Spring Security6.x认证架构解析

已于 2024-03-02 22:31:03 修改
阅读量322 收藏 3
点赞数 3
分类专栏: spring-security 文章标签: 架构
于 2024-03-02 22:20:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coder184/article/details/136422866
版权

        该文主要对Spring security认证模块的架构进行解析。

整体架构图

流程解释

        1.上述出现的组件是认证模块中最为核心的一些组件,了解这些组件之间的关系,有利于掌握Spring Security的使用,在企业中使用Spring Security多是基于这种结构扩展开来的;

        2.用户名/密码由后端获取,并且需要组建成Authentication对象,此时Authentication的认证状态应为"未认证";

        3.对于Authentication,不要将其想复杂,它是一个主体,代表当前用户,包含用户名/密码/授权范围,还包含一个最重要的东西——认证状态,它贮藏在SecurityContext上下文中,这意味着你可以在过滤器中随时获取它, 一旦获取到它,认证状态也就立刻知晓,你的系统也就知晓,是否该允许这个用户访问API资源,或者是将其阻挡在外;

        4.ProviderManager,非常重要的组件,核心方法是authenticate(),顾名思义,它用于执行认证的主逻辑;它内部维护了一个list对象,这个对象是providers,list中可以放入许多个provider,authenticate()方法会迭代providers,将所有provider的认证逻辑都执行一次,如果都通过了,代表当前用户认证通过,并且随之返回一个新的Authentication,该Authentication中包含当前的认证状态——已通过;

        5.AuthenticationProvider,即ProviderManager的providers中的对象,提供具体的认证逻辑;举个例子,DaoAuthenticationProvider是具体的实现类,你可以将它添加到providers中,那么在执行认证时,实际上是执行DaoAuthenticationProvider的逻辑,它的逻辑是:将Authentication中的密码和cache(或者是jdbc)中的密码进行比较;

        6.上述图示中第二个Authentication对象,仅是更新了认证状态为已认证,除此别无二样;但是它和前一个Authentication非同一个对象,因为它是重新创建的;

        7.认证完成后,你必须将其保存在上下文中,以便过滤器可以获取到,判断是否放行,否则你之前所做的一切操作毫无意义;保存的方法是:SecurityContextHolder.getContext().setAuthentication(...);

技术细节

        暂无

小结

        1.认证架构中的核心是ProviderManager/AuthenticationProvider,即认证逻辑的提供者;后续文章会继续进一步介绍;

        2.这是最基础的认证架构,需要理解完整,后续会推出更完整的架构,包括UserDetailService,PasswordEncoder这些组件,它们在何时出现,怎么使用,都会一一叙述。

