SpringSecurity 底层流程总结

已于 2022-04-08 00:30:34 修改
阅读量4.0k 收藏 2
点赞数 1
分类专栏: Java 文章标签: java spring web安全
于 2022-03-03 16:06:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qiao712/article/details/123256137
版权

SpringSecurity - (Servlet)

整体架构

  • SpringSecurity对Servlet的支持基于其Filter过滤器请添加图片描述请添加图片描述

  • FilterChainProxy选择第一个匹配的SecurityFilterChain

Security Exceptions的处理

  • SecurityFilterChain中的ExceptionTranslationFilter拦截AccessDeniedException和AuthenticationException,并将其转换为HTTP response
    请添加图片描述
    • 如果用户未认证(收到AuthenticationException),则将Request缓存,开始认证(Authentication)。等待用户认证成功后,再处理被缓存的Request。
    • 如果访问被拒绝(AccessDeniedException),AccessDeniedHandle处理

Authentication 认证

  • SecurityContextHolder: 管理认证信息上下文。默认使用ThreadLocal储存上下文,在一个线程内共享

  • SecurityContext: 从SecurityContextHolder中获取,包含一个Authentication

  • Authentication:认证信息。相当于一个令牌,放在这个上下文中,以进行进一步的授权等操作。

    • 包括:

      • 主体(Principal):标识用户
      • 证书(Credentials):通常是密码
      • 权限(Authorities):授予的权限。(例如角色信息)

    • 用途:

      • 用于将用户提供的认证信息(作为认证请求) 呈递给AuthenticationManager进行认证
      • 用于表示当前已认证的用户(从SecurityContext中获取)

    • boolean isAuthenticated(); 返回是否通过认证(密码、证书…正确)

    • 实现类:

      • UsernamePasswordAuthenticationToken(userDetails, password, authorities)
      • TestingAuthenticationToken

    • 认证大体流程:将用于请求认证的Authentication,传递给AuthenticationManager进行认证。AutehnticationManager返回认证通过的Authentication,将其存入SecurityContextHolder。 手动实现:

      SecurityContext context = SecurityContextHolder.createEmptyContext(); 
Authentication authentication = new UsernamePasswordAuthenticationToken(user, "password", "ROLE_USER"); 
context.setAuthentication(authentication);

SecurityContextHolder.setContext(context);

  • 请添加图片描述

  • AuthenticationManager–用于进行认证的接口

    • Authentication authenticate(Authentication authentication) throws AuthenticationException 方法
      • 认证:传入一个Authentication用于进行认证, 若认证成功返回一个完整的Authentication,其包含完整的UserDetail对象(Principal)和权限(Authorities)
    • ProviderManager–AuthenticationManager最常用的实现
      • 代理一系列AuthenticationProvider
      • 每个AuthenticationProvider执行一种认证方法(如 用户名/密码…),认证通过返回一个Authentication
      • 依次使用每个AuthenticationProvider对传入的Authentication进行认证。若其可以指示该Authentication是否通过,则返回结果,若无法判断则让下一个AuthenticationProvider进行ke认证。
      • 请添加图片描述
      • ProviderManager可设置一个父AuthenticationProvider,在其所代理的所用ProviderManager都无法进行认证时,使用该父AuthenticationProvider
      • 不同认证方式----AuthenticationProvider的不同实现
        • DaoAuthenticationProvider:得到 用户名/密码 数据进行认证
        • JwtAuthentication: Jwt认证

  • AuthenticationEntryPoint

  • 若用户请求资源时没用传来证书(Credential)(如用户名/密码)或 用户权限不足,则使用一个AuthenticationEntryPoint的实现来返回一个HTTP响应,要求用户进行认证(例如,执行一个重定向 或 返回一个带WWW-Authentication头部的response)

  • AbstractAuthenticationProcessingFilter

    • SecurityFilterChain中用于进行认证的过滤器
      请添加图片描述

  • 实现类:

    • UsernamePasswordAuthenticationFilter: 从HttpServletRequest的参数中,获取用户名和密码,生成一个UsernamePasswordAuthenticationToken给AuthenticationManager进行认证

