Spring Security运行流程原理分析

最新推荐文章于 2023-09-01 22:12:17 发布
最新推荐文章于 2023-09-01 22:12:17 发布
阅读量731 收藏
点赞数
分类专栏: java 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Demon_HL/article/details/122928282
版权

Spring Security流程

说白了,它就是一堆的拦截器。下面叙述以下其认证流程。

AbstractAuthenticationProcessingFilter

先看 AbstractAuthenticationProcessingFilter,其是UsernamePasswordAuthenticationFilter的父类。

在其Filter中调用了其子类的验证方法。

	//核心方法
	private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);
			return;
		}
		try {
             //调用UsernamePasswordAuthenticationFilter的方法
			Authentication authenticationResult = attemptAuthentication(request, response);
			if (authenticationResult == null) { 
				return;
			}
             //将其认证信息authenticationResult放入session中
			this.sessionStrategy.onAuthentication(authenticationResult, request, response);
			
			if (this.continueChainBeforeSuccessfulAuthentication) {
				chain.doFilter(request, response);
			}
              // 认证成功调用方法
			successfulAuthentication(request, response, chain, authenticationResult);
		}
		catch (InternalAuthenticationServiceException failed) {
			this.logger.error("An internal error occurred while trying to authenticate the user.", failed);
             // 认证失败调用方法
			unsuccessfulAuthentication(request, response, failed);
		}
		catch (AuthenticationException ex) {
			// 认证失败调用方法
			unsuccessfulAuthentication(request, response, ex);
		}
	}

UsernamePasswordAuthenticationFilter

UsernamePasswordAuthenticationFilter,核心拦截器,当有post请求进来时会进如该方法,用户名默认username,密码password

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
	//...
    @Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
			throws AuthenticationException {
		if (this.postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
		}
		String username = obtainUsername(request);
		username = (username != null) ? username : "";
		username = username.trim();
		String password = obtainPassword(request);
		password = (password != null) ? password : "";
		UsernamePasswordAuthenticationToken authRequest = new 			UsernamePasswordAuthenticationToken(username, password);
		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
         //对其进行认证
		return this.getAuthenticationManager().authenticate(authRequest);
	}
    //...
}

UsernamePasswordAuthenticationToken讲解:

该方法有两个构造方法,一个是已经认证成功的,另一个是没有认证成功的。是对表单提交过来的数据进行封装。

public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {

	...
 	
	public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
		super(null);
		this.principal = principal;
		this.credentials = credentials;
		setAuthenticated(false);
	}
 
	public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
			Collection<? extends GrantedAuthority> authorities) {
		super(authorities);
		this.principal = principal;
		this.credentials = credentials;
		super.setAuthenticated(true); // must use super, as we override
	}
    ...
}

AuthenticationManager:

认证接口;常用子类ProviderManager:提供相应的AuthenticationProvider来进行认证

//UsernamePasswordAuthenticationToke认证的返回,点击进入下面方法。
return this.getAuthenticationManager().authenticate(authRequest);

//AuthenticationProvider集合
private List<AuthenticationProvider> providers = Collections.emptyList();

@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		int currentPosition = 0;
		int size = this.providers.size();
        //遍历选择对应的AuthenticationProvider然后提供验证。,大致了解即可。
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}
			if (logger.isTraceEnabled()) {
				logger.trace(LogMessage.format("Authenticating request with %s (%d/%d)",
						provider.getClass().getSimpleName(), ++currentPosition, size));
			}
			try {
				result = provider.authenticate(authentication);
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException | InternalAuthenticationServiceException ex) {
				prepareException(ex, authentication);
				throw ex;
			}
			catch (AuthenticationException ex) {
				lastException = ex;
			}
		}
		if (result == null && this.parent != null) { 
			try {
				parentResult = this.parent.authenticate(authentication);
				result = parentResult;
			}
			catch (ProviderNotFoundException ex) {
 
			}
			catch (AuthenticationException ex) {
				parentException = ex;
				lastException = ex;
			}
		}
		if (result != null) {
			if (this.eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {
 
				((CredentialsContainer) result).eraseCredentials();
			}
 
			if (parentResult == null) {
				this.eventPublisher.publishAuthenticationSuccess(result);
			}

			return result;
		}
 
		if (lastException == null) {
			lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound",
					new Object[] { toTest.getName() }, "No AuthenticationProvider found for {0}"));
		}
 
		if (parentException == null) {
			prepareException(lastException, authentication);
		}
		throw lastException;
	}