锐明清风
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 3.2 集成最新 Spring Security6 实战
yangzhenyu2的博客
04-08 1390
虽然网上已经有很多对于Spring Security6用法的最近用法的介绍,但并没有一个比较完整的示例讲解我们应该如何把以前过时的方法更新到最新的用法。因此,我以自己项目中的security配置为例,提供一个已经验证过的springSecurityFilterChain配置示例,供大伙参考。
SpringBoot整合SpringSecurity实现权限控制(六):菜单管理
我的博客
10-22 7846
系列文章目录 《SpringBoot整合SpringSecurity实现权限控制(一):实现原理》 《SpringBoot整合SpringSecurity实现权限控制(二):权限数据基本模型设计》 《SpringBoot整合SpringSecurity实现权限控制(三):前端动态装载路由与菜单》 《SpringBoot整合SpringSecurity实现权限控制(四):角色管理》 《SpringBoot整合SpringSecurity实现权限控制(五):用户管理》 本文目录一、前言二、需求分析三、后端
SpringSecurity6从入门到上天系列第一篇:SpringSecurity6开篇介绍从概念开始把SpringSecurity6送上天
热门推荐
七叔的博客
10-30 2万+
本文是SpringSecurity6从入门到上天系列第一篇,让我们从概念开始把SpringSecurity6送上天
Spring Boot+Spring Security6的配置方法
qq_68534248的博客
04-01 924
Autowired@Bean// 调用 JwtUserDetailService实例执行实际校验@Component@Autowired@Overridetry {// 查询数据库用户表,获得用户信息// 使用获得的信息创建SecurityUserDetailspassword,// 以及其他org.springframework.security.core.userdetails.UserDetails接口要求的信息。
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 5137
引子:最近做项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码做限制),决定要把接口做的高级一些,而不是简单的传个用户名和密码对比数据库里面的,那样真的很low。于是写了基于token的认证功能,在这里分享出来供大家学习与探讨。
SpringSecurity 6 快速入门
qq_46216299的博客
02-02 1455
SpringSecurity 6 是 Spring 全家桶中属于安全权限的一类框架产品,同时它对于 Spring 框架的兼容性以及高定制性以及开源等优点,使得有些企业或个人开发者都会使用该框架
Spring Security6.x快速入门——用户认证模块
coder184的博客
03-03 868
Spring Security是基于过滤器进行设计的,它自身是一个SecurityFilterChain,在spring官网中,有很长的一个篇幅,对其架构进行介绍;而在这里,我推荐的入门方式是:可以将其快速地浏览一遍,心中只需要留下印象的是——Spring Security和过滤器链,你甚至直接可以将Spring Security看作是"一堆过滤器",这些过滤器组成了"过滤器链",而过滤器链中最重要的一个过滤器是:AuthorizationFilter。@Override。
新鲜速递:Spring Boot 3 项目快速集成 Spring Security 6的方法
杨若瑜的技术博客
12-11 1万+
本文讲述Spring Boot 3 快速集成Spring Security 6的方法,以往的旧文章大多无法无错完成集成,所以笔者经过研究,在这里发布快速集成方法,避免读者重蹈覆辙掉入各种坑里。
springboot3探索日记(3)——Security6配置
qq_42533633的博客
12-19 411
Security6相比Security5及之前的版本,在配置上做出了断层式的改变。和之前继承WebSecurityConfigurerAdapter相比,现在种种配置都是以bean的形式呈现的。
SpringSecurity 整合 JWT.docx
06-27
2、服务器验证登录鉴权,如果改用户合法,根据用户的信息和服务器的规则生成 JWT...5、服务器端对此 token 进行检验,如果合法就解析其中内容,根据其拥有的权限和自己的业务逻辑给出对应的响应结果。 6、用户取得结果
spring security 参考手册中文版
02-01
20.1.6 X-XSS保护 164 20.1.7内容安全策略(CSP) 165 配置内容安全策略 166 其他资源 168 20.1.8推荐人政策 168 配置引用者策略 169 20.2自定义标题 169 20.2.1静态头 169 20.2.2标题作者 170 20.2.3 ...
spring-security
05-19
Spring Security核心类解析架构概览图SecurityContextHolderSecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在...
Spring攻略(第二版 中文高清版).part1
03-16
第6章 将Spring与其他Web框架集成 209 6.1 在一般Web应用中访问Spring 209 6.1.1 问题 209 6.1.2 解决方案 210 6.1.3 工作原理 210 6.2 在你的Servlet和过滤器中使用Spring 214 6.2.1 问题 214 6.2.2...
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
竹林幽深
08-11 1048
您可以采用 JPA/Hibernate等一切你所熟悉的数据库框架,但这并不是本文档的重点。这里仅以MySQL 8.x与MybatisPlus为例:我们这里没有实现注册模块,但又想体验密码加密功能,因此推荐从此处由纯文本密码转换成加密密码存储至数据库中。编写授权服务// }创建两个实体类其一:User// 导入 Lombok 库中的注解import lombok.Builder;
SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
treewithwater的博客
11-20 1031
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
Spring Security 6.0尝鲜
时雨吹雪的博客
01-19 3746
Spring Security 6.0
SpringBoot3 + SpringSecurity6 前后端分离
一起加油吧!
11-22 2841
SpringBoot3 + SpringSecurity6 前后端分离,自定义token过滤器,自定义处理器,静态资源放行。
SpringBoot3配置SpringSecurity6
最新发布
yong472727322的博客
04-10 346
【代码】SpringBoot3配置Security
前后端分离中springsecurity怎么认证和鉴权的
10-08
6. 后端通过Spring Security的JwtAuthenticationFilter拦截请求,解析JWT,并进行用户身份认证。 7. 如果JWT有效且用户已通过认证,后端会进行鉴权,判断用户是否有权限访问请求的资源。 8. 如果鉴权通过,后端返回...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值