系列二、Spring Security中的核心类

已于 2024-01-13 23:49:12 修改
阅读量537 收藏 9
点赞数 9
分类专栏: Spring Security OAuth2.0系列 文章标签: Spring Security OAuth2.0
于 2024-01-11 23:13:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HelloWorld20161112/article/details/135539563
版权

一、Spring Security中的核心类

1.1、自动配置类

UserDetailsServiceAutoConfiguration

1.2、密码加密器

1.2.1、概述

        Spring Security 提供了多种密码加密方案,官方推荐使用 BCryptPasswordEncoder,BCryptPasswordEncoder 使用 BCrypt 强哈希函数,开发者在使用时可以选择提供 strength 和 SecureRandom 实例。strength 越大,密钥的迭代次数越多,密钥迭代次数为 2^strength。strength 取值在 4~31 之间,默认为 10。不同于 Shiro 中需要自己处理密码加盐,在 Spring Security 中,BCryptPasswordEncoder 就自带了盐,处理起来非常方便。而 BCryptPasswordEncoder 就是 PasswordEncoder 接口的实现类。

1.2.2、PasswordEncoder

public interface PasswordEncoder {
	/*
	 * encode 方法用来对明文密码进行加密,返回加密之后的密文
	 */
    String encode(CharSequence var1);
	
	/*
	 * matches方法是一个密码校对方法,在用户登录的时候,将用户传来的明文密码和数据库中保存的密文密码作为参数,
	 * 传入到这个方法中去,根据返回的 Boolean 值判断用户密码是否输入正确
	 */	
    boolean matches(CharSequence var1, String var2);

	/*
	 * upgradeEncoding 是否还要进行再次加密,这个一般来说就不用了
	 */	
    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

1.3、UserDetailService

1.3.1、概述

        Spring Security支持多种数据源,例如内存、数据库、LDAP等,这些不同来源的数据被共同封装成了UserDetailService接口,换句话说任何实现了UserDetailService接口的对象都可以作为认证数据源,因为我们还可以通过重写WebSecurityConfigurerAdapter 中的 userDetailsService 方法来提供一个 UserDetailService 实例进而配置多个用户。

1.3.2、继承结构(基于spring-boot-starter-security:2.3.2.RELEASE)

1.4、UsernamePasswordAuthenticationFilter

1.4.1、概述

        处理用户名/密码的核心类。

1.4.2、部分核心源码

1.5、Authentication 

1.5.1、概述

        Authentication是Spring Security中一个非常重要的对象,我们可以在任何地方注入 Authentication 进而获取到当前登录用户信息,Authentication 本身是一个接口,它实际上是对 java.security.Principal 做了进一步的封装。

1.5.2、源码

public interface Authentication extends Principal, Serializable {
	
	Collection<? extends GrantedAuthority> getAuthorities();
	
	Object getCredentials();
	
	Object getDetails();
	
	Object getPrincipal();
	
	boolean isAuthenticated();

	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

1.6、AuthenticationProvider 

1.6.1、概述

        AuthenticationProvider 定义了 Spring Security 中的验证逻辑。

1.6.2、源码

public interface AuthenticationProvider {

 Authentication authenticate(Authentication authentication) throws AuthenticationException;
 
 boolean supports(Class<?> authentication);
 
