1 Spring Security框架概述

最新推荐文章于 2024-09-13 09:12:10 发布
最新推荐文章于 2024-09-13 09:12:10 发布
阅读量134 收藏
点赞数
分类专栏: spring security spring java 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OMrbirdO/article/details/130935945
版权
spring 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
java
2 篇文章 0 订阅
订阅专栏
spring security
1 篇文章 0 订阅
订阅专栏

1. 简介

在Java企业级开发中,安全管理方面的框架非常少,一般来说,主要有三种方案:

  • Shiro
  • SpringSecunty
  • 开发者自已实现

Shiro:本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务时代,Shiro就显得力不从心了,在微服务面前,它无法充分展示自己的优势。

springsecurity:作为spring家族的一员,在和spring家族的其他成员如springBoot、spring Cloud等进行整合时,具有其他框架无可比拟的优势,同时对OAuth2有着良好的支持,再加上springCloud对springsecunty的不断加持(如推出springCloudsecurity),让springsecunty不知不觉中成为微服务项目的首选安全管理方案。

2. 核心功能

  • 认证:身份验证(你是谁?)
  • 授权:访问控制(你可以做什么?)

支持多种不同的认证方式:
springsecurity集成的主流认证机制主要有如下几种:

  • 表单认证
  • OAuth2.0认证
  • SAML2.0认证
  • CAS认证
  • RememberMe自动认证
  • JAAS认证
  • OpenID去中心化认证
  • Pre-AuthenticationScenarios认证
  • Ⅹ509认证
  • HTTP Basic认证
  • HTTP Digest认证

如果这些认证方式无法满足我们的需求,可以自定义认证逻辑,特别是当我们和一些“老破旧”的系统进行集成时,自定义认证逻辑就显得非常重要了。

springsecurity支持基于URL的请求授权、支持方法访问授权、支持SpEL访问控制、支持域对象安全(ACL),同时也支持动态权限配置、支持RBAC权限模型等。

3 .整体架构

Authentication

用户的认证信息由Authentication的实现类保存。

Authentication接口定义如下:

public interface Authentication extends Principal, Serializable {
	Collection<? extends GrantedAuthority> getAuthorities () ;
	Object getCredentials ( ) ;
	Object getDetails ( ) ;
	Object getPrincipal ( ) ;
	boolean isAuthenticated ( ) ;
	void setAuthenticated (boolean isAuthenticated) ;
}

这里接囗中定义的方法如下:

  • getAuthorities 方法:用來获取用户的权限。
  • getCredentials 方法:用來获取用户凭证,一般來说就是密码。
  • getDetails 方法:用来获取用户携带的详细信息,可能是当前请求之类等。
  • getPrincipal方法:用來获取当前用户,例如是一个用户名或者一个用户对象。
  • isAuthenticated :当前用户是否认证成功。

AuthenticationManager

springsecurity中的认证工作主要由AuthenticationManager接囗来负责。

public interface AuthenticationManager {
	Authentication authenticate(Authentication authentication)
		throws AuthenticationException;
}

AuthenticationManager 只有一个 authenticate 方法可以用来做认证,该方法有三个不同的返回值:

  • 返回 Authentication,表示认证成功。
  • 抛出 AuthenticationException异常,表示用户输入了无效的凭证。
  • 返回 null,表示不能断定。

ProviderManager

AuthenticationManager 最主要的实现类是 ProviderManagerProviderManager 管理了众多的 AuthenticationProvider 实例,AuthenticationProvider 有点类似于 AuthenticationManager,但是它多了一个 supports 方法用来判断是否支持给定的 Authentication 类型。

AuthenticationProvider

public interface AuthenticationProvider {
 	Authentication authenticate(Authentication authentication)
 		throws AuthenticationException;
 	boolean supports(Class<?> authentication);
}

由 于 Authentication 拥 有 众 多 不 同 的 实 现 类 , 这 些 不同的实现类又由不同的AuthenticationProvider来处理,所以AuthenticationProvider 会有一个 supports 方法,用来判断当前的 AuthenticationProvider 是否支持对应的 Authentication。
在一次完整的认证流程中,可能会同时存在多个AuthenticationProvider(例如,项目同时支持 form 表单登录和短信验证码登录),多个 AuthenticationProvider 统一由ProviderManager
来管理。同时,ProviderManager 具有一个可选的 parent,如果所有的AuthenticationProvider都认证失败,那么就会调用 parent 进行认证。parent 相当于一个备用认证方式,即各个AuthenticationProvider 都无法处理认证问题的时候,就由 parent 出场收拾残局。

授权

在 Spring Security 的授权体系中,有两个关键接口:

  • AccessDecisionManager
  • AccessDecisionVoter

AccessDecisionVoter 是一个投票器,投票器会检查用户是否具备应有的角色,进而投出赞成、反对或者弃权票;AccessDecisionManager 则是一个决策器,来决定此次访问是否被允许。AccessDecisionVoter 和 AccessDecisionManager 都有众多的实现类,在 AccessDecisionManager中会挨个遍历 AccessDecisionVoter,进而决定是否允许用户访问,因而 AccessDecisionVoter和 AccessDecisionManager 两者的关系类似于 AuthenticationProvider 和 ProviderManager 的关系。

