SpringSecurity-设计思想

最新推荐文章于 2023-06-18 13:33:23 发布
最新推荐文章于 2023-06-18 13:33:23 发布
阅读量360 收藏
点赞数 1
分类专栏: 陈海龙的格物之路-Spring篇 文章标签: spring security security设计思路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chl87783255/article/details/120272688
版权

前言

系统安全可分为身份认证和授权验证两个部分,spring security提供了这两种能力,本文讲述security的设计思路。

设计思想

不赘言,开门见山,简单明了简述spring security的设计思想:

通过filter实现security!使用责任链实现身份认证和授权验证。

就像这样哦。

 

DelegatingFilterProxy

作用在于:在servlet容器和springContext之间进行桥接。

详细描述下,servlet容器使用自己的标准去注册filter,但是无法感知spring组建的bean。DelegatingFilterProxy的作用在于:DelegatingFilterProxy注册到servlet容器中,然后把所有工作委托给实现filter的springbean。

FilterChainProxy SecurityFilterChain

作用在于:把security工作委派给更多的filter bean。

看图更清晰哦。

做一些介绍

security工作的委派流程:

  1. DelegatingFilterProxy,把工作交给FilterChainProxy;
  2. FilterChainProxy又把工作交个SecurityFilterChain;
  3. SecurityFilterChain把工作交给SecurityFilter链;

securityFilter是一些特殊类型的bean,通过FilterChainProxy注册到SecurityFilterChain。 

有一个问题:

为什么没有直接在DelegatingFilterProxy中注册securityFilter呢?

  1. FIlterChainProxy作为security的工作起点,可以从这里开始debug。
  2. FilterChainProxy作为security的执行核心,执行了一些不可选的行为。例如最终清理securityContext,使用security的httpfirewall防火墙。
  3. 支持多个SecurityFilterChain,根据url进行匹配选择,即根据url选择不同的安全策略。

官方是这么说的,源码自然也是这么写的。

接下来通过源码,看看FilterChainProxy都做了什么事情:

org.springframework.security.web.FilterChainProxy#doFilter

org.springframework.security.web.FilterChainProxy#doFilterInternal

参考文档

Spring Security Reference

关于security,我的其他文章。

SpringSecurity-身份认证原理_陈海龙的格物之路-CSDN博客如果你对SpringSecurity-身份认证原理还不了解,这篇文章可以满足你哦。https://blog.csdn.net/chl87783255/article/details/120291501SpringSecurity-授权验证原理_陈海龙的格物之路-CSDN博客本文介绍SpringSecurity授权验证的原理。如果你还不了解原理,快来看看吧。https://blog.csdn.net/chl87783255/article/details/120292485

SpringSecurity-自定义分布式session与url授权验证_陈海龙的格物之路-CSDN博客springsecurity通过配置实现自定义扩展,例如实现分布式session、url授权验证等。来吧,一起看看怎么玩security。https://blog.csdn.net/chl87783255/article/details/120288973