  • 用户名和密码表单进行认证—一种方式

    • 实现UserDetailsService(通过Bean注入):其返回UserDetails
    • 实现UserDetails:用户对象,包含用户名、密码和自定义的字段
    • 设置PasswordEncoder:通过创建一个PasswordEncoder实现类的Bean
    • //使用默认的配置开启
protected void configure(HttpSecurity http) {
	http
		// ...
		.formLogin(withDefaults());
}
    • 认证过程:
      • UsernamePasswordAuthenticationFilter将携带着用户名和密码UsernamePasswordAuthenticationToken传递给DaoAuthenticationProvider(或自己手动调用AuthenticationManager的authenticate,传入UsernamePasswordAuthenticationToken)
      • DaoAuthenticationProvider将会使用实现的UserDetailsService获取UserDetails对象进行用户名和密码的认证。认证成功后返回一个UsernamePasswordAuthenticationToken,其携带着该UserDetails对象
      • UsernamePasswordAuthenticationFilter将从拿到的包含UserDetails的UsernamePasswordAuthenticationToken这个Authentication放入SecurityContextHolder,用于代表当前用户
    • 大体过程:请添加图片描述

Authorization 授权

(Authorization将在新版本中取代FilterSecurityInterceptor)

  • AuthorizationManager接口: 其由AuthorizationFilter调用,来决定是否运行该访问的进行

    • 方法 AuthorizationDecision check(Supplier authentication, Object secureObject);
      • 判断该authentication,是否可以访问secureObject(可以是表示方法的MethodInvocation)
    • 方法 default AuthorizationDecision verify(Supplier authentication, Object secureObject) throws AccessDeniedException
      • 其调用check,并在其拒绝访问时抛出AccessDeniedException
    • 实现类:请添加图片描述
      • RequestMatcherDelegatingAuthorizationManager代理多个AuthorizationManager对象,将请求匹配到相应的AuthorizationManager
      • 对于方法的保护,可以使用AuthorizationManagerBeforeMethodInterceptorAuthorizationManagerAfterMethodInterceptor
      • AuthorityAuthorizationManager最常用,若当前Authentication包含任意一个给定的authority,则允许访问
      • AuthenticatedAuthorizationManager,用于区别匿名、完整认证或通过remember-me认证的用户

  • AuthorizationFilter:
    请添加图片描述

    • FilterInvocation呈递HttpServletRequest,HttpServletResponse,FilterChain
    • 若拒绝则抛出AccessDeniedException,用ExceptionTranslationFilter接收
      • 可定制AccessDeniedHandler以处理该异常 httpSecurity.exceptionHandling().accessDeniedHandler(accessDeniedHandler)
    • 使用AuthorizationFilter时,使用authorizationHttpRequests进行配置
      @Bean
SecurityFilterChain web(HttpSecurity http) throws Exception {
  http
    // ...
    .authorizeHttpRequests(authorize -> authorize
      .mvcMatchers("/resources/**", "/signup", "/about").permitAll()
      .mvcMatchers("/admin/**").hasRole("ADMIN")
      .mvcMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")    //拥有"ROLE_ADMIN"和"ROLE_DBA"角色
      .anyRequest().denyAll()
    );

  return http.build();
}
    • 将自定义的AuthorizationManager映射到url上
      @Bean
SecurityFilterChain web(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests((authorize) -> authorize
            .mvcMatchers("/my/authorized/endpoint").access(new CustomAuthorizationManager());
        )
        // ...
    return http.build();
}

函数安全表达式

  • @PreAuthorize - 控制函数是否被调用
    @PreAuthorize("hasRole('USER')")
public void create(Contact contact);