}

YYAugenstern
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security认证两用户代码实例
08-19
在这个,我们可以根据用户型(例如,用户的角色或权限)执行不同的逻辑。以下是一个简化的实现: ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired ...
Spring Security如何在Servlet执行
08-19
Spring Security 是一个强大的安全框架,...综上所述,Spring Security通过集成到Servlet Filter Chain,利用一系列的Filter实现了复杂的安全管理。理解这些核心概念对于有效地使用和定制Spring Security至关重要。
Spring Security核心
txd2016_5_11的博客
01-29 456
Spring Security核心包括:Authentication、SecurityContextHolder、AuthenticationManager 和 AuthenticationProvider、UserDetailsService、JdbcDaoImpl、InMemoryDaoImpl以及GrantedAuthority。 一、Authentication         A...
Spring Security:架构及其核心
weixin_40270125的博客
01-05 383
这篇文章主要是阅读Spring Security官方文档后,关于Spring Security的身份验证和访问控制原理的摘要。 1Spring Security核心组件 1.1 SecurityContextHolder, SecurityContext and Authentication Objects The most fundamental object isSecuri...
爆破专栏丨Spring Security系列教程之SpringSecurity的密码加密_spring(2)
2401_84102759的博客
05-14 935
提前多熟悉阿里往年的面试题肯定是对面试有很大的帮助的,但是作为技术性职业,手里有实打实的技术才是你面对面试官最有用的利器,这是从内在散发出来的自信。备战阿里时我花的最多的时间就是在学习技术上,占了我所有学习计划的百分之70,这是一些我学习期间觉得还是很不错的一些学习笔记我为什么要写这篇文章呢,其实我觉得学习是不能停下脚步的,在网络上和大家一起分享,一起讨论,不单单可以遇到更多一样的人,还可以扩大自己的眼界,学习到更多的技术,我还会在csdn、博客、掘金等网站上分享技术,这也是一种学习的方法。今天就分享到这
第一章:Spring Security(三):Security重要的几个
ayong95的专栏
01-08 975
文章目录 前言 一、Spring Security的重要 、 1. 2. 总结 前言 前面我们在访问资源时,没有登录到系统,所以会跳转到login请求。本章节,我们就来了解下Spring Security重要的几个。 一、SpringSecurity的重要 1. UserDetailsService 2. UserDetails 、 1. 2.读入数据 代码如下(示例): 该处使用的url网络请求...
浅析Spring Security 核心组件
qq_44005305的博客
02-09 522
近几天在网上找了一个 Spring Security 和JWT 的例子来学习,项目地址是:作为学习Spring Security还是不错的,通过研究该 demo 发现自己对 Spring Security一知半解,并没有弄清楚Spring Seurity的流程,所以才想写一篇文章先来分析分析Spring Security核心组件,其参考了官方文档及其一些大佬写的Spring Security分析文章,有雷同的地方还请见谅。
Spring Security 四 认证
weixin_43172297的博客
07-05 316
认证一、认证1. 密码存储Spring Security的密码算法1.PasswordEncoder2.PasswordEncoder的实现3.DelegatingPasswordEncoder4.PasswordEncoderFactories4.自定义PasswordEncoder 一、认证 Spring Security 为身份验证提供了全面的支持。身份验证是我们验证尝试访问特定资源的人的身份的方式。验证用户身份的常用方法是要求用户输入用户名和密码。一旦执行身份验证,我们就知道身份并可以执行授
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
springsecurity使用demo
03-03
在本示例,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
SpringSecurity素材.rar
03-02
2. **配置SpringSecurity**:讲解如何在SpringBoot项目引入SpringSecurity依赖,并配置相应的安全配置。这通常涉及到定义自定义的`HttpSecurity`配置,比如设置登录页面、未授权页面、CSRF防护等。 3. **用户...
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 1万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring Security核心详解
林木森的博客
11-22 1001
Spring Security是什么 Spring Security 是一种基于 Spring AOP 和 Servlet 过滤器 Filter 的安全框架,它提供了全面的安全解决方案,提供在 Web 请求和方法调用级别的用户鉴权和权限控制。 Web 应用的安全性通常包括两方面:用户认证(Authentication)和用户授权(Authorization)。 用户认证指的是验证某个用户是否为系统合法用户,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认
SpringSecurity的密码加密算法:BCryptPasswordEncoder
热门推荐
永不停歇的人
07-17 4万+
BCryptPasswordEncoder spring security的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库。 (2)密码匹配(matches):用户登录时,密码匹配
Spring Security】快速入门之案例实操
无法自律的人的博客
12-28 1485
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文配置的Bean,充分利用了Spring IoC,DI和AOP功能。Spring Security为基于J2EE企业应用软件提供了全面安全服务,包括认证、授权、加密和会话管理等。它对Web安全性的支持大量地依赖于Servlet过滤器。Spring Security采用“安全层”的概念,使每一层都尽可能安全,连续的安全层可以达到全面的防护。
Spring Security加密解密
程序三两行
08-03 7244
我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。这是一种可以从任何数据创建数字“指纹”的方法,常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)等。散列函数通过把消息或数据压缩成摘要信息,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,再重新创建成一个散列值,从而达到加密的目的。散列值通常用一个短的随机字母和数字组成的字
SpringSpring Security 核心介绍及Spring Security 的验证机制
最新发布
No8g攻城狮的博客
07-01 1383
Authentication 用来表示用户认证信息,在用户登录认证之前,Spring Security 会将相关信息封装为一个 Authentication 具体实现的对象,在登录认证成功之后又会生成一个信息更全面、包含用户权限等信息的 Authentication 对象,然后把它保存在 SecurityContextHolder 所持有的 SecurityContext ,供后续的程序进行调用,如访问权限的鉴定等。SecurityContext 含有当前所访问系统的用户的详细信息。
Spring Security架构和核心一览
bangiao的博客
02-03 344
剩下的还有一些涉及到登录成功后怎么做, 登录失败后怎么做, 出现认证异常怎么做, 出现拒绝访问异常怎么做这每一个背后都会有一个接口, 提供功能, 都会有默认实现, 这里讲的全是传统web, 以后前后端分离会讲我想想还有什么没想到的…OAuth?还是JWT相关?忘了是直接使用的这个[外链图片转存…(img-itryaGJZ-1675433602434)]剩下的还有一些涉及到登录成功后怎么做, 登录失败后怎么做, 出现认证异常怎么做, 出现拒绝访问异常怎么做。
spring-security核心解析--整理....
徐靖峰的专栏
03-31 4510
前言这一篇文章可能会陆续更新很久,主要是不一定有空,有精力整理那么多。不太习惯连载教程,网上其他的博客也很多了。可不太令我满意的是,大多数spring-security的配置都是停留在xml配置,springboot如何整合spring-security讲解的不多。所以本篇博客的定位是基于javaConfig,结合springboot的一些自动配置,详解一些spring-security核心和接
Spring Security 3.0 文参考手册
1. **Core-spring-security-core.jar**: 核心模块,包含核心的权限管理和认证,如`Authentication`和`Authorization`接口。 2. **Web-spring-security-web.jar**: 专门针对Web应用的安全模块,包含过滤器链来处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值