SpringSecurity 你值得学习!!!

最新推荐文章于 2024-07-10 21:37:49 发布
最新推荐文章于 2024-07-10 21:37:49 发布
阅读量393 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Drewwong/article/details/109617790
版权
JAVA安全框架简介

文章目录

SpringSecurity功能介绍和原理分析

一、基本原理

基于servlet的Filter来实现的!!

在这里插入图片描述

绿色部分的各个过滤器(如 UsernamePasswordAuthenticationFilter),主要完成SpringSecurity的各种认证工作,如Form表单认证(登录页)和 http basic认证等
黄色的 FilterSecurityInterceptor 是整个过滤器链中的最后一环,最终由它决定当前请求能否到达最后请求的资源
蓝色的ExceptionTranslationFilter过滤器,用于捕获FilterSecurityInterceptor抛出的各种异常,进行对应的处理

默认的过滤器链:

在这里插入图片描述

二、认证流程详解

在这里插入图片描述

认证成功后认证结果在多个请求之间实现共享

在这里插入图片描述

SecurityContextPersistenceFilter实现认证结果共享

在这里插入图片描述

UsernamePasswordAuthenticationFilter: 用户名和密码认证的过滤器

调用父类的AbstractAuthenticationProcessingFilter的doFilter进行认证:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
   

    。。。。。
  
      authResult = attemptAuthentication(request, response);//认证
     。。。。
   }
   catch (InternalAuthenticationServiceException failed) {
   
      logger.error(
            "An internal error occurred while trying to authenticate the user.",
            failed);
      unsuccessfulAuthentication(request, response, failed);

      return;
   }
   catch (AuthenticationException failed) {
   
      // Authentication failed
      unsuccessfulAuthentication(request, response, failed);

      return;
   }

   successfulAuthentication(request, response, chain, authResult);
}

UsernamePasswordAuthenticationFilter:

public Authentication attemptAuthentication(HttpServletRequest request,
      HttpServletResponse response) throws AuthenticationException {
   
  ....
   UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
         username, password);
    ....
   return this.getAuthenticationManager().authenticate(authRequest);//交由认证管理器进行认证操作
}

认证管理器:

ProviderManager(默认的认证管理器)

public Authentication authenticate(Authentication authentication)
      throws AuthenticationException {
   
    。。。。
        
   //遍历所有的认证提供者,找一个合适的认证提供者来处理请求
   for (AuthenticationProvider provider : getProviders()) {
   
      if (!provider.supports(toTest)) {
   
         continue;
      }

      try {
   
         result = provider.authenticate(authentication);

         if (result != null) {
   
            copyDetails(authentication, result);
            break;
         }
      }

   }
    。。。。
}

DaoAuthenticationProvider:

调用父类AbstractUserDetailsAuthenticationProvider的authenticate进行认证

public Authentication authenticate(Authentication authentication)
      throws AuthenticationException {
   
   Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
         messages.getMessage(
               "AbstractUserDetailsAuthenticationProvider.onlySupports",
               "Only UsernamePasswordAuthenticationToken is supported"));

   // Determine username
   String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
         : authentication.getName();

   boolean cacheWasUsed = true;
   UserDetails user = this.userCache.getUserFromCache(username);

   if (user == null) {
   
      try {
   
          //获取真实的用户信息
         user = retrieveUser(username,
               (UsernamePasswordAuthenticationToken) authentication);
      }
    
   }

   try {
   
      ......
      //用户认证
      additionalAuthenticationChecks(user,
            (UsernamePasswordAuthenticationToken) authentication);
   }
   
   return createSuccessAuthentication(principalToReturn, authentication, user);
}

DaoAuthenticationProvider:

retrieveUser:

protected final UserDetails retrieveUser(String username,
      UsernamePasswordAuthenticationToken authentication)
      throws AuthenticationException {
   
    
   try {
   
       
      UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
    
      return loadedUser;
   }
  
}

additionalAuthenticationChecks:

protected void additionalAuthenticationChecks(UserDetails userDetails,
      UsernamePasswordAuthenticationToken authentication)
      throws AuthenticationException {
   
    
   String presentedPassword = authentication.getCredentials().toString();
    //密码比对
   if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
   
      throw new BadCredentialsException(messages.getMessage(
            "AbstractUserDetailsAuthenticationProvider.badCredentials",
            "Bad credentials"));
   }
}

