spring security 认知

最新推荐文章于 2023-04-27 23:42:08 发布
置顶 最新推荐文章于 2023-04-27 23:42:08 发布
阅读量142 收藏
点赞数
分类专栏: spring security 文章标签: spring security 基本教程 基本认知
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c1523456/article/details/94356849
版权

spring ,spring security ,servlet 的整合原理

我们知道,spring对于自定义命名空间的解析是交给 类路径下的META-INF\spring.handlers文件中的handler进行解析,我们的spring security 命名空间的解析交给了SecurityNamespaceHandler解析器,进行解析处理为beanDefind。此时我们就将相关bean放到了spring 的容器中。

因为spring与servlet整合默认是将context放到了servlet的context中,当DelegatingFilterProxy这个过滤器通过获取servlet的context自然而然的就能获取servlet context中的属性----spring context,从而获取一个名指定名称的bean进行invoker进行拦截器链的一系列调用。

 

spring security的自定义命名空间的基本使用

一个完整的xml配置文件基本包含以下元素
url层面的安全
Web/HTTP Security - the most complex part. Sets up the filters and related service beans used to apply the framework authentication mechanisms, to secure URLs, render login and error pages and much more.
service层面的安全
Business Object (Method) Security - options for securing the service layer.
认证管理器
AuthenticationManager - handles authentication requests from other parts of the framework.
权限管理器
AccessDecisionManager - provides access decisions for web and method security. A default one will be registered, but you can also choose to use a custom one, declared using normal Spring bean syntax.
认证提供者
AuthenticationProviders - mechanisms against which the authentication manager authenticates users. The namespace provides supports for several standard options and also a means of adding custom beans declared using a traditional syntax.

用户详细信息,想到于是读取本地用户信息的service
UserDetailsService - closely related to authentication providers, but often also required by other beans.

下面我们在来看看命名空间元素和过滤器及service的对应关系:(出自spring security官网)