HS_Henry
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security基本思路、配置详细说明
huangyh技术栈
11-22 701
一、Spring Security基本思路  步骤一:依赖配置spring-security-web、spring-security-config 步骤二:在sunny-web/sunny_manager_web1/src/main/webapp/WEB-INF/web.xml路径下配置web.xml文件(配置Spring加载文件、配置Spring的核心监听器ContextLoaderLis...
SpringSecurity入门
qq_45834459的博客
11-17 1317
1.SpringSecurity 框架简介 1.1概要: Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是
一文带你了解强大的 Spring Security 架构原理!
架构文摘
12-29 1569
作者:before31 https://my.oschina.net/xuezi/blog/3126351 本指南是Spring Security的入门,它提供了对该框架的设计和基本构建的见解。我们仅介绍了应用程序安全性的最基本知识,但是这样做可以解除使用Spring Security的开发人员所遇到的一些困惑。为此,我们会看一下使用过滤器(更通常是使用方法注释)在Web应用程序中应用安全...
认识Spring Security安全框架
蹊源的奇思妙想的博客
10-23 2872
Spring Security是什么? Spring Security是一个强大且高度可定制的身份验证和访问控制架构。 SpringSecurrity的两个操作: 认证:确认用户可以访问当前系统。 授权:确认用户可以执行操作的权限。 SpringSecurity的组件 核心模块:包含核心的验证和访问控制类以及接口、远程支持和基本的配置的API。 远程调用:提供与Spring Remoting的集合...
spring安全框架系列springSecurity之我见》其一[认识springSecurity]
java开发指南博客 【转载】
02-11 164
使用一个新的框架之前,首先我们来认识一下springSecurity,毕竟框架这种东西有时靠不住,所以学到他的思想才是最重要的,很多人都知道这么用,具体为什么,没有人告诉我们,首先我们从最基本的看起,了解一些入门知识是有必要的: 1.4.1.1. Core -spring-security-core.jar 包含了核心认证和权限控制类和接口, 运程支持和基本供应 API。使用 Spri...
Spring Security之原理浅析
JackieBlog
07-07 250
1. 简介 2. 原理 3. 过滤器介绍 4. 源码分析
spring-security-composer
03-28
Spring Security体系中,"Composer"并不是一个单独的类或模块,而是指一种设计思想,即如何组合和配置Spring Security的不同组件,以满足特定的安全需求。通过灵活的配置和组件组合,开发者可以定制出符合自身应用...
spring-security-core-2.0.5.RELEASE.src
08-09
Spring Security核心模块详解》 在Java开发领域,Spring Security是一个强大的、高度可配置的...尽管2.0.5.RELEASE版本相对较旧,但它仍能体现Spring Security的基本架构和设计思想,为后续版本的学习提供了基础。
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity的工作流程是基于标准servlet过滤器的,它的设计思想是通过一层层的Filters来对web请求进行处理。请求经过过滤器链的过程中,会完成认证与授权,如果中间发现请求未认证或者未授权,会根据被保护API的...
spring-security-3.1.x.zip 源码下载
11-28
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java Web应用程序。...通过阅读和学习源码,我们可以更好地理解框架的设计思想,从而更好地利用它来保护我们的应用程序。
spring-framework-5.3.29.tar.gz
08-31
Spring Framework 5.3.29 源码解析》 ...深入源码,我们能够洞察其内在的设计思想,为我们的开发实践提供坚实的理论基础。无论是初学者还是经验丰富的开发者,研究Spring的源码都将是一次宝贵的旅程。
springsecurity思路
m0_37817220的博客
06-19 171
SpringSecurity(一):权限管理设计与实现(官文英解+源码调试+基本环境搭建)
左灯右行的爱情
06-18 1028
加油
jwt认证机制优势和原理_微服务架构系列之–前后端分离 JWT认证机制
weixin_39913141的博客
11-23 153
写在前面关于 Spring SecurityWeb系统的认证和权限模块也算是一个系统的基础设施了,几乎任何的互联网服务都会涉及到这方面的要求。在Java EE领域,成熟的安全框架解决方案一般有 Apache Shiro、Spring Security等两种技术选型。Apache Shiro简单易用也算是一大优势,但其功能还是远不如 Spring Security强大。Spring Security...
Spring Security 工作原理概览
热门推荐
江南一点雨的专栏
04-27 9万+
本文由读者 muggle 投稿,muggle 是一位具备极客精神的90后单身老实猿,对 Spring Security 有丰富的使用经验,muggle 个人博客地址是 h...
SpringSpring Security 相关知识学习总结
简约人生的博客
03-07 1588
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中 的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。
盘点 Spring Security框架中的八大经典设计模式
linjingyg的博客
08-09 429
  等等,类似的很多,我就不一一赘述了。   松哥的 Spring Security 还在持续连载中,未来连载完了还会总结出更多的设计模式,这里先列出来八个和小伙伴们分享,如果小伙伴们有自己的见解,也欢迎留言补充。...
万字长文,SpringSecurity
mySoul
06-30 963
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
权限系统设计模型以及SpringSecurity框架实现
wangxudongx的专栏
07-13 2974
权限系统设计模型以及SpringSecurity框架实现权限系统设计模型介绍SpringSecurity使用Role认证实现粗粒度RBAC基本的 用户-角色 表设计参考Gradle引入SpringSecurity依赖测试用的ControllerSpringSecurity配置类UserDetailsService用户权限验证业务类SpringSecurity使用Authority认证实现细粒度RB...
Spring Security6
最新发布
09-11
Spring Security 6.1.x是基于Spring Boot 3.1.x依赖的版本,它是一个用于保护应用程序的框架。Spring Security提供了身份认证(Authentication)和鉴权控制(Authorization)的实现。它的设计思想是为了提供对整个应用程序的安全性控制,并且能够与Servlet容器和Spring容器进行连接和交互。 在Spring Security 6.0中,有一些配置方面的改变。之前的老版本中可以使用废弃的WebSecurityConfigurerAdapter进行配置,但是从6.0版本开始,这个废弃类已经被删除了。此外,6.0版本采用了基于Lambda表达式的DSL配置方式,取代了之前的纯链式调用方式,使得配置更加灵活和直观。一些方法名称也进行了修改,例如antMatchers替换为requestMatchers。 总之,Spring Security 6.1.x是一个用于保护应用程序的框架,它提供了身份认证和鉴权控制的实现。它的设计思想是为了提供对整个应用程序的安全性控制,并且可以与Servlet容器和Spring容器进行连接和交互。在6.0版本中,有一些配置方面的改变,包括删除了废弃的WebSecurityConfigurerAdapter类以及采用了基于Lambda表达式的DSL配置方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值