//在表达式中使用函数参数
@PreAuthorize("hasPermission(#contact, 'admin')")
public void deletePermission(Contact contact, Sid recipient, Permission permission);
@PreAuthorize("#c.name == authentication.name")
public void doSomething(@P("c") Contact contact);
  • @PostAuthorize - 函数执行后进行访问控制,表达式中使用"returnObject"引用返回值
  • @PreFilter
  • @PostFilter - 过滤集合、数组、映射、流
  • 注解内传入EL表达式
  • “hasPermission(targetDomainObject, permission)”
    • hasPermission表达式将委托到PermissionEvaluator对象
    • PermissionEvaluator接口–连接表达式与ACL系统
      boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission);
boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission);
绫零依
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java全栈工程师-Spring Security
07-21
由浅入深讲解从搭建Spring Security认证授权应用,到Spring Security底层过滤器原理 本课程讲解Spring Security三种使用方案:独立使用,整合SSM框架用法,和整合SpringBoot的用法 本课程讲解Spring Security结合数据库的RBAC表进行动态的用户认证和授权的实现过程
SpringSecurity之原理总结
hcyxsh的博客
04-07 200
SpringSecurity之原理总结 一 过滤器介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明 WebAsyncManagerIntegrationFilter 将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter 在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityC
SpringSecurity底层原理和认证授权流程总结
希望和大家多多交流技术!
01-03 2619
安全框架(springsecurity、shiro等)主要分为两个部分: 认证:系统认为用户是否能登录 授权:系统判断用户是否有权限去做某些事情 项目主要使用了:基于token的用户权限认证与授权 模块一:登录时springsecurity获取用户的信息,比如用户名、密码、和查数据库得到其权限列表 如果系统的模块众多,每个模块都需要进行授权与认证,所以我们选择基于 token 的形式 进行授权与认证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限 值,并以用户名为 key.
SpringSecurity的执行流程超详细讲解
qq_41473691的博客
09-18 5277
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
SpringSecurity系列——授权架构day4-1(源于官网5.7.2版本)
qq_51553982的博客
07-22 1082
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档显然,您还可以实现自定义AuthorizationManager,并且您可以在其中放入几乎任何您想要的访问控制逻辑。它可能特定于您的应用程序(与业务逻辑相关),或者它可能实现一些安全管理逻辑。...
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程SpringSecurity系统启动流程 SpringSecurity调用流程
浅析Spring Security登录验证流程
08-25
主要介绍了Spring Security登录验证流程源码解析,本文结合源码讲解登录验证流程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security验证流程剖析及自定义验证方法
08-27
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了Spring Security验证流程剖析及自定义验证方法,需要的朋友可以参考下
新版Spring Security6.2架构 (三) - Authorization
最新发布
喝醉的鱼博客
12-11 2143
新版Spring security 6.2,官网文档Authorization翻译和一点点个人修改
springsecurity工作流程
qq_39321234的博客
04-27 1835
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
一文带你读懂Spring Security 6.0的实现原理
竹林幽深
11-09 225
本文重点分析了Spring Security的源码和架构,帮助读者理解其实现原理。由于篇幅有限,本文只覆盖了身份认证和鉴权模块的核心逻辑,很多特性没有涉及,包括Session管理,Remember Me服务,异常分支和错误处理等等,不过有了上述的基础知识,读者完全可以自己分析源码并深入理解这些特性。
权限管理系统后端实现1-SpringSecurity执行原理概述
m0_51935008的博客
07-08 576
方法,设置到其中。FilterChainProxy是一个代理,真正起作用的是各个Filter,这些Filter作为Bean被Spring管理,是Spring Security核心,各有各的职责,不直接处理认证和授权,交由认证管理器和决策管理器处理!3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。但拦截器里面的实现需要一些组件来实现,所以就有了。
Spring-Security(一)整体认证流程及其相关概念
姑苏
11-13 148
Spring security整体认知。
SpringSecurity框架流程
鹏儿的博客
07-28 140
7.使用自己的登录界面时,security框架的登录认证流程不会自动启动,需要我们在UserController处理login请求时手动开启,手动开启时需要用到认证管理器,在Security配置类中进行配置。3.在login.html登录界面中向/login地址发出登录请求时,服务器中UserController里面的login方法处理该请求。1.在SecurityConfig配置类中配置好白名单,设置登录界面,关闭跨域攻击防御策略。主要作用:帮助我们进行登录的认证,和项目中涉及到权限时进行管理操作。
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 9833
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
Spring Security运行流程的简单理解
weixin_70312788的博客
08-03 1934
Spring Security运行流程的简单理解
SpringSecurity框架原理
weixin_44103123的博客
11-15 349
SpringSecurity核心
springsecurity底层
10-20
Spring Security底层实现主要包括以下几个部分: 1. 过滤器链:Spring Security的核心是过滤器链,它由多个过滤器组成,每个过滤器负责不同的安全功能,例如认证、授权、攻击防护等。 2. 认证管理器:认证管理器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

绫零依

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值