【精】 一分钟读懂Spring Security的基本原理

最新推荐文章于 2024-01-29 12:50:40 发布
最新推荐文章于 2024-01-29 12:50:40 发布
阅读量364 收藏
点赞数
分类专栏: 安全 Java SpringSecurity 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GeeLoong/article/details/115649812
版权
Java 同时被 3 个专栏收录
81 篇文章 0 订阅
订阅专栏
安全
9 篇文章 0 订阅
订阅专栏
SpringSecurity
2 篇文章 0 订阅
订阅专栏

Spring Security核心原理

spring security 是由一系列的过滤器连构成,主要包行 SpringSecurityContextFilter、UsernamePasswordAuthenticationFilter、ExceptionTranslationFilter、FilterSecurityIntercepor等;

一、核心过滤器

  • SpringSecurityContextFilter,主要是保存当前请求信息,当一个请求经过过滤器连时,SpringSecurityContextFilter先从session中尝试获取SecurityContext(安全上下文),如果不存在,则创建一个安全上下文;当请求结束后,SpringSecurityContextFilter会清空安全上下文信息;
  • UsernamePasswordAuthenticationFilter主要负责表单认证,当请求经过UsernamePasswordAuthenticationFilter时,用户传来的用户名和密码将被封装成token并进行一系列认证;
  • ExceptionTranslationFilter负责异常处理,主要捕获的异常包括认证异常(AuthenticationException)和访问拒绝异常(AccessDeniedException);
  • FilterSecurityInterceptor主要负责授权处理,当请求经过FilterSecurityInterceptor时,系统将从安全上下文中获取Authentication对象进行权限判断;


二、认证流程

用户提交用户名和密码请求服务器时,UsernamePasswordAuthenticationFilter将帐号密码封装成UsernamePasswordAuthenticationToken, 并委托给认证管理器AuthenticationManager进行认证;AuthenticationManager再次委托给DaoAuthenticationProvider进行认证;DaoAuthenticationProvider通过用户名从UserDetailService中获取UserDetails用户信息,然后通过PasswordEncoder来对比UserDetails中的密码;如果校验通过,则将UserDetails中的权限信息等填充到SessionAuthenticationStrategey 和 安全上下文SecurityContext中。
  
  

三、授权流程

当通过认证后,用户访问受保护的资源时,请求将被FilterSecurityInterceptor拦截器拦截,拦截器会从SecurityMetadataSoucrce的子类DefaultFilterInvocationSecurityMetadataSource中获取当前资源所需的权限集合;然后FilterSecurityInterceptor会调用AccessDecisionManager进行投票决策,若决策通过则允许访问资源,否则禁止访问。

四、实践加深理解 

实践参考下一篇文章: https://blog.csdn.net/GeeLoong/article/details/122517674

 

GeeLoong
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security实现禁止用户重复登陆的配置原理
08-25
主要介绍了Spring Security实现禁止用户重复登陆的配置原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
Spring Security基本配置方法解析
08-25
主要介绍了Spring Security基本配置方法解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity基本原理
11-12
Security基本执行过程的分析和各个环节类执行的分析。
Spring Security基本原理
花&败
07-17 3304
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
SpringSecurity——基本原理
小志的博客
09-22 2747
一、Spring Security的理解 Spring Security最核心的是过滤器链,也就是一组过滤器(Filter),所有的访问服务的请求都会经过spring security的过滤器,服务的响应也会经过spring security的过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
Spring Security的工作原理
热门推荐
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 3948
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
Spring Security 的工作原理/总体架构
swadian2008的博客
07-20 544
这些过滤器的排序是Spring官方提供的,后来Spring可能觉得这样展示的意义不大,删去了这部分内容, 补充了一些从日志查看过滤器加载顺序的说明。//首先说,这里就是 Spring Security 的工作原理,重中之重,非常重要,虽然讲的是一个异常过滤器,但是实际上是一个执行流程。// 在Spring 中,Spring 管理过滤器的生命周期,所以 Filter 实例也是 Spring 中的一个Bean。//见名知意,过滤器链的代理 FilterChainProxy 中会持有过滤器链的对象。
springsecurity的相关介绍以及简单的原理分析和简单使用
m0_51491702的博客
04-25 832
security的认证流程和登录流程的介绍。以及整个security的执行原理讲解
这篇看完,别再说你不懂SpringSecurity了!
xhnb的博客
07-26 1571
SpringSecurity一.SpringSecurity简介二.SpringSecurity快速入门1.入门项目需求2.项目环境搭建3.具体功能实现HttpBasic模式登录认证FormLogin模式登录认证自定义登录验证结果处理SpringSecurity的session管理及安全配置 一.SpringSecurity简介 Spring Security 是强大的,且容易定制的,基于Spring开发的实现认证登录与资源授权的应用安全框架 官网:https://projects.spring.io/
SpringSecurity源码学习一:过滤器执行原理
qq_27586963的博客
10-07 858
在 上图中,一个请求进来会进入web容器中,从上到下按顺序执行过滤器。当执行到DelegatingFilterProxy过滤器中,会代理到FilterChainProxy类中。FilterChainProxy 决定应该使用哪个 SecurityFilterChain。只有第一个匹配的 SecurityFilterChain 被调用。
SpringSecurity原理分析
Feverasa的博客
12-05 6435
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity原理SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity基本原理 1、基本流程 ​ SpringSecurity基本原理就是应用了Tomcat容
Spring Security基本原理
懂得一千零一种,赋予你失败的方法!
08-24 1078
文章目录Spring Security 原理一、权限管理中的相关概念二、Spring Security 基本原理1.FilterSecurityInterceptor2.ExceptionTranslationFilter3.UsernamePasswordAuthenticationFilter三、UserDetailsService 接口讲解四、PasswordEncoder 接口讲解总结 Spring Security 原理 一、权限管理中的相关概念 1、主体 英文单词:principal 使用.
Spring Security简介和原理
最新发布
0
01-29 1137
Spring SecuritySpring提供的安全认证服务的框架。使用Spring Security可以帮助我 们来简化认证和授权的过程。--security启动器-->
Spring Security内部工作原理
allway2的博客
11-18 583
Spring 安全性是 Spring提供的一个框架,有助于自定义访问和身份验证过程。它在保护应用程序方面起着非常关键的作用。Spring 安全性,主要侧重于身份验证和授权,为 Java 应用程序提供所有好处。它非常有用,并提供了一种在实际项目中应用的简单方法。并且,允许在实际项目中进行自定义修改。
Spring Security原理
qixiang_chen的博客
06-30 1442
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 2874
有关Spring Security原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
springsecurity基本原理
06-09
Spring Security 是一款基于 Spring 框架的安全框架,其基本原理可概括如下: 1. 认证(Authentication):Spring Security 提供了多种认证方式,包括表单认证、HTTP 基本认证、OpenID 认证、LDAP 认证等,可以根据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值