AliasFilter ClassNamespace Element or Attribute

CHANNEL_FILTER

ChannelProcessingFilter

http/intercept-url@requires-channel

SECURITY_CONTEXT_FILTER

SecurityContextPersistenceFilter

http

CONCURRENT_SESSION_FILTER

ConcurrentSessionFilter

session-management/concurrency-control

HEADERS_FILTER

HeaderWriterFilter

http/headers

CSRF_FILTER

CsrfFilter

http/csrf

LOGOUT_FILTER

LogoutFilter

http/logout

X509_FILTER

X509AuthenticationFilter

http/x509

PRE_AUTH_FILTER

AbstractPreAuthenticatedProcessingFilter Subclasses

N/A

CAS_FILTER

CasAuthenticationFilter

N/A

FORM_LOGIN_FILTER

UsernamePasswordAuthenticationFilter

http/form-login

BASIC_AUTH_FILTER

BasicAuthenticationFilter

http/http-basic

SERVLET_API_SUPPORT_FILTER

SecurityContextHolderAwareRequestFilter

http/@servlet-api-provision

JAAS_API_SUPPORT_FILTER

JaasApiIntegrationFilter

http/@jaas-api-provision

REMEMBER_ME_FILTER

RememberMeAuthenticationFilter

http/remember-me

ANONYMOUS_FILTER

AnonymousAuthenticationFilter

http/anonymous

SESSION_MANAGEMENT_FILTER

SessionManagementFilter

session-management

EXCEPTION_TRANSLATION_FILTER

ExceptionTranslationFilter

http

FILTER_SECURITY_INTERCEPTOR

FilterSecurityInterceptor

http

SWITCH_USER_FILTER

SwitchUserFilter

N/A

基本介绍到此为止,下一章讲解认证流程及授权流程。

spring security 认证与授权流程上篇

spring security 认证与授权下篇

奋斗的小面包
关注
专栏目录
SpringSecurity系列文章 (一)Spring Security 认知
kay三石
01-19 428
在文章开篇先说说为何使用Spring Security,在新的公司中现在认证授权服务是通过Spring Security auth2进行认证的,原本没用过这个啊,只知道apche shiro 现在还有更加厉害的东西,ok啥也别说就是学他。这个系列的文章都是通过自己看视频记得笔记,在这里分享出来,方便大家踩坑。 Spring Security 使用Spring Secruity的原因有很多,单大部分都发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景所需的深度。提到这些规范,重
Spring Security简单理解
cssweb_sh的博客
05-02 1723
最近在学习Spring Security,于是就写了这篇Spring Security的博客来记录自己的学习中的一些总结,本文主要是一些简单的原理分析,没有涉及很深的源码分析。 1. Spring Security初体验 未引入Spring Security前请求接口情况,接口可以随意定义一个controller测试 引入Spring Security后,接口的请求情况 如果使用浏览器模拟访问更加明显,会跳到一个登录页面,效果如下: 然后输入默认的用户名和密码,默认的...
Spring Security基本认知使用
Eternal_Summer
04-22 280
Spring Security 1. 导入jar包 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency&gt
SpringSecuritySpringSocial认知
single_cong的博客
01-14 657
原理 SpringSocial将以上流程分装进入SocialAuthenticationFilter过滤器中,将该过滤器加入到spring security的过滤器链里面,如下图: 1-6步行为(服务提供商) ServiceProvider(AbstractOAuth2ServiceProvider) 服务提供商 OAuth2Operations(OAuth2Template) 帮助完成流程...
Spring Security
leizilong的博客
04-27 145
WebSecurityConfigurerAdapter用来管理安全框架的配置,如果开发者想去自定义安全管理,需要实现这个这接口。在开发过程中,我们常常涉及用户权限登陆,用来验明身份和赋予指定权限,达到保护项目安全和项目访问效果等。基于此,Spring家族提供了Spring Security用于解决安全访问的框架,在Spring Boot中可以对其进行整合并且还提供了自动化配置。自定义用户认证方式分类见下: 内存身份认证·JDBC身份认证 身份详情服务认证0 LDAP身份认证(了解) 身份认证提供商。
Spring Security 鉴权流程
qq_44131750的博客
