SpringSecurity 理解

最新推荐文章于 2023-04-10 11:54:27 发布
最新推荐文章于 2023-04-10 11:54:27 发布
阅读量280 收藏
点赞数
分类专栏: Spring SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HUDCHSDI/article/details/93133532
版权

SpringSecurity 是基于Spring的安全框架。

1 主要作用

对客户端的http请求进行认证和权限管理。

2 原理(拦截器+过滤器)

如下图所示
在这里插入图片描述

在你添加SpringSecurity的依赖以后 添加如下Security配置类

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    Logger logger = LoggerFactory.getLogger(this.getClass());

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);
        http
                .csrf().disable();    // 关闭csrf

    }
}

再启动项目,打开debug可以看到Debug日志中多了这么一条(意思是创建了一个过滤器链)
在这里插入图片描述这条日志完整如下, 意思是创建了一条过滤器链,可以看到链中的各个过滤器的名字。

2019-06-20 18:07:52.980  INFO 24096 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Creating filter chain: any request, [org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@29d405e6, org.springframework.security.web.context.SecurityContextPersistenceFilter@4b56b031, org.springframework.security.web.header.HeaderWriterFilter@42e4e589, org.springframework.security.web.authentication.logout.LogoutFilter@d3e3085, org.springframework.security.web.savedrequest.RequestCacheAwareFilter@1283ca23, org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@79a201cf, org.springframework.security.web.authentication.AnonymousAuthenticationFilter@4c731956, org.springframework.security.web.session.SessionManagementFilter@6dca31eb, org.springframework.security.web.access.ExceptionTranslationFilter@5d5c41e5]

这个时候可以发送一个http请求,我们再来看一下日志。
在这里插入图片描述可以看到经过了很多默认的过滤器,可以找到这几个过滤器在里面的doFilter 上打断点,可以看到http请求会依次进入断点。

3 自定义过滤器。

自定义一个类 实现Filter 或者继承Filter实现类。在重写doFilter方法。doFilter里面写上我们的过滤逻辑。如下是一个简单的demo

@Component
public class MyFilter implements Filter {
    Logger logger = LoggerFactory.getLogger(this.getClass());

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void destroy() {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletResponse response = (HttpServletResponse) servletResponse;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, Authorization, Idempotent");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        logger.info("自定义过滤器");
    }
}

说到这里,SpringSecuity是怎么运作的,就理解了吧。。不去探讨很底层的东西。从表面上来分析。
添加SpringSecuity依赖以后,写一个配置类继承自WebSeculityConfigAdapter 。类上加上注解@Configuation和@EnableWebSecurity 。。SpringSecuity框架就生效了。