三、个性化用户认证流程

需求:修改登录时的默认表单请求为ajax异步请求!!!

login(){
   
  axios.post('/login.do','username='+this.username+'&password='+this.password+"&imageCode="+this.imageCode+"&imageCode="+this.imageCode
                        +'&rememberMe='+this.rememberMe).then((res)=>{
   
                        if(res.data.flag){
   
                            window.location.href="/pages/main.html";
                        }else{
   
                            this.msg=res.data.message;
                        }
                    });
}

1、修改登录成功后返回json数据

接口及常用实现类

AuthenticationSuccessHandler
--SavedRequestAwareAuthenticationSuccessHandler  默认
--ForwardAuthenticationSuccessHandler
--SimpleUrlAuthenticationSuccessHandler

自定义认证成功处理器

public class AuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
   
    private String type;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
   
        logger.info("登录成功");
        if ("json".equalsIgnoreCase(this.type) || "json".equalsIgnoreCase(request.getParameter("type"))) {
   
            //返回json格式数据
            response.setContentType("application/json;charset=UTF-8");
            response.getWriter().write("{\"flag\":true,\"message\":\"登录成功\"}");
        } else {
   //默认的页面跳转
            super.onAuthenticationSuccess(request, response, authentication);
        }

    }
    public String getType() {
   
        return type;
    }
    public void setType(String type) {
   
        this.type = type;
    }

}

配置

<security:form-login   
		login-page="/login.jsp" 
		default-target-url="/index.html" 
		authentication-failure-url="/login.jsp"
		authentication-success-handler-ref="authenticationSuccessHandler"/>

<bean id="authenticationSuccessHandler" class="com.itheima.AuthenticationSuccessHandler">
    <property name="type" value="json"></property>
</bean>

2、修改处理登录失败后返回json数据

接口及常用实现类

AuthenticationFailureHandler
--SimpleUrlAuthenticationFailureHandler    默认
--DelegatingAuthenticationFailureHandler
--ForwardAuthenticationFailureHandler