04-17 1179
参考资料 SpringSecurity原理剖析与权限系统设计 SpringSecurity动态鉴权流程解析 | 掘金新人第二弹 官方文档 Part II. Servlet Applications 上篇笔记详细的介绍了 SpringSecurity 的认证过程,现在这部分来补充它的动态鉴权部分 鉴权原理 经常能看到下面这张图 整个认证的过程其实一直在围绕图中过滤链的绿色部分,而动态鉴权主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor。 实际上通过 Spring Se
springSecurity授权过程及代码执行过程
Mr-Bean的博客
08-12 312
springSecurity授权过程 用户使用账号密码登录,获取用户信息。 查询登录用户对应的权限列表到redis,key:登录成功用户名,value:用户权限列表。 将用户信息封装成token,返回给前端。 将token放到cookie;并在前端写拦截器,将token放到header中。 springSecurity本身就是个过滤器,带有token的请求头被过滤在springSecurity,此时,从header获取token,从token获取用户信息,拿着用户信息去redis中获取权限列表。 由spr
SpringSecurity认证专题之【AuthenticationManager】
波波烤鸭的博客
10-13 5644
  哈喽,大家好,最近有段时间没有写博客了,今天开始我会陆续给大家整理出SpringSecurity原理源码相关的文件,本篇文章主要是给大家介绍下认证体系中最基础的AuthenticationManager的内容,让你对它从整体上面有一个认知。 AuthenticationManager   首先我们来看下AuthenticationManager这个接口的定义。 public interface AuthenticationManager { /** * 定义的一个认证的方法 **/ Authen
SpringSecurity实战(一)-认证鉴权流程
qq1164014750
12-08 1116
文章目录目标spring security 实现认证鉴权的流程认证授权综上所述 目标 了解 spring security 认证授权流程 参考:spring security 实战书籍 前后端分离Spring security 从healer的token获取Session 资源:在线生成ascii字符画网站 spring-security 系列文章 小问题解决:Invalid ON UPDATE clause for ‘create_date’ column spring security 中文文
Spring Security源码解析(四)
qq_40577332的博客
06-02 1473
本章节将以实际公司中对Spring Security的应用为例,讲解配置Spring Security的三个configure方法。
oauth2登录认证之SpringSecurity源码分析
欢迎来到我的博客
02-08 269
最近想给自己的小系统搭建一个登录认证服务,最初是想着一套oauth2权鉴就可以,但是发现这个oauth2只是权鉴,具体的登录认证需要由 SpringSecurity来进行实现。 也就是说SpringSecurity 主要就是用来进行用户名、密码认证的登录框架 然后看了一下 SpringSecurity,发现之前用过,但是只是用过,具体的流程不清楚。 趁这个机会,将SpringSecurity源码大体的整理看一下。 概述# SpringSecurity 的功能就是 认证、授权、防止伪造登录 其核心就是一组
Spring Security OAuth2 完全解析 (流程/原理/实战定制) —— Client / ResourceServer 篇
虚幻私塾
01-12 4407
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一、前言 本文假设读者对 Spring Security 本身原理有一定程度的了解,假设对 OAuth2 规范流程、Jwt 有基础了解,以此来对 SpringSecurity 整合 OAuth2 有个快速全面的认识。 (关于总体流程,若对SS实在不熟悉可以简单理解为:Filte
spring security 4.0 步步深入 1-4
blurooo的博客
11-03 8586
教程的后面部分提供了对Spring Security框架架构和实现类的深入讨论,当有需要进行一些深度的自定义时可以着重阅读。在这一部分,我们将介绍Spring Security 4.0,简要概述它的历史,并稍微考虑一下如何开始使用框架。此外,我们将看看命名空间配置,它提供了一种比传统的Spring bean方法更简单的保护应用的方法,你再也不必单独连接所有实现类。我们还将查看可用的示例应用程序。尝试运行并实验这部分
Spring Security使用记录
chenzeyu110的博客
10-29 474
文章目录**1.概念介绍****1.1权限管理****1.2完成权限管理需要三个对象****1.3Spring Security****1.3.1创建web工程并导入jar包** 1.概念介绍 1.1权限管理 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统中,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个重要的名词: 认证:通过用户名和密码成功登陆系统之后,让系统得到当前用户的角色身份 授权:系统根据当前用户的角色,
基于yolov3结合卡尔曼滤波匈牙利算法虚拟线圈的车流量检测python源码+项目说明.zip
09-21
