Spring Security原理简略分析

最新推荐文章于 2024-03-11 14:26:37 发布
最新推荐文章于 2024-03-11 14:26:37 发布
阅读量726 收藏 1
点赞数
分类专栏: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cx105200/article/details/106759400
版权
java 同时被 2 个专栏收录
21 篇文章 1 订阅
订阅专栏
spring
6 篇文章 0 订阅
订阅专栏

导读

Spring Security是一个提供身份验证、授权和针对常见攻击的保护的框架。它对命令式和反应式应用程序都提供了一流的支持,是保护基于spring的应用程序的事实标准。

原理

流程图

整体流程:

client Filter DelegatingFilterProx FilterChainProxy SecurityFilterChain SecurityContextP DispatcheServlet Filter拦截请求 进行链式调用挂载的filter 委托调用Spring实现的Filter 委托调用Security的Filter 匹配对应的Filter组 会创建Security上下文信息 依次进行filter调用 后续请求由spring mvc进行后续请求处理 client Filter DelegatingFilterProx FilterChainProxy SecurityFilterChain SecurityContextP DispatcheServlet

委托给security后的验证流程:

SecurityFilterChain SecurityFilrer ProviderManager Authenticat UserDetailsService PasswordEncoder 用户自己实现的Filter 调用Provider管理器 进行表决 获取保存的用户信息 对保存用户编码 返回用户信息 将请求用户密码编码并和保存用户进行比对 返回结果 验证失败会抛出异常 SecurityFilterChain SecurityFilrer ProviderManager Authenticat UserDetailsService PasswordEncoder

流程分析

典型HTTP处理程序方式,由一系列的fiter调用链组成,无异常情况下请求最终由serverlet去处理:

过滤链

Filter 过滤器

DelegatingFilterProxy

允许在Servlet容器的生命周期和Spring的生命周期之间进行桥接ApplicationContext。Servlet容器允许Filter使用其自己的标准注册,但是它不知道Spring定义的Bean。 DelegatingFilterProxy可以通过标准Servlet容器机制进行注册,但是将所有工作委托给实现的Spring Bean Filter

委托代理

FilterChainProxy

Spring Security的Filtert支持包含在中FilterChainProxyFilterChainProxyFilterSpring Security提供的一种特殊功能,它允许Filter通过委派许多实例SecurityFilterChain。由于FilterChainProxy是Bean,因此通常将其包装在DelegatingFilterProxy中

过滤链代理

SecurityFilterChain

FilterChainProxy用于确定Filter应对此请求调用哪些Spring Security 。

安全过滤链

FilterChainProxy维护了多组SecurityChain,每次请求FilterChainProxy会找到匹配的一组,包装成VirtualFilterChain,由VirtualFilterChain进行调用:

多重安全过滤链

目前的所有的Filter列表

ChannelProcessingFilter
ConcurrentSessionFilter
WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilter
HeaderWriterFilter
CorsFilter
CsrfFilter
LogoutFilter
OAuth2AuthorizationRequestRedirectFilter
Saml2WebSsoAuthenticationRequestFilter
X509AuthenticationFilter
AbstractPreAuthenticatedProcessingFilter
CasAuthenticationFilter
OAuth2LoginAuthenticationFilter
Saml2WebSsoAuthenticationFilter
UsernamePasswordAuthenticationFilter
ConcurrentSessionFilter
OpenIDAuthenticationFilter
DefaultLoginPageGeneratingFilter
DefaultLogoutPageGeneratingFilter
DigestAuthenticationFilter
BearerTokenAuthenticationFilter
BasicAuthenticationFilter
RequestCacheAwareFilter
SecurityContextHolderAwareRequestFilter
JaasApiIntegrationFilter
RememberMeAuthenticationFilter
AnonymousAuthenticationFilter
OAuth2AuthorizationCodeGrantFilter
SessionManagementFilter
ExceptionTranslationFilter
FilterSecurityInterceptor
SwitchUserFilter

Servlet

DispatcheServlet

Spring Mvc的统一入口,它实现了标准的Sevlet Api,它是spring 的基础Servlet。

Security上下文

上下文是有SecurityContextPersistenceFilter放入的,HttpSessionSecurityContextRepository是Session仓库

SecurityContext contextBeforeChainExecution = repo.loadContext(holder);
SecurityContextHolder.setContext(contextBeforeChainExecution);

SecurityContextHolder 包含了SecurityContext,一个hold代表着当前的一个验证用户,获取用户的方式有2种:

1、注解方式

@GetMapping("/")
public String index(@AuthenticationPrincipal User user) {
		System.out.println(user);
}

2、调用SecurityContextHolder 方法获取

SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
// 用户名/账户
String username = authentication.getName();
// 当前用户,一般是UserDetail的一个实现
Object principal = authentication.getPrincipal();
// 密码信息,验证成功后会清除
Object credentials = authentication.getCredentials();
// 角色权限
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

Security Filter 组成

Security调用流程Filter -> ProvidderManager -> UserDetailsService -> PasswordEncoder

AuthenticationManager

ProviderManager是最常用的实现,它可以由WebSecurityConfigurerAdapter的configure(AuthenticationManagerBuilder auth)构建出来。

ProviderManager

它维护了一组Provicider,每个Provicider可以为自己支持的类型进行表决验证成功或者失败,如果没有找到对应的类型会直接抛出异常,同时它有个parent属性,支持继承,无法验证时会使用parent来完成验证。