AuthenticationProvider

紧接着我们看AuthenticationProvider类,因为在上述中其提供验证。

AuthenticationProvider接口子类如下图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oAFXPM0S-1644829572031)(C:\Users\736263\AppData\Roaming\Typora\typora-user-images\image-20211122155740713.png)]

看其中的DaoAuthenticationProvider:

核心代码如下

@Override
	protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
             //
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}

请注意看该段代码

UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);

改代码属于接口UserDetailsService,该接口的实现类为下图,如果我们自己想要查询自己的数据库,只需要实现UserDetailsService重新写loadUserByUsername方法(下示)即可。

UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-k7zobfUu-1644829572033)(C:\Users\736263\AppData\Roaming\Typora\typora-user-images\image-20211122160314851.png)]

UserDetails

讲解:这个类是系统默认的用户“主体”

// 表示获取登录用户所有权限Collection<? extends GrantedAuthority> getAuthorities();// 表示获取密码String getPassword();// 表示获取用户名String getUsername();// 表示判断账户是否过期boolean isAccountNonExpired();// 表示判断账户是否被锁定boolean isAccountNonLocked();// 表示凭证{密码}是否过期boolean isCredentialsNonExpired();// 表示当前用户是否可用boolean isEnabled();

自定义过滤器:

过滤器链执行顺序(从上到下)

HeaderWriterFilterCsrfFilterLogoutFilterUsernamePasswordAuthenticationFilterBasicAuthenticationFilter...FilterSecurityInterceptor

故如果想要添加权限授权,可以集成BasicAuthenticationFilter该类

eg:

public class TokenAuthFilter extends BasicAuthenticationFilter {    private TokenManager tokenManager;    private RedisTemplate redisTemplate;    public TokenAuthFilter(AuthenticationManager authenticationManager,TokenManager tokenManager,RedisTemplate redisTemplate) {        super(authenticationManager);        this.tokenManager = tokenManager;        this.redisTemplate = redisTemplate;    }    @Override    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {        //获取当前认证成功用户权限信息        UsernamePasswordAuthenticationToken authRequest = getAuthentication(request);        //判断如果有权限信息,放到权限上下文中        if(authRequest != null) {            SecurityContextHolder.getContext().setAuthentication(authRequest);        }        chain.doFilter(request,response);    }    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {        //从header获取token        String token = request.getHeader("token");        if(token != null) {            //从token获取用户名            String username = tokenManager.getUserInfoFromToken(token);            //从redis获取对应权限列表            List<String> permissionValueList = (List<String>)redisTemplate.opsForValue().get(username);            Collection<GrantedAuthority> authority = new ArrayList<>();            for(String permissionValue : permissionValueList) {                SimpleGrantedAuthority auth = new SimpleGrantedAuthority(permissionValue);                authority.add(auth);            }            return new UsernamePasswordAuthenticationToken(username,token,authority);        }        return null;    }}

或者继承GenericFilterBean

public class BeforeLoginFilter extends GenericFilterBean {    @Override    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {        System.out.println("在 UsernamePasswordAuthenticationFilter 前调用");        chain.doFilter(request, response);    }}

之后在配置类中配置即可

  //设置退出的地址和token,redis操作地址    @Override    protected void configure(HttpSecurity http) throws Exception {     	...     	http.addFilter();//添加这句代码即可    	...    }

说明: HttpSecurity 有三个常用方法来配置:addFilterBefore(Filter filter, Class<? extends Filter> beforeFilter) 在 beforeFilter 之前添加 filter addFilterAfter(Filter filter, Class<? extends Filter> afterFilter) 在 afterFilter 之后添加 filteraddFilterAt(Filter filter, Class<? extends Filter> atFilter) 在 atFilter 相同位置添加 filter, 此 filter 不覆盖 filter 通过在不同 Filter 的 doFilter() 方法中加断点调试,可以判断哪个 filter 先执行,从而判断 filter 的执行顺序 。

Spring Security的session和token绑定原理

1.当你在登录的时候,会进入UsernamePasswordAuthenticationFilter,查看其父类AbstractAuthenticationProcessingFilter的源码。注意下面这一句。