本项目专注于视频基的车辆跟踪与流量统计,依托深度学习技术,实时追踪路面车辆动态并精准统计各车道车流量。该项目通过以下核心步骤高效处理输入视频数据: 高精度目标检测:采用YOLOv3模型,凭借其卓越的实时性与准确性,快速识别视频中的车辆目标,为后续追踪奠定坚实基础。 稳定目标追踪:集成SORT(Simple Online and Realtime Tracking)算法,结合卡尔曼滤波器预测车辆未来位置,同时运用匈牙利算法优化目标间的匹配,实现连续、稳定的车辆追踪,有效应对遮挡、交叉等复杂场景。 智能车流量统计:借鉴虚拟线圈概念,巧妙设计算法以监测穿越预设区域的车辆,自动计数并准确统计各车道车流量,为交通管理与分析提供可靠数据支持。 整体而言,本项目通过融合先进的目标检测与追踪技术,结合创新的流量统计方法,构建了一个高效、精准的实时车辆跟踪与流量统计系统,为智慧交通领域的发展贡献力量。
本科毕业设计--基于深度学习的人脸面部表情识别.zip
最新发布
09-21
深度学习是机器学习的一个子领域,它基于人工神经网络的研究,特别是利用多层次的神经网络来进行学习和模式识别。深度学习模型能够学习数据的高层次特征,这些特征对于图像和语音识别、自然语言处理、医学图像分析等应用至关重要。以下是深度学习的一些关键概念和组成部分: 1. **神经网络(Neural Networks)**:深度学习的基础是人工神经网络,它是由多个层组成的网络结构,包括输入层、隐藏层和输出层。每个层由多个神经元组成,神经元之间通过权重连接。 2. **前馈神经网络(Feedforward Neural Networks)**:这是最常见的神经网络类型,信息从输入层流向隐藏层,最终到达输出层。 3. **卷积神经网络(Convolutional Neural Networks, CNNs)**:这种网络特别适合处理具有网格结构的数据,如图像。它们使用卷积层来提取图像的特征。 4. **循环神经网络(Recurrent Neural Networks, RNNs)**:这种网络能够处理序列数据,如时间序列或自然语言,因为它们具有记忆功能,能够捕捉数据中的时间依赖性。 5. **长短期记忆网络(Long Short-Term Memory, LSTM)**:LSTM 是一种特殊的 RNN,它能够学习长期依赖关系,非常适合复杂的序列预测任务。 6. **生成对抗网络(Generative Adversarial Networks, GANs)**:由两个网络组成,一个生成器和一个判别器,它们相互竞争,生成器生成数据,判别器评估数据的真实性。 7. **深度学习框架**:如 TensorFlow、Keras、PyTorch 等,这些框架提供了构建、训练和部署深度学习模型的工具和库。 8. **激活函数(Activation Functions)**:如 ReLU、Sigmoid、Tanh 等,它们在神经网络中用于添加非线性,使得网络能够学习复杂的函数。 9. **损失函数(Loss Functions)**:用于评估模型的预测与真实值之间的差异,常见的损失函数包括均方误差(MSE)、交叉熵(Cross-Entropy)等。 10. **优化算法(Optimization Algorithms)**:如梯度下降(Gradient Descent)、随机梯度下降(SGD)、Adam 等,用于更新网络权重,以最小化损失函数。 11. **正则化(Regularization)**:技术如 Dropout、L1/L2 正则化等,用于防止模型过拟合。 12. **迁移学习(Transfer Learning)**:利用在一个任务上训练好的模型来提高另一个相关任务的性能。 深度学习在许多领域都取得了显著的成就,但它也面临着一些挑战,如对大量数据的依赖、模型的解释性差、计算资源消耗大等。研究人员正在不断探索新的方法来解决这些问题。
雷电模拟器改成真机环境
09-21
在Android系统中,模拟器通常会被识别为非真实的设备,这可能导致某些应用或服务无法正常运行,尤其是那些需要硬件信息或root权限的应用。改真机环境意味着通过技术手段使模拟器的行为更接近真实的Android设备,包括模拟设备硬件信息、IMEI、MAC地址等,以绕过检测并提升兼容性。LSPSED(Linux System Property Setter and Editor)模块是Magisk的一个扩展,专门用于修改Android系统的系统属性。通过LSPSED,我们可以更改设备的各种系统属性,如设备型号、制造商信息等,这些修改对于使模拟器看起来更像真实设备至关重要。在使用过程中,还需要添加几个机型模块,这些模块通常包含了特定设备的系统配置信息,如设备代号、硬件信息等。通过安装这些模块,雷电模拟器可以模仿各种流行的Android设备,进一步提高应用的兼容性和真实性。
CenterNet 部署版本,便于移植不同平台(onnx、tensorRT、rknn、Horizon)
09-21
CenterNet 是一种用于目标检测的神经网络架构,它的核心思想是利用目标的中心点作为检测的关键信息。这种方法与传统的目标检测方法(如基于边界框的方法)有所不同,因为它不直接预测目标的边界框,而是预测目标的中心点坐标和目标的宽度与高度。 CenterNet 的主要特点包括: 1. **中心点预测**:网络输出目标的中心点坐标,以及目标的宽度和高度。 2. **热图(Heatmap)**:网络生成一个热图,其中每个像素点的值表示该点成为目标中心点的概率。 3. **回归任务**:除了中心点坐标,网络还需要预测目标的宽度和高度,这通常通过预测中心点周围的偏移量来实现。 4. **多任务学习**:CenterNet 通常会同时预测目标的类别、中心点坐标、宽度、高度以及目标的旋转角度(在某些变体中)。 5. **端到端训练**:CenterNet 可以直接在最终的目标检测任务上进行端到端的训练,无需复杂的区域提议网络(Region Proposal Network, RPN)或锚点(anchor)机制。 6. **高效性**:由于省略了传统目标检测中的一些步骤,CenterNe
Spring Security参考指南解析
Spring SecuritySpring框架的一个强大组件,专注于应用程序的安全性。这份参考指南是由Ben Alex、Luke Taylor和Rob Winch编写的,提供了关于Spring Security的官方详细信息,虽然内容可能对非英语母语者来说较为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值