SpringSecurity

最新推荐文章于 2024-02-15 23:49:04 发布
最新推荐文章于 2024-02-15 23:49:04 发布
阅读量187 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gyagua/article/details/127088855
版权

一、入门案例

二、基本原理

SpringSecurity本质是一个过滤器链;

有很多的过滤器;

代码底层流程:重点看三个过滤器:

FilterSecurityInterceptor:是一个方法级的权限过滤器,基本位于过滤链的最底部;

ExceptionTranslationFilter:是一个异常过滤器,用来处理在认证授权过程中抛出的异常;

UsernamePasswordAuthenticationFilter:对/login的POST请求做拦截,校验表单中用户名,密码;

过滤器如何加载的?

1、所使用的SpringSecurity配置过滤器

* DelegatingFilterProxy

 核心组件:SecurityContextHolder、SecurityContext、Authentication

2、两个重要的接口

1、UserDetailService接口:查询数据库用户名和密码过程

* 创建类继承UsernamePasswordAuthenticationFilter,重写三个方法

* 创建类实现UserDetailService,编写查询数据过程,返回User对象,这个User对象是安全框架提供对象;

2、PasswordEncoder接口:数据加密接口,用于返回User对象里面的密码加密;

Web权限方案

(1)认证

登录时:

登录时提交post请求,提交登录时会走一个过滤器UsernamePasswordAuthenticationFilter

权限判断:

判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。

(2)授权

SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤
器链的 15 个过滤器进行说明:
(1) WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于
处理异步请求映射的 WebAsyncManager 进行集成。
(2) SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上
下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将
SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将
SecurityContextHolder 中的信息清除,例如在 Session 中维护一个用户的安全信
息就是这个过滤器处理的。
(3) HeaderWriterFilter:用于将头信息加入响应中。
(4) CsrfFilter:用于处理跨站请求伪造。
(5)LogoutFilter:用于处理退出登录。
(6)UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中
获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码
时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个
过滤器的 usernameParameter 和 passwordParameter 两个参数的值进行修改。
(7)DefaultLoginPageGeneratingFilter:如果没有配置登录页面,那系统初始化时就会
配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。
(8)BasicAuthenticationFilter:检测和处理 http basic 认证。
(9)RequestCacheAwareFilter:用来处理请求的缓存。
(10)SecurityContextHolderAwareRequestFilter:主要是包装请求对象 request。
(11)AnonymousAuthenticationFilter:检测 SecurityContextHolder 中是否存在
Authentication 对象,如果不存在为其提供一个匿名 Authentication。
(12)SessionManagementFilter:管理 session 的过滤器
(13)ExceptionTranslationFilter:处理 AccessDeniedException 和
AuthenticationException 异常。
(14)FilterSecurityInterceptor:可以看做过滤器链的出口。
(15)RememberMeAuthenticationFilter:当用户没有登录而直接访问资源时, 从 cookie
里找出用户的信息, 如果 Spring Security 能够识别出用户提供的 remember me cookie,
用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

整体的认证流程

UsernamePasswordAuthenticationFilter 
extends AbstractAuthenticationProcessingFilter
 

UsernamePasswordAuthenticationFilter的attemptAuthentication() 方法

UsernamePasswordAuthenticationToken
Authentication 接口的实现类,该类有两个构造器,一个用于封装前端请求传入的未认
证的用户信息,一个用于封装认证成功后的用户信息

ProviderManager
AuthenticationManager 接口的实现类,该接口是认证相关的核心接
口,也是认证的入口。些认证方式的入口:AuthenticationManager

权限访问流程

ExceptionTranslationFilter 过滤器
该过滤器是用于处理异常的,不需要我们配置,对于前端提交的请求会直接放行,捕获后
续抛出的异常并进行处理。
FilterSecurityInterceptor 过滤器
FilterSecurityInterceptor 是过滤器链的最后一个过滤器,根据资源权限配置来判断当前请求是否有权限访问对应的资源。如果
访问受限会抛出相关异常,最终所抛出的异常会由前一个过滤器
ExceptionTranslationFilter 进行捕获和处理。