自定义认证失败处理器

public
最低0.47元/天 解锁文章
卓老板
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为什么越来越多程序员使用SpringSecurity,这些原因你都知道吗?
uuuyy_的博客
12-08 3989
1|2 什么是安全框架 安全框架顾名思义,就是解决系统安全问题的框架。任何应用开发的计划阶段都应该确定一组特定的安全需求,如身份验证、授权和加密方式。不使用安全框架之前,我们需要手动处理每个资源的访问控制,针对不同的项目都需要做不同的处理,此时就会显得非常麻烦,并且低效率引起的额外开销会延缓开发周期。使用安全框架,使开发团队能够选择最适合这些需求的框架,可以通过配置的方式实现对资源的访问限制,使得开发更加的高效。 1|2常用的安全框架 Spring Security: Spring 家族一员,是一个
Spring Security:比较Shiro
​​
05-27 445
虽然目前 Spring Security 一片火热,但是 Shiro 的市场依然存在,今天我就来稍微的说一说这两个框架的,方便大家在实际项目中选择适合自己的安全管理框架。 首先我要声明一点,框架无所谓好坏,关键是适合当前项目场景,作为一个年轻的程序员更不应该厚此薄彼,或者拒绝学习某一个框架。 小孩子才做选择题,成年人两个都要! 所以接下来主要结合我自己的经验来说一说这两个框架的优缺点,没有提到的地方也欢迎大家留言补充。 Spring Security 因为 SpringBoot 而火 Spring Sec
WEB常识 二 什么是授权(Authorization)
W_H_M_2018的博客
09-22 1268
什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源的权限 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限) 你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息) 实现授权的方式有:cookie、session、token、OAuth ...
[原创]Spring教程01--Spring开始篇_Helloworld
weixin_34138377的博客
01-20 118
开始之前 在写这篇文章的时候;自己其实很犹豫;因为这个Spring的教程网上的教程也有很多。但是个人希望自己可以在底层尽量的详细的总结一下;关于Spring的教程个人目标主要是底层的学习;可能这个是一个艰难的开始;期间可能有些错误,希望大家一同讨论。 概叙 Spring的简介: Spring FrameWork目前已经发布Spring5.0了;Spring框架是一个全功能栈(full-stack)...
Spring Boot 贼 6,还有必要 SpringMVC 么?
实验楼
10-17 5815
“我 Spring Boot 贼 6 ,但是被问SpringMVC的原理,依然懵逼,我是懒人,爱上了Springboot自动配置的简便,想问问就现在情况,还有没有必要花时...
无线局域网安全协议(WEP、WPA、WAPI)
热门推荐
Hardworking666的博客
11-04 1万+
文章目录一、WEP(有线等效保密)二、WPA(Wi-Fi网络安全接入)三、WAPI(无线局域网鉴别和保密基础结构) WLAN是Wireless Local Area Network的简称,指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。 一、WEP(有线等效保密) WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。不过密码分析家已经找出 WEP 好..
spring security 3.1学习资料 及 附件下载
09-24
Spring Security 3.1 学习指南及资源解析》 Spring SecurityJava平台上的一款强大且高度可定制的安全框架,广泛应用于企业级Web应用的安全管理。本篇文章将围绕"Spring Security 3.1"这一主题,深入探讨其核心...
springSecurity
09-04
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本文中,我们将深入探讨Spring ...无论你是新手还是经验丰富的开发者,Spring Security值得深入学习和掌握。
SpringSecurity使用和分析.docx
09-27
学习Spring Security不仅有助于降低Java应用的安全开发成本,而且可以增强开发者对各种安全攻击(如SQL注入、XSS、CSRF等)的理解,从而制定出更有效的防护措施。了解这些攻击手段和防御策略是跨语言的,对于任何Web...
SpringSecurity企业及认证全套开发资源.docx
02-25
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习
spring_security.txt
03-05
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习
WEB 认证授权
u011085781的博客
07-12 997
认证授权 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份。 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源的权限。 实现授权的方式有:cookie、session、JWT、SSO、OAuth2。 什么是凭证(Credentials) 实现认证和授权的前提是需要一种媒介(证书)来标记访问者的身份。 Cookie&Session
H12-723题库-个人整理笔记
小闫的博客
04-21 1万+
HCIP安全 H12-723题库 个人笔记整理
SpringSecurity是什么,如何学习SpringSecurity
杨荧的CSDN博客
06-21 1157
SpringSecurity是什么,如何学习SpringSecurity
WEB安全(一)认证和授权的区别
jinyangjie的博客
02-11 601
认证(authentication)和授权(authorization)在安全性方面相互结合使用,尤其是在获得对系统的访问权限时。但这两个词我们经常搞混,其实它们在概念上是完全不同的。 认证意味着确认您自己的身份,而授权意味着授予对系统的访问权限。 认证 身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。系统确定您是否就是您所说的使用凭据。 根据安全级别,身份验证因素有: 单因素 身份验证 - 这是最简单的身份验证方法,通常依赖于简单的密码来授予用户对特定系统(如网站或网络)的访问权
web授权认证
廖先森的博客
03-23 847
web.xml 在/WEB-INF/web.xml里添加下面代码 <listener> <listener-class>org.apache.shiro.web.env.EnvironmentLoaderListener</listener-class> </listener> <filter&g...
通过实例理解Web应用授权的几种方式
TonyBai
11-05 459
预告:下周一会发一个软文,大家担待一下,高低忍一忍在前面的系列文章中,我们了解了Go Web应用身份认证的几种方式[1],也知道了该如何相对安全地存储用户的密码信息[2],最大程度减小在系统数据库被攻破时用户密码信息的泄露程度。一旦用户通过身份验证,他/她就可以以合法的身份进入到系统中,那么问题来了:用户进入系统后是否就可以“为所欲为”了呢?显然不是! 比如我们以普通用户身份登录github,身份...
配置Java开发环境
最新发布
Broken_x的博客
07-10 1620
Java开发环境配置
你是java开发专家,spring哪些源码值得学习
07-11
作为一个AI语言模型,我可以为您提供一些Spring框架中值得学习的源码模块。以下是一些可以考虑深入研究的Spring源码模块: 1. Spring Core:Spring框架的核心模块,包含了控制反转(IoC)和依赖注入(DI)的实现。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值