SpringSecurityOAuth2常用类

已于 2023-07-14 16:42:25 修改
阅读量107 收藏
点赞数
分类专栏: JAVA 文章标签: OAuth2常用类
于 2023-04-23 19:58:28 首次发布
^_^ ^_^ ^_^
本文链接:https://blog.csdn.net/Michael_lcf/article/details/130329125
版权

SpringSecurityOAuth2常用类

SpringSecurity默认加载的过滤器

1、org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
2、org.springframework.security.web.context.SecurityContextPersistenceFilter
3、org.springframework.security.web.header.HeaderWriterFilter
4、org.springframework.security.web.authentication.logout.LogoutFilter
5、org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
6、org.springframework.security.web.savedrequest.RequestCacheAwareFilter
7、org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
8、org.springframework.security.web.authentication.AnonymousAuthenticationFilter
9、org.springframework.security.web.session.SessionManagementFilter
10、org.springframework.security.web.access.ExceptionTranslationFilter
11、org.springframework.security.web.access.intercept.FilterSecurityInterceptor

SpringSecurityOAuth2中@EnableAuthorizationServer默认加载的过滤器

1、org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
2、org.springframework.security.web.context.SecurityContextPersistenceFilter
3、org.springframework.security.web.header.HeaderWriterFilter
4、org.springframework.security.web.authentication.logout.LogoutFilter
5、org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter
6、org.springframework.security.web.authentication.www.BasicAuthenticationFilter
7、org.springframework.security.web.savedrequest.RequestCacheAwareFilter
8、org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
9、org.springframework.security.web.authentication.AnonymousAuthenticationFilter
10、org.springframework.security.web.session.SessionManagementFilter
11、org.springframework.security.web.access.ExceptionTranslationFilter
12、org.springframework.security.web.access.intercept.FilterSecurityInterceptor

SpringSecurityOAuth2中@EnableResourceServer默认加载的过滤器

1、org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
2、org.springframework.security.web.context.SecurityContextPersistenceFilter
3、org.springframework.security.web.header.HeaderWriterFilter
4、org.springframework.security.web.authentication.logout.LogoutFilter
5、org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter
6、org.springframework.security.web.savedrequest.RequestCacheAwareFilter
7、org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
8、org.springframework.security.web.authentication.AnonymousAuthenticationFilter
9、org.springframework.security.web.session.SessionManagementFilter
10、org.springframework.security.web.access.ExceptionTranslationFilter
11、org.springframework.security.web.access.intercept.FilterSecurityInterceptor

FilterChainProxy

在这里插入图片描述

在这里插入图片描述

AuthenticationManager

在这里插入图片描述

ProviderManager

在这里插入图片描述

OAuth2AuthenticationManager

在这里插入图片描述

AbstractAuthenticationProcessingFilter

UsernamePasswordAuthenticationFilter

在这里插入图片描述

BasicAuthenticationFilter

在这里插入图片描述

ClientCredentialsTokenEndpointFilter

在这里插入图片描述

OAuth2ClientAuthenticationProcessingFilter

在这里插入图片描述

OAuth2AuthenticationProcessingFilter

在这里插入图片描述

FilterSecurityInterceptor

在这里插入图片描述

Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource()
											 .getAttributes(object);

AccessDecisionManager:AffirmativeBased、ConsensusBased、UnanimousBased

// Attempt authorization
try {
	this.accessDecisionManager.decide(authenticated, object, attributes);
} catch (AccessDeniedException accessDeniedException) {
	publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated, accessDeniedException));
	throw accessDeniedException;
}

在这里插入图片描述

在这里插入图片描述

Spring Security内置了三个基于投票的AccessDecisionManager实现类如下,它们分别是AffirmativeBased、ConsensusBased和UnanimousBased。
AffirmativeBased 的逻辑:
(1)只要有AccessDecisionVoter的投票为ACCESS_GRANTED则同意用户进行访问;
(2)如果全部弃权也表示通过;
(3)如果没有一个人投赞成票,但是有人投反对票,则将抛出AccessDeniedException。
Spring security默认使用的是AffirmativeBased。

