spring security 学习总结

最新推荐文章于 2024-07-27 13:31:57 发布
最新推荐文章于 2024-07-27 13:31:57 发布
阅读量159 收藏
点赞数
分类专栏: spring security OAuth2.0 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hc1428090104/article/details/115189098
版权

1. springboot整合好security后, 当未进行登陆直接访问接口, 默认会跳转到security默认的登陆界面, 用户名为"admin" 密码打印在控制台, 并且也可以自己配置用户名和密码

2. 自定义登陆界面

首先编写一个登陆界面login.html, (将其放在resource/static目录下), 再定义一个配置类实现 WebSecurityConfigurerAdapter 接口, 配置如下属性

3.  当未进行登陆, 就去访问接口, security自动将跳转到登陆界面 (非前后端分离方式) , 登陆了之后才能正常访问接口

   注意 : .and().csrf().disable()必须配置, 不然不能实现页面跳转

配置登陆用户的信息 (先放置到内存中)

CSRF简介 :

4. 配置退出登陆

 

5. security如何记录你是否登陆? (源码分析)

1. 首先找到UsernamePasswordAuthenticationFilter过滤器, 查看其attemptAuthentication方法

1. 36--38行判断登陆方法是不是post请求

2. 39--43 行获取用户名和密码, 并判断是否为空

3. 44行实例化 UsernamePasswordAuthenticationToken (赋值用户名和密码,  是否拥有权限设置为false)

4. 45行 setDetails(request, authRequest)是将当前的请求信息设置到UsernamePasswordAuthenticationToken中

5. 进入最关键的46行, 调用authenticate方法,(AuthenticationManager 接口中的方法), 通过ctrl + h 观察其子实现类, 定位到ProviderManager类,查看authenticate方法

70行获取security支持的认证方式, 72行进行遍历, 当找到对应的认证方式之后执行83行, provider是AuthenticationProvider接口的子实现, 通过ctrl + h判断出抽象AbstractUserDetailsAuthenticationProvider

查看其authenticate方法

59行获取用户名, 61行从缓存中获取用户, 如果为空到66行, 查看retrieveUser方法

53行获取用户信息

80行对用户信息进行校验, 校验的主要是如下信息,  81行是对密码进行校验

38行根据自己指定的密码编码方式进行对比,  判断密码时候一致

接下来执行103行

111行创建UsernamePasswordAuthenticationToken对象, 调用三个参数的构造方法, 获取到权限

以上执行完毕,  会将用户的登陆信息记录到security的上下文中(SecurityContextPersistenceFilter过滤器)

6. security授权认证源码解析

1. 首先现在是已经登陆的状态,  向接口发送请求时, 首先会进度第一个过滤器SecurityContextPersistenceFilter,  查看他的dofilter方法

51行, 将request和response封装到HttpRequestResponseHolder中, 52行是关键,去SecurityContextRepository中去加载context上下文, 方法如下

接下来进入45行代码的方法中

84行获取SecurityContext对象, 因为已经登陆,  该值不为null, 之后返回

第53--55行没有搞懂是要做什么...,  之后返回securityContext

57 行将context存储到SecurityContextHolder中, 之后执行回调函数invoke

该方法中最关键的是62行, 进入该方法

125行是用来获取访问改接口需要的权限的集合, 141行获取登陆用户的信息以及拥有的权限, 接下来关键是146行, 进入该方法

175行就是验证权限最关键的代码

主要有三种认证规则, AffirmativeBased , ConsensusBased , UnanimousBased

AffirmativeBased : 不是全部否定即可通过

ConsensusBased : 满足比否定多即可通过

UnanimousBased : 有一条否定就不能通过

到此,  security的登陆认证功能分析完毕,  最后清除一些信息

69行, SecurityContextHolder清除SecurityContext,  70行将SecurityContext存到SecurityContextRepository中

到此有一个问题 SecurityContextHolder为什么要清除SecurityContext?