rymtt`
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
springSecurity
10-14
springSecurity
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
玩转SpringBoot安全管理:SpringSecurityUserDetailService身份认证
Xmumu_的博客
08-03 3587
SpringSecurity身份认证之UserDetailsService
基于数据库自定义UserDetailsService实现Spring security认证
neweastsun的专栏
02-24 4万+
Spring security——基于数据库自定义UserDetailsService实现认证 本文将展示如何在spring security中创建基于数据库自定义UserDetailsService的认证服务。 UserDetailsService UserDetailsService接口用于返回用户相关数据。它有loadUserByUsername()方法,根据username查询用...
SpringSecurity框架原理浅谈之UserDetailsService
黄先生的博客
02-11 1886
UserDetailsService的作用就是从特定的地方(通常是数据库)加载用户信息.
SpringSecurityUserDetailsService详解
风归去.
06-25 5115
当什么也没有配置的时候,账号和密码是由 定义生成的。而在实际项目中账号和密码都是从数据 库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 接口即可。接口定义如下:直接看源码 要想返回 UserDetails 的实例就只能返回接口的实现类。SpringSecurity 中提供了如下的实例。对于我们只需要使 用里面的 User 类即可。注意 User 的全限定路径是:org.springframework.security.core.userdetail
Java Spring Security 安全框架:(三)UserDetailsService 详解
地球村
10-10 4166
UserDetailsService 详解1.返回值2.方法参数3.异常 当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。 如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。接口定义如下: 1.返回值 返回值 UserDetails 是一个接口,定义如下 要想返回 UserDetails 的实例就只能返回接口的实现类。Spring Securi
springsecurity
07-23
springsecurity
Spring Security
02-27
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,...
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
Spring Security学习(五)——账号密码的存取(UserDetailService、PasswordEncoder、DaoAuthenticationProvider)
最新发布
sadoshi的专栏
02-15 324
本文是常见Java Web应用中使用Spring Security的核心。一个Web应用管理系统在用户登陆上最核心的问题就是解决两个问题:1、用户提交的账号密码如何与数据库中保存的账号密码匹配上;2、如何保持会话。本文就是解决第一个问题的。
SpringSecurity】五、UserDetails接口和UserDetailsService接口(原理、流程)
llg___的博客
08-23 1994
接下来自己定义一个用户类SecurityUser类,也去实现UserDetails接口,重写UserDetails接口方法时,直接写死一个用户信息,一会儿new这个自定义的SecurityUser类,也就和上面的User.builder一个意思。重写loadUserByUsernam方法,并当用户名等于自定义的SecurityUser对象中的用户名时,返回SecurityUser对象。查看User类的源码,其实现了UserDetails接口,因此上面才可以直接创建User对象。重启服务,登录下,一切正常。
SpringSecurity6.0自定义数据库登录认证详细注释与两个关键点
lfl_jeetoon的博客
01-29 3412
直接把安全认证的两个关键点找了出来,让大家明白自定登录我要从哪里入手。第一是重写SecurityFilterChain,第二是重写UserDetailsService
Spring Security运行流程原理分析
Demon_HL的博客
02-14 731
Spring Security流程 说白了,它就是一堆的拦截器。下面叙述以下其认证流程。 AbstractAuthenticationProcessingFilter 先看 AbstractAuthenticationProcessingFilter,其是UsernamePasswordAuthenticationFilter的父类。 在其Filter中调用了其子类的验证方法。 //核心方法 private void doFilter(HttpServletRequest request, HttpSe
spring-security(十四)UserDetailsService
高枫的博客
02-19 1348
前言: 作为spring security的核心类,大多数的认证方式都会用到UserDetailsServiceUserDetails这两个接口,本文会详细探讨下UserDetailsService及其实现类。 1. UserDetailsService接口 在spring security中,为了方便扩展,UserDetailsService接口被设计的极其简单,只包含一个方法...
详解Spring Security进阶身份认证之UserDetailsService(附源码)
weixin_33738555的博客
01-29 4508
    在上一篇Spring Security身份认证博文中,我们采用了配置文件的方式从数据库中读取用户进行登录。虽然该方式的灵活性相较于静态账号密码的方式灵活了许多,但是将数据库的结构暴露在明显的位置上,绝对不是一个明智的做法。本文通过Java代码实现UserDetailsService接口来实现身份认证。    1.1 UserDetailsService在身份认证中的作用    Spring...
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring SecurityuserDetailsService用户认证以及授权
horinjsor的博客
06-01 2372
Spring安全框架

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值