如果第一次,则会将其认证信息与session绑定起来,并且只次一份。

//将其认证信息authenticationResult放入session中this.sessionStrategy.onAuthentication(authenticationResult, request, response);

即Authentication被securityContext封装,然后securityContextHolder是将ThreadLocal和securityContext绑定。

 SecurityContextHolder.getContext()//如果有则返回securityContext,如果没有则会创建SecurityContextHolder.getContext().setAuthentication(authRequest);//会将其的认证信息覆盖

Spring Security整合JWT

当系统登录后重写successfulAuthentication方法,给浏览器返回一个token,

public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {    private TokenManager tokenManager;    private RedisTemplate redisTemplate;    private AuthenticationManager authenticationManager;    public TokenLoginFilter(AuthenticationManager authenticationManager, TokenManager tokenManager, RedisTemplate redisTemplate) {        this.authenticationManager = authenticationManager;        this.tokenManager = tokenManager;        this.redisTemplate = redisTemplate;        this.setPostOnly(false);        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/admin/acl/login","POST"));    }    //1 获取表单提交用户名和密码    @Override    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)            throws AuthenticationException {        //获取表单提交数据        try {            User user = new ObjectMapper().readValue(request.getInputStream(), User.class);            return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(),user.getPassword(),                    new ArrayList<>()));        } catch (IOException e) {            e.printStackTrace();            throw new RuntimeException();        }    }    //2 认证成功调用的方法    @Override    protected void successfulAuthentication(HttpServletRequest request,                                             HttpServletResponse response, FilterChain chain, Authentication authResult)            throws IOException, ServletException {        //认证成功,得到认证成功之后用户信息        SecurityUser user = (SecurityUser)authResult.getPrincipal();        //根据用户名生成token        String token = tokenManager.createToken(user.getCurrentUserInfo().getUsername());        //把用户名称和用户权限列表放到redis        redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(),user.getPermissionValueList());        //返回token        ResponseUtil.out(response, R.ok().data("token",token));    }    //3 认证失败调用的方法    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed)            throws IOException, ServletException {        ResponseUtil.out(response, R.error());    }}

然后授权,重写SecurityContext的认证信息,授权。

public class TokenAuthFilter extends BasicAuthenticationFilter {    private TokenManager tokenManager;    private RedisTemplate redisTemplate;    public TokenAuthFilter(AuthenticationManager authenticationManager,TokenManager tokenManager,RedisTemplate redisTemplate) {        super(authenticationManager);        this.tokenManager = tokenManager;        this.redisTemplate = redisTemplate;    }    @Override    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {        //获取当前认证成功用户限信息        UsernamePasswordAuthenticationToken authRequest = getAuthentication(request);        //判断如果有权限信息,放到权限上下文中        if(authRequest != null) {            SecurityContextHolder.getContext().setAuthentication(authRequest);        }        chain.doFilter(request,response);    }    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {        //从header获取token        String token = request.getHeader("token");        if(token != null) {            //从token获取用户名            String username = tokenManager.getUserInfoFromToken(token);            //从redis获取对应权限列表            List<String> permissionValueList = (List<String>)redisTemplate.opsForValue().get(username);            Collection<GrantedAuthority> authority = new ArrayList<>();            for(String permissionValue : permissionValueList) {                SimpleGrantedAuthority auth = new SimpleGrantedAuthority(permissionValue);                authority.add(auth);            }            return new UsernamePasswordAuthenticationToken(username,token,authority);        }        return null;    }}

生成token的工具类

public class TokenManager {    //token有效时长    private long tokenEcpiration = 24*60*60*1000;    //编码秘钥    private String tokenSignKey = "123456";    //1 使用jwt根据用户名生成token    public String createToken(String username) {        String token = Jwts.builder().setSubject(username)                .setExpiration(new Date(System.currentTimeMillis()+tokenEcpiration))                .signWith(SignatureAlgorithm.HS512, tokenSignKey).compressWith(CompressionCodecs.GZIP).compact();        return token;    }    //2 根据token字符串得到用户信息    public String getUserInfoFromToken(String token) {        String userinfo = Jwts.parser().setSigningKey(tokenSignKey).parseClaimsJws(token).getBody().getSubject();        return userinfo;    }    //3 删除token    public void removeToken(String token) { }}

spring security推荐使用 BCryptPasswordEncoder 对密码进行加密,只需将其加入spring中即可。

    public static void main(String[] args) {        // 创建密码解析器        BCryptPasswordEncoder bCryptPasswordEncoder = new                BCryptPasswordEncoder();// 对密码进行加密        String atguigu = bCryptPasswordEncoder.encode("123456");// 打印加密之后的数据        System.out.println("加密之后数据:\t"+atguigu);//判断原字符加密后和加密之前是否匹配        boolean result = bCryptPasswordEncoder.matches("123456", atguigu);// 打印比较结果        System.out.println("比较结果:\t"+result);    }