ConsensusBased 的逻辑:
(1)如果赞成票多于反对票则表示通过。
(2)反过来,如果反对票多于赞成票则将抛出AccessDeniedException。
(3)如果赞成票与反对票相同且不等于0,并且属性allowIfEqualGrantedDeniedDecisions的值为true,则表示通过,否则将抛出异常AccessDeniedException。参数allowIfEqualGrantedDeniedDecisions的值默认为true。
(4)如果所有的AccessDecisionVoter都弃权了,则将视参数allowIfAllAbstainDecisions的值而定,如果该值为true则表示通过,否则将抛出异常AccessDeniedException。参数allowIfAllAbstainDecisions的值默认为false。
UnanimousBased的逻辑与另外两种实现有点不一样,另外两种会一次性把受保护对象的配置属性全部传递给AccessDecisionVoter进行投票,而UnanimousBased会一次只传递一个ConfigAttribute给AccessDecisionVoter进行投票。这也就意味着如果我们的AccessDecisionVoter的逻辑是只要传递进来的ConfigAttribute中有一个能够匹配则投赞成票,但是放到UnanimousBased中其投票结果就不一定是赞成了。

UnanimousBased 的逻辑:
(1)如果受保护对象配置的某一个ConfigAttribute被任意的AccessDecisionVoter反对了,则将抛出AccessDeniedException。
(2)如果没有反对票,但是有赞成票,则表示通过。
(3)如果全部弃权了,则将视参数allowIfAllAbstainDecisions的值而定,true则通过,false则抛出AccessDeniedException。

SpringSecurity也内置一些投票者实现类如 RoleVoter、AuthenticatedVoter 和 WebExpressionVoter 等,可以查阅资料进行学习。

AccessDecisionVoter

在这里插入图片描述

授权服务器配置

public class AuthorizationServerConfigurerAdapter implements AuthorizationServerConfigurer {
	@Override
	public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {}
	@Override
	public void configure(ClientDetailsServiceConfigurer clients) throws Exception {}
	@Override
	public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {}
}

@Configuration
@EnableAuthorizationServer
public class AuthorizationServer extends AuthorizationServerConfigurerAdapter {
	//略...
}

ClientDetailsServiceConfigurer:用来配置客户端详情服务(ClientDetailsService),客户端详情信息在这里进行初始化,你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息。
AuthorizationServerEndpointsConfigurer:用来配置令牌(token)的访问端点和令牌服务(token services)。
AuthorizationServerSecurityConfigurer:用来配置令牌端点的安全约束。

资源服务器配置

@EnableResourceServer 注解自动增加了一个类型为 OAuth2AuthenticationProcessingFilter 的过滤器链。

public class ResourceServerConfigurerAdapter implements ResourceServerConfigurer {
	@Override
	public void configure(ResourceServerSecurityConfigurer resources) throws Exception {}
	@Override
	public void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests().anyRequest().authenticated();
	}
}

