springSecurity学习之springSecurity流程

已于 2024-09-11 18:53:43 修改
阅读量345 收藏 3
点赞数 4
分类专栏: springSecurity 文章标签: java
于 2024-07-21 11:39:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lxn2zh/article/details/140585663
版权

文章目录

springSecurity流程

认证流程

  • 登录请求进入UsernamePasswordAuthenticationFilter,父类是AbstractAuthenticationProcessingFilter,执行AbstractAuthenticationProcessingFilter的doFilter方法

    authResult = attemptAuthentication(request, response);

  • 确认该请求是否需要认证,如果需要认证且此时还没有进行认证,则尝试进行认证,调用UsernamePasswordAuthenticationFilter的attemptAuthentication方法,将从请求中获取的用户名和密码封装成UsernamePasswordAuthenticationToken对象(认证状态为未认证)

    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
      username, password);
      
 public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
		super(null);
		this.principal = principal;
		this.credentials = credentials;
   	// 设置为未认证
		setAuthenticated(false);
	}

  • 通过AuthenticationManager(实现类是ProviderManager)委托AuthenticationProvider(实现类是DaoAuthenticationProvider)关联UserDetailsService进行认证过程

    // UsernamePasswordAuthenticationFilter中通过AuthenticationManager进行认证
return this.getAuthenticationManager().authenticate(authRequest);

// ProviderManager中通过AuthenticationProvider进行认证,使用的是DaoAuthenticationProvider对象,DaoAuthenticationProvider继承了AbstractUserDetailsAuthenticationProvider类,实际走的是AbstractUserDetailsAuthenticationProvider的authenticate方法
result = provider.authenticate(authentication);

// AbstractUserDetailsAuthenticationProvider的authenticate方法中检索用户,实际执行的是DaoAuthenticationProvider的retrieveUser方法
user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
// DaoAuthenticationProvider的retrieveUser方法中通过UserDetailsService就查询用户进行认证,可以自己实现用户查找以及认证过程
loadedUser = this.getUserDetailsService().loadUserByUsername(username);

  • UserDetailsService返回的UserDetails被封装成Authentication

  • 如果认证成功则执行successfulAuthentication

    successfulAuthentication(request, response, chain, authResult);

  • 如果认证失败则执行unsuccessfulAuthentication

    unsuccessfulAuthentication(request, response, failed);

权限流程

FilterSecurityInterceptor

  • 判断请求是否有权限

    InterceptorStatusToken token = super.beforeInvocation(fi);

  • 进行springmvc处理

    fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

参考文献

拾光师
关注
专栏目录
Spring Security请求全过程解析
艾华生的博客
08-10 1387
Spring Security是一款基于Spring的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架Apache Shiro相比,它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求,并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring,那么在安全方面Spring Security会是一个不错的选择。 这里我们使用Spring Boot来集成Spring SecuritySpring Boot版本为2.5.3,Sprin
SpringSecurity的执行流程超详细讲解
qq_41473691的博客
09-18 5478
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
权限管理系统后端实现1-SpringSecurity执行原理概述
m0_51935008的博客
07-08 623
方法,设置到其中。FilterChainProxy是一个代理,真正起作用的是各个Filter,这些Filter作为Bean被Spring管理,是Spring Security核心,各有各的职责,不直接处理认证和授权,交由认证管理器和决策管理器处理!3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。但拦截器里面的实现需要一些组件来实现,所以就有了。
spring security执行流程
m0_38105216的博客
01-25 4445
启动的时候把userRespository注入进来 执行流程 首先我们配置SecurityConfiguration它继承WebSecurityConfiguraterAdpter 并且实现 configure是释放静态资源 还实现了configure(HttpSecurity http)主要是对于url请求资源的拦截处理 主要是通过UsernamePasswordAuthe...
Spring Security运行流程的简单理解
weixin_70312788的博客
08-03 1998
Spring Security运行流程的简单理解
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 12万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
springsecurity工作流程
qq_39321234的博客
04-27 1983
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
springsecurity原理流程图.pdf
09-08
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,它是安全领域中Spring生态系统的一部分。Spring Security旨在为Java应用程序提供一个全面的安全解决方案,尤其适用于企业级应用场景。它主要...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring Security学习之路
02-06
在"Spring Security学习之路"这个主题中,我们将深入探讨如何使用这个框架来实现登录界面和其他安全相关的功能。 首先,Spring Security的核心是为应用程序提供认证(Authentication)和授权(Authorization)服务...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security 认证执行流程
niceyoo的博客
06-03 516
Spring Security 认证执行流程 本文基于 Spring Security 5.x 推荐阅读: 项目集成Spring Security SpringSecurity 整合 JWT 一、外层-正常登陆调用 项目启动后会自动寻找 UserDetailsService 实现类; 执行 UserDetailsServic...
[自用,更新自day5]瑞吉外卖代码及笔记
最新发布
lapiii的博客
11-01 438
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
10-29 1291
项目功能:商品分类,商品信息,用户。
Hadoop生态圈框架部署(二)- 配置IP地址映射为主机名及免密登录
zcs2312852665的博客
10-29 1249
介绍在虚拟机hadoop1、hadoop2和hadoop3配置IP地址映射为主机名配置虚拟机hadoop1、hadoop2和hadoop3互相免密登录。
(1)Java 编程基础概览:数据类型、常量、变量、标识符与运算符
码界领航的Cherry Yang的博客
10-28 1057
8 位,占1个字节,有符号的,范围 -128(-2^7)至 127(2^7-1)。32 位,占4个字节,范围 -2,147,483,648(-2^31)至 2,147,483,647(2^31 - 1)。Java 提供了六种数字类型,其中四个为整数类型,两个为浮点类型,还有字符类型,以及布尔型。16 位,占2个字节,范围 -32768(-2^15)至 32767(2^15 - 1)64 位,占8个字节,范围 -2^63 至 2^63 - 1。16 位 Unicode 字符,占 2 个字节。
基于Mysql、JavaScript、PHP、ajax开发的MBTI性格测试网站(前端+后端)
2302_79553009的博客
10-29 1391
本项目旨在构建一个基于MBTI(迈尔斯-布里格斯性格分类指标)理论的在线平台——“16Personalities”。该平台利用PHP、MySQL、JavaScript等技术栈开发,旨在帮助用户更好地理解和运用MBTI理论来评估个人性格类型,并应用于职业规划、团队建设和人际交往等多个方面。用户端功能 包括账号注册与登录、在线性格测试、性格类型浏览、团队评估及在线交友等模块。用户可以通过完成性格测试来获得详细的MBTI性格分析,并通过平台提供的功能与其他具有不同性格类型的用户互动。
SpringSession源码分析
lkr_lkr的博客
11-01 151
默认对常规Session的理解和使用,如何使用Set-Cookie。
SpringSecurity6实现自定义认证流程详解
标签“SpringSecurity6 java”指的是Spring Security 6框架在Java编程语言中的应用。Spring Security 6与Java生态紧密集成,为Java开发者提供了丰富的安全特性,使得他们能够为基于Java的企业级应用构建出健壮的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拾光师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值