Spring security配置类

public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {    private TokenManager tokenManager;    private RedisTemplate redisTemplate;    private DefaultPasswordEncoder defaultPasswordEncoder;    private UserDetailsService userDetailsService;    @Autowired    public TokenWebSecurityConfig(UserDetailsService userDetailsService, DefaultPasswordEncoder defaultPasswordEncoder,                                  TokenManager tokenManager, RedisTemplate redisTemplate) {        this.userDetailsService = userDetailsService;        this.defaultPasswordEncoder = defaultPasswordEncoder;        this.tokenManager = tokenManager;        this.redisTemplate = redisTemplate;    }    /**     * 配置设置     * @param http     * @throws Exception     */    //设置退出的地址和token,redis操作地址    @Override    protected void configure(HttpSecurity http) throws Exception {        http.exceptionHandling()                .authenticationEntryPoint(new UnauthEntryPoint())//没有权限访问                .and().csrf().disable()                .authorizeRequests()                .anyRequest().authenticated()                .and().logout().logoutUrl("/admin/acl/index/logout")//退出路径                .addLogoutHandler(new TokenLogoutHandler(tokenManager,redisTemplate)).and()                .addFilter(new TokenLoginFilter(authenticationManager(), tokenManager, redisTemplate))                .addFilter(new TokenAuthFilter(authenticationManager(), tokenManager, redisTemplate)).httpBasic();    }    //调用userDetailsService和密码处理    @Override    public void configure(AuthenticationManagerBuilder auth) throws Exception 	{        auth.userDetailsService(userDetailsService).passwordEncoder(defaultPasswordEncoder);    }    //不进行认证的路径,可以直接访问    @Override    public void configure(WebSecurity web) throws Exception {        web.ignoring().antMatchers("/api/**");    }}

开启注释:

@Secured

//判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。 使用注解先要开启注解功能!

@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)

@EnableGlobalMethodSecurity(securedEnabled=true)@RequestMapping("testSecured")@ResponseBody@Secured({"ROLE_normal","ROLE_admin"})public String helloUser() {return "hello,user";}

@PreAuthorize

@PreAuthorize:注解适合进入方法前的权限验证, @PreAuthorize 可以将登录用
户的 roles/permissions 参数传到方法中。

先开启注解功能:@EnableGlobalMethodSecurity(prePostEnabled = true)@RequestMapping("/preAuthorize")@ResponseBody//@PreAuthorize("hasRole('ROLE_管理员')")@PreAuthorize("hasAnyAuthority('menu:system')")public String preAuthorize(){ System.out.println("preAuthorize");return "preAuthorize";}

@PostAuthorize

@PostAuthorize 注解使用并不多,在方法执行后再进行权限验证,适合验证带有返回值
的权限.