WebSecurityConfigurerAdapter

在这里插入图片描述

TokenGranter

Michael_lcf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
由浅入深理解SpringSecurityOauth2框架原理
2017年
03-14 2492
图解Oauth2框架那些事
SpringBoot使用security实现OAuth2
Cwh_971111的博客
06-25 7071
SpringBoot使用security实现OAuth2 OAuth2 OAuth是一个开放标准,允许用户授权地方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。 我们从一个常见的例子来看: 我们打王者,第一次登录的时候要求我们选择微信登录还是QQ登录,这时假设我们点击QQ登录,那么就会跳转到一个认证界面,询问我们是否同意王者使用QQ的数据,例如好友列表等等。当我们点击同意之后就会跳转回王者,之后进入王者我们可以发现好友列表内容就是我们的QQ中的
Spring Security5.5发布,正式实装OAuth2.0的第五种授权模式
码农小胖哥
05-19 2170
今天Spring Security 5.5发布了,主要涉及OAuth2.0和SAML2.0两个协议。其中最大的亮点是支持了OAuth2.0的另一种授权模式jwt-bearer。这个模式可能...
深入OAuth 2.0:常见过滤器及其重要
最新发布
todoitbo的博客
12-28 1418
本文将深入探讨OAuth 2.0中的常见内置过滤器,解释它们各自的功能、工作原理以及如何在你的应用中实现它们。从认证请求、资源访问到令牌验证等,我们将一一剖析这些关键组件如何共同工作,保证应用的安全性。通过本文,你将获得必要的知识来理解和实施有效的安全认证策略。
OAuth2 logout
Jarvis丶Z的博客
07-24 8544
OAuth安全环境中注销用户的访问令牌 在AuthorizationServerConfig中创建tokenServices实例 @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { //
SpringSecurityOauth2适合刚入门小伙伴
weixin_44027978的博客
04-10 608
springsecurity简介 springsecurity是一个安全框架,解决系统安全问题的框架。 springsecurityspring家族的一员,是一个能够为基于spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在spring应用上下文中配置的Bean,充分利用了Spring IOC、DI(控制反转,依赖注入)和AOP功能。SpringSecurity两大核心功能是“认证、授权” SpringSecurity入门 引入springsecurity依赖即
SpringSecurity 入门级别教程,有前后端分离校验模式案例,SpringSecurityOAuth2整合GateWay操作
weixin_47303191的博客
05-25 1809
SpringSecurity入门级教程,有开发案例,整合OAtuh2,整合GateWay网关,实现前后端分离模式的校验
SpringSecurity OAuth2总结
chiyunhouse的博客
07-30 983
1.Spring Security的认识 1.Spring Security的核心功能 1.Authentication:身份的验证,用户登陆的验证; 2.Authorization:访问授权,授权资源的访问权限; 3.安全防护、防止跨站请求、session攻击; 4.Spring SecurityOAuth的支持更友好; 5.Spring Security在网络安全方面下了更多的功夫 ...
SpringSecurityOAuth2.rar
02-01
oauth2的4中认证方式,例子可以直接运行。使用postman提交。oauth2的4中认证方式,例子可以直接运行。使用postman提交。oauth2的4中认证方式,例子可以直接运行。使用postman提交。
springSecurityOauth2
08-28
Spring Security OAuth2 是一个强大的安全框架,用于保护基于Spring Boot的应用程序。在Spring Boot 2.0.4版本中,这个框架与多个组件一起工作,提供了全面的安全解决方案。以下是关于这些技术及其相互作用的详细...
SpringSecurityOAuth2
06-29
SpringSecurityOAuth2 使用 Spring SecurityOAuth2 保护 Restful Web 服务应用程序的流程将是这样的: 用户向服务器发送 GET 请求,其中包含五个参数:grant_type、用户名、密码、client_id、client_secret;...
springSecurityOAuth2例子分析
01-23
**Spring Security OAuth2详解** Spring Security OAuth2 是一个强大的安全框架,它提供了全面的身份验证和授权服务,尤其在Web应用程序和API的安全性方面表现出色。OAuth2 是一个开放标准,用于授权第三方应用访问...
SpringSecurityOAuth2:在Spring框架上实现OAuth2的示例
05-09
SpringSecurityOAuth2 Spring框架上OAuth2实现的示例这是一个基于Maven的项目。 您需要将此项目导入到您喜欢的IDE中。 比您需要清理和构建项目。 之后,如果您安装了邮递员。 比请按照下列步骤操作: 键入此URL而...
Fortify代码扫描问题及修复
热门推荐
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
cron表达式小本本
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
07-16 8242
cron表达式用于配置cronTrigger的实例。 cron表达式实际上是由七个子表达式组成,至少由六个子表达式组成。 Cron有如下两种语法格式: (1)Seconds Minutes Hours DayofMonth Month DayofWeek Year (2)Seconds Minutes Hours DayofMonth Month DayofWeek 这些表达式之间用空格分隔。如下: 1、 Seconds (秒) 2、 Minutes(分) 3、 Hours(小时) 4、 Day-of-M
短信链接跳转微信小程序
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
02-14 4998
1 实现方案 1.1 通过URL Scheme实现 1.2 通过URL Link实现 1.3 通过云开发静态网站实现 2 实现方案对比 3 实践 URL Schema 方案 3.1 获取微信access_token 3.2 获取openlink 3.3 H5页面(模拟短信跳转,验证ok) 4 反馈问题 4.1 ios和Android 对URLSchema兼容性 4.2 URL Schema官方变更2022年4月11日 4.2.1 调用上限及有效期 4.2.2 一个urlSchema只能一个用户访问
RabbitMQ实现分布式WebSocket通信
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
08-18 4354
1、实现思路 2、效果截图 2.1 单用户推送消息 2.1 多用户推送消息 2.1 多用户间发送消息 3、代码实现
consul配置参数详解
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
06-18 3383
官方文档 https://learn.hashicorp.com/consul/ https://learn.hashicorp.com/consul/getting-started/install 下载consul https://releases.hashicorp.com/consul/1.5.1/consul_1.5.1_linux_amd64.zip 解压 unzip 配置环境变量 ex...
springsecurityoauth2
03-16
Spring Security OAuth2 是基于 Spring SecurityOAuth2 认证和授权框架,它提供了一种安全的方式来保护 RESTful API 和其他 Web 应用程序。它支持多种 OAuth2 授权流程,包括授权码、密码、客户端凭证和隐式授权等。Spring Security OAuth2 还提供了一些默认的实现,如令牌存储、令牌刷新和令牌撤销等。它可以与 Spring Boot 集成,使得开发者可以快速地构建安全的 RESTful API 和 Web 应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值