Security认证要点速记

最新推荐文章于 2024-08-05 23:09:45 发布
最新推荐文章于 2024-08-05 23:09:45 发布
阅读量907 收藏 5
点赞数 18
文章标签: spring spring boot security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ninelife19/article/details/140330153
版权

登录校验流程

springSecurity已经为我们默认实现了一个用不着的登录功能,我们需要自己实现个符合我们需求的登录功能,所以我们需要去了解默认登录功能的流程,对其中的部分进行替换

SpringSecurity底层就是过滤器链,包含实现了各种功能的过滤器

  1. UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请
  2. 求。入门案例的认证工作主要有它负责。
  3. ExceptionTranslationFilter处理过滤器链中抛出的任何AccessDeniedException和
  4. AuthenticationException 。
  5. FilterSecurityInterceptor:负责权限校验的过滤器。

认证流程详解

  • Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。
  • AuthenticationManager接口:定义了认证Authentication的方法
  • UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。
  • UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

解决问题

登录

  1. 自定义登录接口

调用ProviderManager的方法进行认证,如果认证通过,生成jwt

把用户信息存入redis

  1. 自定义UserDetailsService实现类

在这个实现类中完成根据username查询数据库

校验

  1. 定义Jwt认证过滤器

获取token,解析token中的userid

从redis中获取用户信息

如果能成功获取,将其存入SecurityContextHolder供其他过滤器使用

认证要点记录

登录部分

  1. 用户想要进行登录,那用户必然处于未登录状态,需要我们配置SecurittyConfig,登录接口只能匿名访问
  2. 当调用登录接口的时候,由我们自己在Service层调用过滤器的一部分(AuthentionManager的authenticate方法)。
  3. 我们应该提供自己的UserDetailService的实现类(根据用户名查询用户信息)并注入到spring容器中,以供authenticate调用的部分调用。
  4. 我们还应该提供PasswordEncoder类(常见的就是BC),注入到spring容器中,以供authenticate调用的部分调用进行密码校验
  5. authenticate方法的调用,会帮我们完成用户信息查询与密码校验,我们只需要根据返回的结果Authentication是否为空就可以知道登录是否成功
  6. 如果登录成功,我们从Authentication中获取userid,生成jwt,以键值对形式作为响应体返回给前端
  7. 同时以"login:"+id作为键,以loginUser作为值存入redis,这样当下一次前端传来token,解析出id,就可以从redis中查到用户信息。

校验部分

  1. 我们不能让用户每次发起请求都带上用户名密码,所以当用户第一次登录之后,我们可以让用户在一段时间内处于一个登录的状态(可以通过jwt或者redis设置过期时间),处于这个时间段内都可以通过请求头中携带token的方式,直接以此用户的身份访问服务
  2. 使用此方案一方面方便用户,另一方面也可以解决后端的一些问题,访问鉴权是一个很高频的行为,比如我们可以把对关系型数据库的查询转移到对redis的访问,这能降低关系型数据库的压力,也能让用户获得更快的访问速度
  3. 那么我们对token的验证的Filter就应该放在使用用户名密码验证的Filter(UsernamePasswordAuthenticationFilter)的前边,这一步需要在SecurityConfig中进行配置。
  4. 我们在jwtFilter的验证中,会先判断请求是否携带token,不携带token就直接放行(要么是非法的访问,要么是通过用户名密码的访问),交给后边的过滤器处理即可
  5. 如果拿到token,首先尝试解析token,可能会出现jwt解析失败(伪造失败的token或者过期的token),那么就记录并放行即可,后边的过滤器会驳回请求并返回403
  6. 如果token解析成功拿到userid,那么我们就去redis中查询是否存在用户信息(用户是否处于登录状态,我们可以通过redis来控制),如果我们没有拿到,那么就记录并放行
  7. 最后如果顺利拿到了用户信息,说明用户处于登陆状态,根据信息构造authentication,然后存入SecurityContextHolder,其他过滤器能够知道此请求已经经过认证