先开启注解功能:@EnableGlobalMethodSecurity(prePostEnabled = true)    @RequestMapping("/testPostAuthorize")@ResponseBody@PostAuthorize("hasAnyAuthority('menu:system')")public String preAuthorize(){ System.out.println("test--PostAuthorize");return "PostAuthorize";}
Demon_HL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
SpringSecurity原理与使用
weixin_42029738的博客
11-28 491
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户​ 授权:经过认证后判断当前用户是否有权限进行某个操作​
SpringSecurity框架原理浅谈之UserDetailsService
黄先生的博客
02-11 1870
UserDetailsService的作用就是从特定的地方(通常是数据库)加载用户信息.
Spring Security6.x的登录验证
xiamua_123的博客
09-01 422
版本为:SpringBoot3.1.2, Spring Security 6.1.2。
SpringSecurity
gyagua的博客
10-13 187
一、入门案例二、基本原理有很多的过滤器;代码底层流程:重点看三个过滤器:FilterSecurityInterceptor:是一个方法级的权限过滤器,基本位于过滤链的最底部;UsernamePasswordAuthenticationFilter:对/login的POST请求做拦截,校验表单中用户名,密码;过滤器如何加载的?1、所使用的SpringSecurity配置过滤器核心组件:SecurityContextHolder、SecurityContext、Authentication。
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程SpringSecurity系统启动流程 SpringSecurity调用流程
浅析Spring Security登录验证流程
08-25
主要介绍了Spring Security登录验证流程源码解析,本文结合源码讲解登录验证流程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security自定义登录原理及实现详解
09-07
主要介绍了Spring Security自定义登录原理及实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity】五、UserDetails接口和UserDetailsService接口(原理流程
llg___的博客
08-23 1707
接下来自己定义一个用户类SecurityUser类,也去实现UserDetails接口,重写UserDetails接口方法时,直接写死一个用户信息,一会儿new这个自定义SecurityUser类,也就和上面的User.builder一个意思。重写loadUserByUsernam方法,并当用户名等于自定义SecurityUser对象中的用户名时,返回SecurityUser对象。查看User类的源码,其实现了UserDetails接口,因此上面才可以直接创建User对象。重启服务,登录下,一切正常。
SpringSecurity6.0自定义数据库登录认证详细注释与两个关键点
lfl_jeetoon的博客
01-29 3375
直接把安全认证的两个关键点找了出来,让大家明白自定登录我要从哪里入手。第一是重写SecurityFilterChain,第二是重写UserDetailsService
Spring SecurityuserDetailsService用户认证以及授权
horinjsor的博客
06-01 2354
Spring安全框架
SpringSecurityUserDetailsService详解
风归去.
06-25 5103
当什么也没有配置的时候,账号和密码是由 定义生成的。而在实际项目中账号和密码都是从数据 库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 接口即可。接口定义如下:直接看源码 要想返回 UserDetails 的实例就只能返回接口的实现类。SpringSecurity 中提供了如下的实例。对于我们只需要使 用里面的 User 类即可。注意 User 的全限定路径是:org.springframework.security.core.userdetail
Spring Boot 3.0 Security 6定制UserDetailsService,动态权限,Thymeleaf,密码强度、过期、锁定、解锁、禁用、历史新密码编辑距离、登录日志、Envers
allway2的博客
11-26 7122
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证的Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。
Spring Security自定义过滤器多次执行的问题
weixin_44225096的博客
05-05 1554
public class TokenFilter implements Filter { public static final String HEADER_AUTH_NAME = "Authorization"; @Autowired JWTProvider jwtProvider; @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
UsernamePasswordAuthenticationToken使用
码字不易,大家的支持就是我的坚持下去的动力
03-02 1万+
Spring Security 中用于封装用户名密码认证信息的一个类,它实现了接口,用于表示一个认证请求。
Spring Security 6.0(spring boot 3.0) 下认证配置流程
热门推荐
hjg719的博客
12-13 2万+
Spring Security 6.0(spring boot 3.0) 下认证配置流程
Spring Security在6.0弃用WebSecurityConfigurationAdapter后该如何自定义配置介绍(新旧示例)
weixin_59216829的博客
04-12 1万+
在旧版的配置中,Security需要我们写一个类去继承他的WebSecurityConfigurerAdapter并把这个配置注入到容器中在继承这个类后,我们可以在WebSecurityConfigurer里面去重写WebSecurityConfigurationAdapter类里面的一些方法来实现自定义过滤链等操作实现自定义过滤链需要重写configure(HttpSecurity http)方法这个方法的参数http采用的是链式设计,我们直接 ‘.’就可以进行设置。
拦截器、过滤器、Spring-Security的使用
zq929060568的博客
07-19 4514
拦截器:拦截的是action,说白了拦截的是访问路径 过滤器:可以几乎过滤掉所有的东西 配置拦截器:interceptor Spring-SecuritySpring项目组中提供安全认证服务的框架 认证:验证用户密码是否正确的过程 授权:对用户所能访问的资源进行控制 应用步骤: 1.导架包 pom.xml <spring.security.version>...
springsecurity原理执行流程
最新发布
09-02
- *1* *2* [Spring Security 中的执行原理流程分析](https://blog.csdn.net/weixin_63835553/article/details/122750865)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值