置的
Spring-Security(一)-源码分析及认证流程
最新发布
lbmydream的博客
06-06 906
快速了解Spring Security 认证流程
02.SpringSecurity的应用与工作原理
weixin_43891622的博客
06-04 287
SpringSecurity的简介与框架结构运行原理总览 什么是SpringSecurity Spring全家桶的一员,Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 核心思想 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保
Spring Security运行的大致流程
Apple South的博客
11-02 2687
如题,我这个画的只是大致的流程,并没有写细节,不过我觉得应该对学习Security有很大的帮助,我上面写的所有的类都是需要被继承自己重写的。 我学习Security的很迷茫,看了网上写的好多教程什么的,感觉对于初学者并不是那么的好理解,太复杂,经过一段时间的理解和重复的进行测试,画了一张这个图,希望对大家的学习Security能有帮助。...
三.SpringSecurity基础-认证原理
墨家巨子@俏如来
08-27 4143
1.认证流程原理 1.1.认证流程 SpringSecurity是基于Filter实现认证和授权,底层通过FilterChainProxy代理去调用各种Filter(Filter链),Filter通过调用AuthenticationManager完成认证 ,通过调用AccessDecisionManager完成授权。流程如下图: SpringSecurity中核心的过滤器链详细如下: SecurityContextPersistenceFilter 这个filter是整个filter链的入口和出口,请
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity工作流程是基于标准servlet过滤器的,它的设计思想是通过一层层的Filters来对web请求进行处理。请求经过过滤器链的过程中,会完成认证与授权,如果中间发现请求未认证或者未授权,会根据被保护API的...
Spring Security实现验证码登录功能
08-25
Spring Security是Java应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序的攻击和恶意攻击。下面是Spring ...
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程SpringSecurity系统启动流程 SpringSecurity调用流程
基于spring security实现登录注销功能过程解析
08-25
主要介绍了基于spring security实现登录注销功能过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
​ Spring Security 是 Spring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
springSecurity 认证流程
yuzheh521的博客
01-01 523
认证流程是在UsernamePasswordAuthenticationFilter过滤器中处理的,具体流程如下所示: UsernamePasswordAuthenticationFilter源码 当前端提交的是一个 POST 方式的登录表单请求,就会被该过滤器拦截,并进行身份认证。该过滤器的 doFilter() 方法实现在其抽象父类 AbstractAuthenticationProcessingFilter中,查看相关源码: *** 上述的 第二 过程调用了UsernamePassword
SpringSecurity系列 之 认证失败处理流程
向心行者
06-25 7091
1、常见用法   我们使用SpringSecurity进行配置的时候,有三种方式实现认证失败时的后续处理:其一,通过failureUrl()配置认证失败的重定向路径(Redirect);其二,我们还可以通过failureForwardUrl()配置认证失败的转发路径(Forward),和重定向效果类似,区别主要在于前者是重定向(默认),后者是转发;其三,自定义认证失败处理器,主要通过实现AuthenticationFailureHandler接口实现,其实前面两种方式也是通过实现该接口实现的。   fail
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2537
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 1974
Spring Security配置流程剖析
spring security 流程分析(1)
qq_40937400的博客
07-21 202
spring security分析
SpringSecurity的认识和整合流程
m0_51167384的博客
03-03 253
springsecurity认证和执行思路: 整合过程: 总结: 在项目中实现权限登录和认证,首先创建权限整理模块,进行权限分配,将菜单分配给角色,将角色分配给用户。然后配置springsecurity,通过实现里面的接口,配置好springsecurity。将依赖注入到权限管理模块,并在模块中实现UserDetailService。 执行流程就是:进入认证(登录)过滤器获取用户名和密码;根据获得的 查询用户信息和用户具有的权限(依靠权限管理模块的实现UserDetailsService);并通过sec
Spring Security工作流程
04-12
Spring Security工作流程包括以下几个步骤: 1. 首先,用户尝试访问受保护的资源。 2. Spring Security框架将用户认证请求重定向到认证提供者,以验证用户名和密码。 3. 在经过身份验证后,Spring Security会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值