在 Spring Security 中,用户请求一个资源(通常是一个网络接口或者一个 Java 方法)所需要的角色会被封装成一个 ConfigAttribute 对象,在 ConfigAttribute 中只有一个 getAttribute方法,该方法返回一个 String 字符串,就是角色的名称。一般来说,角色名称都带有一个 ROLE_前缀,投票器 AccessDecisionVoter 所做的事情,其实就是比较用户所具备的角色和请求某个资源所需的 ConfigAttribute 之间的关系。

web安全

在 Spring Security 中,认证、授权等功能都是基于过滤器来完成的。
开发者所见到的 Spring Security 提供的功能,都是通过这些过滤器来实现的,这些过滤器按照既定的优先级排列,最终形成一个过滤器链。开发者也可以自定义过滤器,并通过@Order注解去调整自定义过滤器在过滤器链中的位置。
需要注意的是,默认过滤器并不是直接放在 Web 项目的原生过滤器链中,而是通过一个FilterChainProxy 来统一管理。Spring Security 中的过滤器链通过 FilterChainProxy 嵌入到 Web项目的原生过滤器链中。
在这里插入图片描述

登录数据保存

如果不使用 Spring Security 这一类的安全管理框架,大部分的开发者可能会将登录用户数据保存在Session中,事实上,Spring Security也是这么做的。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。
当用户登录成功后,Spring Security 会将登录成功的用户信息保存到 SecurityContextHolder中。SecurityContextHolder 中的数据保存默认是通过 ThreadLocal 来实现的,使用 ThreadLocal创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,Spring Security 会将 SecurityContextHolder 中的数据拿出来保存到 Session 中,同时将 SecurityContextHolder 中的数据清空。以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到 SecurityContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来
保存到 Session 中,然后将 SecurityContextHolder 中的数据清空。

鸟儿先生
关注
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringSecurity框架【详解】
m0_67266585的博客
07-28 1218
SpringSecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求。在Java生态中,目前有和认证和授权。...
Spring Security(安全框架
weixin_53455615的博客
11-03 1542
利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。导入依赖后默认会有一个登录页,并且没有登录时访问其他资源会自动跳到登录页,用户名为user,密码会打印在控制台。认证用户的主要凭证之一。可以是账号、邮箱、手机号等。在java中主体是Object类型。应用程序确认用户身份的过程,常见认证:登录。Spring Security所有功能都是。用户认证过程中的依据之一。判断用户具有哪些权限或角色。
JAVASpring Security框架三万字详解,看这一篇就够了
最新发布
A的博客
09-13 917
可以在SpringSecurity中创建自定义配置文件Java自定义配置用来管理用户信息,是UserDetailsService的一个实现,用来管理基于内存的用户信息。创建一个WebSecurityConfig文件:定义一个@Bean,类型是UserDetailsService,实现是InMemoryUserDetailsManager@EnableWebSecurity//Spring项目总需要添加此注解,SpringBoot项目中不需要@Bean。
SpringSecurity框架
m0_58677725的博客
09-01 579
安全框架的核心: 认证和授权 基于SpringBoot框架开发 依赖于SpringBoot框架 授权基于Spring的AOP进行授权 认证基于Spring的IOC进行认证 安全框架pom依赖: <!--安全框架依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>...
Spring Security 框架概述
06-01
Spring Security是一个基于Spring框架的安全框架,提供了一套完整的安全认证和访问控制的解决方案,可以用于保护Web应用、REST API、方法调用等资源。Spring Security的主要功能包括: 1. 身份认证:支持多种身份...
SpringSecurity安全框架基础Demo
01-02
这个"SpringSecurity安全框架基础Demo"旨在帮助开发者快速理解和实践Spring Security的核心功能。 **1. 用户认证** 在Spring Security中,用户认证主要由Authentication对象负责。当用户尝试访问受保护的资源时,...
Spring Security框架
Melody_1943的博客
06-27 1059
Spring Security是用于解决认证与授权的框架。添加依赖 启动项目,在启动的日志中,可以看到类似以下内容: Spring Security有默认登录的账号和密码(以上提示的值),密码是随机的,每次启动项目都会不同。Spring Security默认要求所有的请求都是必须先登录才允许的访问,可以使用默认的用户名和自动生成的随机密码来登录。在测试登录时,在浏览器访问当前主机的任意网址都可以(包括不存在的资源),会自动跳转到登录页(是由Spring Security提供的,默认的URL是:http://
[SpringBoot]Spring Security框架
YJH000_的博客
06-11 9606
在使用Spring Security框架时,可以自定义组件类,实现接口,则Spring Security就会基于此类的对象来处理认证!则在项目的根包下创建,在类上添加@Service注解使其成为组件类,实现@Slf4j@Service@Override(通过loadUserByUsername(String s)这个方法的名字可以理解为通过用户名加载用户,参数s就是username用户名,返回UserDetails用户详情)在项目中存在。
SpringSecurity安全框架
热门推荐
Java全栈领域/离线地图/微服务
01-24 1万+
框架简介: Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架;它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC, DI 和 AOP 功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 工程创建: 目录结构: ...
Spring BootSpring 的安全框架Spring Security
书山有路,学海无涯。记录成长,追逐梦想
07-28 1481
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
Spring Security】让你的项目更加安全的框架
wangluoanquan111的博客
01-31 980
安全框架顾名思义,就是解决系统安全问题的框架。任何应用开发的计划阶段都应该确定一组特定的安全需求,如身份验证、授权和加密方式。不使用安全框架之前,我们需要手动处理每个资源的访问控制,针对不同的项目都需要做不同的处理,此时就会显得非常麻烦,并且低效率引起的额外开销会延缓开发周期。使用安全框架,使开发团队能够选择最适合这些需求的框架,可以通过配置的方式实现对资源的访问限制,使得开发更加的高效。是一个基于Spring框架的安全性框架,可用于对Java应用程序进行身份验证、授权和其他安全性功能的添加。
Spring Security权限管理框架
ae5555的专栏
03-07 2568
Spring SecuritySpring Security是作为过滤器控制权限的,在web.xml中配置过滤器。<filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值