           SecurityContext被SecurityContextHolder存储在ThreadLocal中, 而这个thread刚好是存在于servlet容器的线程池中的,如果不清除,当后续请求又从线程池中分到这个线程时,程序就会拿到错误的认证信息

http://www.cocoachina.com/articles/42621  全面解释

7. 访问数据库获取用户, 以及用户拥有的权限去请求接口

 

像你这样的
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security学习总结
weixin_43900374的博客
11-16 634
目前学习spring security已经完成了拦截,获取token,解析token,从数据库获取用户数据,根据表中的字段来鉴权这一块,通过自己的理解来记录一些流程和遇到的错误的解决办法 1.必须
Spring Security 学习总结1_3
03-14
"springsecurity-namespace"可能指的是Spring Security的XML命名空间配置。在Spring Security的早期版本中,使用XML配置是最常见的实践。例如,你可能会看到以下片段: ```xml **" access="hasRole('ROLE_ADMIN')...
SpringSecurity学习总结(三更草堂)
weixin_53676834的博客
03-31 1212
SpringSecurity安全框架的核心功能是和认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户。授权:经过认证后判断当前用户是否具有进行某个操作的权限。
SpringSecurity学习总结
be_ok的博客
03-20 292
学习目标: 全面掌握Spring Security各种细节 学习内容: Spring Security的默认登录页面 如何配置Spring Security sec标签的使用 文章目录学习目标:全面掌握Spring Security各种细节学习内容:前言一、Spring Security的默认登录页面二、如何配置Spring Security1.创建一个类2.授权(Authorization)3.认证(Authentication)三、sec标签的使用 前言 新手第一篇文章 这是基于狂神的Sprin
8.2SpringSecurity学习总结
独孤东方朔的博客
09-16 297
SprngSecurity就是一系列的过滤器封装,在对servlet进行请求前进行数据过滤,完成用户的认证授权操作。
springSecurity学习总结
qq_41787812的博客
09-13 87
springSecurity
spring security学习总结
Ybt_c_index的博客
07-30 691
这段时间了解了一下spring security以及oauth 2.0的相关内容,特在此总结,以供之后查阅。spring oauth 2.0会另开一篇文章。 首先声明,这段时间看了很多资料,但是最后只是在宏观上大致的把握了一下方向,对于绝大部分的技术细节都没有去了解,毕竟时间有限。所以本文也就是能说明白spring security的简单工作原理,大概也就这个程度了。废话到此为止。 本文参考的...
Spring Security 学习总结
JoahLi的博客
12-25 416
这里使用的是jdk1.8,spring boot 、spring security、mybatis、mysql,使用spring security 的目的是实现认证和鉴权。 1、环境搭建 1.1引入spring security 相关依赖 <dependencies> <dependency> <groupId>org.s...
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security学习笔记
Shawn的个人博客
05-09 1921
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
Spring Security学习总结
06-10
在"Spring Security学习总结一(补命名空间配置)"的文件中,可能涵盖了如何在Spring Security的XML配置中补充命名空间的步骤。命名空间的引入是为了简化配置,例如`<http>`元素用于配置安全拦截和访问规则,`...
Spring Security学习总结
05-21
### Spring Security 学习总结与应用实践 #### 引言 在深入了解Spring Security之前,我们需要认识到,传统的权限验证逻辑往往杂糅于业务逻辑之中,这种混合不仅使得代码难以维护,而且降低了系统的整体效率。每当...
SpringSecurity学习总结一.pdf
11-26
SpringSecurity学习总结一.pdf
golang 接口
m0_70982551的博客
07-24 958
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 517
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 653
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java的@DateTimeFormat注解与@JsonFormat注解的使用对比
最新发布
訾博(ZiBo)的博客
07-27 595
Spring和Jackson框架中,日期和时间格式化是一个常见需求。注解主要用于Spring的表单绑定,而注解则用于Jackson的JSON序列化和反序列化。了解这两个注解的使用场景和方法,可以帮助开发者更高效地处理日期和时间。和是处理日期和时间格式化的两个重要注解。主要用于Spring MVC的请求参数绑定,而主要用于Jackson的JSON序列化和反序列化。了解它们的使用场景和功能,可以帮助开发者更高效地处理日期和时间格式化需求。通过本文的介绍,希望读者能够更清晰地理解和。
Spring Security入门:权限管理与认证授权解析
"Spring Security学习总结" Spring Security是一个强大的和高度可定制的企业级安全框架,源自Acegi Security并自2007年底成为Spring Portfolio的一部分。它专注于为基于Spring的应用程序提供声明式的安全访问控制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值