UserDetailsService

加载用户使用,加载方式支持多种,比如jdbc,redis,内存等等,用户可以自行扩展。

PasswordEncoder

对请求数据进行编解码操作,security默认提供了多种编码器,也可自行实现。

默认提供了多种编码器,比如:BCryptPasswordEncoder、Pbkdf2PasswordEncoder、SCryptPasswordEncoder、StandardPasswordEncoder等,也允许用户实现自己的编解码器。

DelegatingPasswordEncoder为一个特殊的编码器,它支持一组编码器,通过头匹配模式,进行密码解码和重新编码。在编码格式改变时非常有用。

困境囚徒
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot系列】Spring 中的Template一次全理解,解析问题的本质
我是香菜
11-29 2259
在学习spring的过程中,经常能看到各种Template,如果能理解了这个的核心思想是不是一下就可以全部理解所有的Template,也就是掌握事情的本质,做到一通百通,再遇到类似的不会不理解,可以直接做知识迁移,今天来一起理解下 1、设计模式之模板模式 模板模式又叫模板方法模式,是定义问题的主要框架,流程,具体的详细实现留到子类,也就是定义了事情的规则,至于每个小部分在子类中可以自定义。留下大框架,保留灵活性。 模板模式使得子类可以在不改变算法结果的情况下,重新定义某些步骤,属于行为型设计模式。
SpringSecurity基本原理
11-12
Security基本执行过程的分析和各个环节类执行的分析
SpringSecurity原理简述
最新发布
莫等闲 白了少年头 空悲切
03-11 2572
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ ​
springboot中的templates的访问权限及默认的视图解析处
hy1255564202的博客
05-08 1702
Springboot创建的项目,在resources -> templates下的资源是不能直接访问的,没有开放访问权限。**这是因为templates文件夹,是放置模板文件的,因此需要视图解析器来解析它。所以必须通过服务器内部进行访问,也就是要走控制器 -> 服务 -> 视图解析器这个流程才行。**同时,存在安全问题。比如说,你把你后台的html文件放到templates,而...
Springboot的static和templates
weixin_40403318的博客
05-06 2139
Springboot的static和templates SpringBoot里面没有我们之前常规web开发的WebContent(WebApp),它只有src目录 在src/main/resources下面有两个文件夹,static和templates springboot默认 static中放静态页面,而templates中放动态页面 静态页面: 这里我们直接在static放一个hell...
springboot的templates路径配置问题
热门推荐
OHRadiance的专栏
03-21 2万+
起启用了thymeleaf的模版功能,而多个项目间往往能有通用模版可复用。 承既然要复用,若是于各个项目处简单的复制黏贴未免麻烦,更是不好统一维护。 因此,最好的办法是将项目公共模版置于固定路径,而后引入每个项目即可。 以eclipse为例,用“link source”即可实现。接下去就是将外联的资源配置入springboot了。 以springboot官方文档提示,只需要自定义MyWebAppCo
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
Spring Security角色继承分析
08-25
主要介绍了Spring Security角色继承分析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
主要介绍了Spring security BCryptPasswordEncoder密码验证原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity权限控制实现原理解析
08-24
主要介绍了SpringSecurity权限控制实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring-boot 中resources文件夹下的static和Templates文件夹
qq_39751320的博客
03-24 5382
今天在做springboot异常页面处理的时候,将error相关页面 单纯的放在resources文件夹下,而没有在static和Templates两个子目录下,在Controller中访问发现,服务器没有跳转到这些页面中。后来根据汪神的博客知道了springboot要将静态页面放在static下,动态页面放在Templates下。 注意: 这里如果访问静态页面是需要加上 .html 后缀,而动...
springboot或者springsecurity跨域问题 ---简单有效
qq_56263094的博客
05-02 1393
目录 springboot后端配置解决跨域 为什么会出现跨域问题? 首先一个定义一定要了解,就是浏览器的同源策略 什么是浏览器的同源策略,简单来说就是浏览器发送请求的协议、域名和端口要和服务器接收请求的协议、域名以及端口一致。这样才能完成交互,但是很显然这样是不可能的,尤其在对于在同一台电脑上开发前后端分离的项目的时候,一定是会使用两个端口的。那么这样就形成了跨域问题。 其中有俩种方法解决,一种是在前端配置跨域代理,第二种是后端新建一个配置类 在这里只介绍第一种,因为最为简便 s..
Spring Security框架原理及解析
多看多听多总结
07-26 1746
Spring Security框架原理及解析
SpringSecurity原理分析
Feverasa的博客
12-05 6392
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity原理SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity的基本原理 1、基本流程 ​ SpringSecurity的基本原理就是应用了Tomcat容
Spring Security基本原理
花&败
07-17 3274
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
SpringSecurity——基本原理
小志的博客
09-22 2125
一、Spring Security的理解 Spring Security最核心的是过滤器链,也就是一组过滤器(Filter),所有的访问服务的请求都会经过spring security的过滤器,服务的响应也会经过spring security的过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
Spring Security的工作原理
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
SpringSecurity源码理解及使用(一)
m0_52889702的博客
10-21 578
springSecurity 简介认证与授权整体架构默认配置原理springBoot对SpringSecurity的配置默认数据源存放位置默认用户信息位置自定义配置自定义资源权限规则自定义登录页面自定义登录成功后页面的跳转(传统web项目)自定义登录成功后返回的json(前后端分离)自定义显示登录失败信息自定义登录失败页面跳转(传统web开发)自定义登录失败后返回的json(前后端分离)定义注销登录配置注销登录后 返回的页面(传统web开发)注销登录后 返回的json(前
spring security原理
07-28
- *1* *2* [SpringSecurity原理分析](https://blog.csdn.net/qq_25179481/article/details/121729209)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值