沂辰YiChen
关注
  • 18
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
栋的月结 | 第一回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
stevenchen1989的博客
02-01 2147
开篇词 大家好!以下是我在 2020 年 1 月 1 日至 31 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 栋的周评 一文搞定 Linux 管理员手册:既简单又深刻 官方授权: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《一文搞定 |...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程是 SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
Spring Security参考手册
殇莫忆的博客
05-05 5178
Spring Security 参考手册Ben AlexLuke TaylorRob WinchGunnar HillertTable of Contents前言入门简介Spring Security是什么?历史发布版本号Getting Spring SecuritySpring Security 4.1新特性Java 配置提升Web应用程序安全性提升授权改进密码模块的改进测试的改进一般的改进样品...
Spring Security 参考手册
qq_35327757的博客
06-07 1675
Spring Security 参考手册Spring security 是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准。 前言 Spring Security 为基于javaEE的企业应用程序提供一个全面的解决方案。正如你将从这个参考指南发现的,我们试图为你提供一个有用的并且高度可配置的安全系统。 安全是一个不断移动的目标,采取一个全面的全系统的方法
Spring Security 参考手册(二)
bigKylin的专栏
05-13 7550
授权 在Spring Security的高级授权功能是其受欢迎的最有说服力的原因之一,无论您如何选择如何进行身份验证-是否使用提供的机制和提供程序的Spring Security,或整合与一个容器或其他non-Spring Security 认证机构-你会发现授权服务可以在您的应用程序中使用一个一致的和简单的方式. 在这一部分我们将探讨不同的` abstractsecuri
所有的计算机认证
鲵之风采的专栏
04-11 1936
国内的微软认证有四种:微软认证产品专家(MCP)、微软认证系统工程师(MCSE)、微软认证软件开发专家(MCSD)、微软认证数据库管理员(MCDBA)。 微软认证考试的内容非常专业化,主要有以下几个方面:一、操作系统(WindowsNT4.0的安装,系统配置,账户管理,文件、打印机资源管理,远程访问服务、域的规划建立及管理、企业的域模型设计,对NT的网络分析和优化及故障排除等)二、Windo
中国人工智能学会通讯——机器人智能技术与测评体系发展
weixin_34198881的博客
09-01 205
本来大会给我的题目,是希望我讲一讲机器人的智能检测。这个题目太超前了,检测还远没有发展到智能的阶段。因为我们现在在做机器人测评技术的研究。因此,一方面想从我的角度谈谈机器人测评与智能机器人的关系。从测评技术发展的历史看,早期面对的是机电系统,后来到了可编程系统的时代,现在到了人工智能的时代。现阶段,我们测评工作该怎么做呢?所以想和大家探讨一下。另一方面...
栋的周评 | 第一回合(定期更新、博客动态、亚马逊 AWS 云技术、其他技术、收听、哲学、书籍、影视、新奇、好歌推荐)
stevenchen1989的博客
01-05 396
第一周第二日 大家好!以下是我在今天的所见、所闻、所学、所悟。 现在,我把它们安利给你。   技术类 左耳听风的《弹力设计篇之“重试设计”》 收获:分布式系统中的错误重试场景、设计、注意事项 软件测试52讲的《深入浅出之静态测试方法》 收获:   末了 希望你能在吸收了我的纯奶不含三聚氰胺 365 毫克营养快线之后,与我一起,茁壮成长… 英雄走好,我们明天,不见...
金仓数据库 KingbaseES SQL 语言参考手册 (20. SQL语句: MERGE 到 VALUES)
arthemis_14的博客
07-26 904
本章包含以下SQL语句:MERGEMOVENOTIFYPREPAREPREPARE TRANSACTIONPURGE TABLEREASSIGN OWNEDREFRESH MATERIALIZED VIEWREINDEXRELEASE SAVEPOINTRESETREVOKEROLLBACKROLLBACK PREPAREDROLLBACK TO SAVEPOINTSAVEPOINTSECURITY LABELSELECTSELECT INTOSETSET CONSTRAINTSSET ROLESET SE
架构师PPT大纲
wuzhenwei0419的博客
10-16 5677
架构师PPT大纲架构师PPT大纲计算机系统基础计算机组成CPU的功能运算器。控制器。计算机系统结构的分类指令系统校验码指令控制方式存储系统总线操作系统基础知识 架构师PPT大纲 我每天花八小时练琴,他们却用“天才”一词埋没了我所有努力 计算机系统基础 计算机组成 中央处理器(运算器、控制器) ...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring Security是Java世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
spring security 认证授权实现
10-14
**Spring Security 认证授权实现** Spring Security 是一个强大的、高度可配置的安全框架,用于Java应用程序,它提供了全面的身份验证和授权服务。在本项目中,我们关注的是如何利用Spring Security来实现用户认证...
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
HCIE-security认证课件
04-09
模块一信息安全管理.pptx 模块一信息安全防范与趋势.pptx 模块一隐私保护.pptx 模块二信息收集与网络探测.pptx 模块二DDoS攻击与防御.pptx 模块三防火墙技术综合应用.pptx 模块三防火墙技术综合应用.pptx ...
免费【2024】springboot 二手图书交易系统的设计与实现
weixin_53646065的博客
08-05 657
随着世界经济信息化、全球化的到来和互联网的飞速发展,推动了各行业的改革。若想达到安全,快捷的目的,就需要拥有信息化的组织和管理模式,建立一套合理、动态的、交互友好的、高效的二手图书交易系统。当前的信息管理存在工作效率低,工作繁杂等问题,基于信息化的二手图书交易管理目前还没有完善的系统机制。
SpringBoot基础 第一天
最新发布
2301_80034662的博客
08-05 289
Person类中利用ConfigurationProperties(prefix=" ")引入配置类中的元素 但是注意Person类中的类的名字必须与application.yaml中一致。如果不是标准的application.properties 是其他的Person类中需要用PropertySource来添加配置文件的路径。给容器中添加组件,将方法的返回值添加到容器中 容器中这个组件的默认ID就是方法名。的配置文件,我们自己编写的配置文件,也不能自动识别;的配置文件,让配置文件里面的内容生效;
Spring: try-catch 是否还会回滚
在那一刻,我们或许会发现自己站在了时间的另一岸,以更加成熟和宽广的胸怀,去拥抱那份隔代相传的深情。
08-05 422
最后,你可能需要重新考虑你的异常处理策略。如果你的业务逻辑允许在发生特定运行时异常时继续执行(尽管这很少见),你可能需要重新设计你的业务逻辑或异常处理逻辑,以确保数据的一致性和完整性不会受到影响。中捕获了这些异常,如果没有显式地调用事务的提交方法(在大多数场景下,这是不必要的,因为框架会为你管理事务),事务管理器仍然会根据异常的类型和配置来决定是否回滚事务。:使用的框架或容器(如 Spring、EJB 等)可能有自己的事务管理策略,这些策略可能会根据捕获的异常类型、事务的属性或其他因素来决定是否回滚事务。
初识SpringSpringIOC
weixin_65978343的博客
08-05 397
Spring面试------对Spring的理解\Spring框架由哪些模块组成?\对Spring IOC的理解\ Spring IOC容器的理解\ Spring IOC的实现步骤
java springsecurity学习要点
05-02
学习Java Spring Security要点包括以下几个方面: 1. 认证(Authentication):学习如何实现用户身份验证,包括使用用户名和密码进行认证、使用第三方身份提供者(如OAuth)进行认证等。 2. 授权(Authorization...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值