个人理解的整个过滤流程就是上面这些了,有不对的地方还望广大博友指出,不胜感激。

一朵野花2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 官方文档
10-08
Spring Security的官方文档中,包含了详细的配置指南、API参考、示例代码和最佳实践,帮助开发者深入理解并有效使用这个框架。例如,5.1版本的新特性包括对Servlet和WebFlux的支持增强,以及与其他第三方库的集成...
SpringSecurity笔记,编程不良人笔记
10-28
可能是使用Draw.io绘制的SpringSecurity架构图或流程图,帮助可视化理解SpringSecurity的工作原理。 总之,SpringSecurity为开发者提供了强大的安全工具,通过灵活的配置和丰富的扩展性,能够满足各种复杂的Web...
SpringSecurity学习笔记1:何为SpringSecurity
好汤圆的博客
03-24 97
SpringSecurity学习笔记1:何为SpringSecurity 环境搭建 1、首先我们要新建一个springboot项目,并导入web和thymeleaf模块 2、然后导入我们的静态资源包 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-J2SF4nb9-1616597446033)(SpringSecurity学习笔记1:何为SpringSecurity.assets/image-20210324223005489.png)] 3、写一个controller p
Spring Security理解
qq_39522549的博客
06-28 323
理论模型 系统边界 客户端——>安全系统——>服务提供者 核心实体概念 Authonization:用户(账户)信息,包括基本信息、状态信息、权限信息。 Authority:权限信息,鉴权时关联用户与资源的实体。可以使用角色(实现时就用角色名),也可以只是权限标识。 资源:需要鉴权的内容,如页面资源、静态文件资源、服务接口资源等,一般用url表示。在鉴权系统中,资源需要关联权限(或角色)。 核心步骤(流程) 认证 :用户名/密码登录、令牌认证。认证确定客户端身份,获取对应身份的信息。
spring security理解
索隆有几把刀的博客
05-10 262
spring security理解 要想搞清楚springsecurity 最好的切入点 是搞清楚 security的认证流程。这才是这个知识的主干。 主要原理 spring security 是基于servlet的filter。 核心类 框架的魅力就在于,它即是方便也是限制。 所以为了能用上它的方便,我们就得接受它的限制。 要想搞清楚认知流程 又得先说说几个核心类。 首先我们得实现一个继承了UserDetail的类,表示用户的一些基本信息,用户名,密码,角色等信息。然后实现一个UserDetailSe
今日谈谈我对Springsecurity理解
qq_40783525的博客
05-10 1066
Springsecurity主要作用是安全访问控制,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 其中核心功能有:应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分 如果您当前系统是一个单体应用开发且需要用户认证、和权限管理,Springsecurity简单配置就可以完成,大大的减少编码量。 基本概念: 1.什么是认证? 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝等,下边拿微信来
spring security的原理及教程
热门推荐
二当家的
08-27 5万+
spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差;3、spring security和Ac
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
SpringSecurity素材.rar
03-02
SpringSecurity是Java领域中一款强大的安全框架,专为SpringSpring Boot应用设计,提供全面的安全管理解决方案。...学习SpringSecurity时,理解其核心原理并结合实际项目进行实践,是掌握这个框架的关键。
Spring security认证授权
11-30
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它提供了全面的安全解决方案,包括用户认证、权限授权、会话管理、CSRF防护以及基于HTTP的访问控制。在这个例子中,我们将...
一篇对Spring Security框架理解的好文(注意一下评论区)
duanmuxiao的专栏
09-08 1050
这几天因为要熟悉之前的系统,看到了关于Spring Security 的东西,在一开始看的时候有点懵,不知所措, 也试着debug了一下代码,但是还是收效甚微,通过在网上搜索,看到这么一篇文章,总算对Spring Security有了个初步了解,在这个的基础上还可以再跑跑debug,正确能进一步理解一下。 转载地址:http://www.blogjava.net/youxia/archive/2
SpringSecurity简介
最新发布
justlpf的专栏
04-10 1367
SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLocal实现的(),这样就保证了本线程内所有的方法都可以获得SecurityContext对象。
SpringSecutity用法
victoyr的博客
03-14 346
SpringSecutity的配置:https://blog.csdn.net/victoyr/article/details/88419070 常用注解 @PreAuthorize(“hasAuthority(‘ROLE_ADMIN’)”) // 指定角色权限才能操作方法 ,比如只有管理员才能访问,或者只有vip用户才能访问 @RestController @RequestMapping("/...
Spring Security 4官方文档中文翻译与源码解读
atarik@163.com
11-19 2208
http://www.tianshouzhi.com/api/tutorials/spring_security_4/262   springsecurity5.0 官翻 https://blog.csdn.net/hchhan/article/details/80668470
Spring Security 在互联网项目中的实战分享
GitChat
08-14 4058
SpringBoot 和 Spring Cloud 中默认都是使用 Spring Security框架,这门技术非学不可。那么我们在企业中该如何灵活的运用它呢? 本场 Chat 将通过以下几个方面进行实战(互联网中前后端分离采用 JWT 方式认证),希望从中能带给大家一些思考,在今后的项目中能够正确的使用它。 从生活中的场景认识安全 生活场景中对应的 Spring Security 各个组件是什...
SpringSecurity--入门
BtWangZhi的博客
01-19 252
Spring Security过滤器链
springboot经典入门案例
baiofchao
03-15 335
http://blog.csdn.net/u013248535/article/details/55100979 https://www.cnblogs.com/xuwujing/p/8260935.html
Spring securityspring boot 的集成分析
peopleware1的博客
08-20 137
有个很大的疑问 ,这里login后为什么直接跳转到index 不是很明白 GetMapping(’/’)访问根目录是不是所有的目录都可以访问? Spring SecuritySpring Boot集成 对build.gradle配置很重要 添加依赖: //添加spring secuity 依赖 版本不需要自己指定 compile(‘org.springframework.boot:spri...
spring security 认证通过后跳转原始路径
weixin_43931625的博客
06-03 2188
springsecurity认证通过后跳转原始路径 默认情况下,通过认证后会自动跳转到原始访问路径,也可通过设置跳转到原始访问路径 *********************** 示例 ...
SpringSecurity理解
03-30
Spring Security是一个基于Spring框架的安全框架,提供了一组开箱即用的安全功能,包括身份验证、授权、攻击防护等。它可以与Spring应用程序无缝集成,并提供了大量的配置选项,让开发者可以根据自己的需求来定制安全策略。 Spring Security的核心是安全过滤器链,它由多个过滤器组成,每个过滤器负责不同的安全功能,如身份验证、授权、会话管理等。开发者可以通过配置文件或Java代码来定义安全过滤器链,以满足不同的安全需求。 Spring Security的身份验证机制支持多种认证方式,如表单认证、基本认证、OAuth2认证等。开发者可以选择适合自己应用的认证方式,并且可以自定义认证逻辑,以满足特定的认证需求。 Spring Security还提供了授权机制,可以根据用户的角色或权限来限制访问资源的权限。同时,它还提供了攻击防护功能,如CSRF、XSS、点击劫持等,保障应用的安全性。 总的来说,Spring Security是一个功能强大的安全框架,可以帮助开发者快速构建安全可靠的应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值