SpringSecurity之原理总结

最新推荐文章于 2024-05-09 03:09:26 发布
最新推荐文章于 2024-05-09 03:09:26 发布
阅读量211 收藏
点赞数 1
分类专栏: SpringSecurity学习笔记 文章标签: SpringSecurity 请求间共享认证信息 权限访问流程 认证流程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hcyxsh/article/details/115478027
版权

文章目录

SpringSecurity之原理总结

一 过滤器介绍

SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明

  1. WebAsyncManagerIntegrationFilter
    将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成
  2. SecurityContextPersistenceFilter
    在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将 SecurityContextHolder 中的信息清除,例如在 Session 中维护一个用户的安全信息就是这个过滤器处理的
  3. HeaderWriterFilter
    用于将头信息加入响应中
  4. CsrfFilter
    用于处理跨站请求伪造
  5. LogoutFilter
    用于处理退出登录
  6. UsernamePasswordAuthenticationFilter
    用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个过滤器的 usernameParameter 和 passwordParameter 两个参数的值进行修改。
  7. DefaultLoginPageGeneratingFilter
    如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。
  8. BasicAuthenticationFilter
    检测和处理 http basic 认证。
  9. RequestCacheAwareFilter
    用来处理请求的缓存。
  10. SecurityContextHolderAwareRequestFilter
    主要是包装请求对象 request。
  11. AnonymousAuthenticationFilter
    检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。
  12. SessionManagementFilter
    管理 session 的过滤器。
  13. ExceptionTranslationFilter
    处理 AccessDeniedException 和 AuthenticationException 异常。
  14. FilterSecurityInterceptor
    可以看做过滤器链的出口。
  15. RememberMeAuthenticationFilter
    当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的 remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

二 SpringSecurity基本流程

  1. 流程图
    Spring Security 采取过滤链实现认证与授权,只有当前过滤器通过,才能进入下一个 过滤器:
    绿色部分为认证过滤器,需要我们自己配置,可以配置多个认证过滤器。认证过滤器可以使用 Spring Security 提供的认证过滤器,也可以自定义过滤器(例如:短信验证)。认证过滤器要在 configure(HttpSecurity http)方法中配置,没有配置不生效在这里插入图片描述
  2. 三个核心过滤器
    (1)UsernamePasswordAuthenticationFilter 过滤器:该过滤器会拦截前端提交的 POST 方式 的登录表单请求,并进行身份认证
    (2)ExceptionTranslationFilter 过滤器:该过滤器不需要我们配置,对于前端提交的请求会直接放行,捕获后续抛出的异常并进行处理(例如:权限访问限制)。
    (3)FilterSecurityInterceptor 过滤器:该过滤器是过滤器链的最后一个过滤器,根据资源权限配置来判断当前请求是否有权限访问对应的资源。如果访问受限会抛出相关异常,并由 ExceptionTranslationFilter 过滤器进行捕获和处理。

三 SpringSecurity认证流程

  1. 认证流程图
    认证流程是在 UsernamePasswordAuthenticationFilter 过滤器中处理的,具体流程如下: 在这里插入图片描述
  2. UsernamePasswordAuthenticationFilter 源码
    当前端提交的是一个 POST 方式的登录表单请求,就会被该过滤器拦截,并进行身份认 证。该过滤器的 doFilter() 方法实现在其抽象父类 AbstractAuthenticationProcessingFilter 中,相关源码如下:
    (1)父类核心方法源码如下:
    在这里插入图片描述
    (2)第二步的UsernamePasswordAuthenticationFilter 的attemptAuthentication()方法源码如下:
    在这里插入图片描述
    (3)上述的UsernamePasswordAuthenticationToken 是Authentication 接口的实现类,该类有两个构造器,一个用于封装前端请求传入的未认证的用户信息,一个用于封装认证成功后的用户信息,源码如下:
    在这里插入图片描述
    (4)Authentication 接口的实现类用于存储用户认证信息,查看该接口具体定义:
    在这里插入图片描述
  3. ProviderManager 源码
    (1)UsernamePasswordAuthenticationFilter 过滤器的 attemptAuthentication() 方法的(5)过程将未认证的 Authentication 对象传入 ProviderManager 类的 authenticate() 方法进行身份认证。
    ProviderManager 是 AuthenticationManager 接口的实现类,该接口是认证相关的核心接口,也是认证的入口。在实际开发中,我们可能有多种不同的认证方式,例如:用户名+ 密码、邮箱+密码、手机号+验证码等,而这些认证方式的入口始终只有一个,那就是 AuthenticationManager。在该接口的常用实现类 ProviderManager 内部会维护一个 List列表,存放多种认证方式,实际上这是委托者模式 (Delegate)的应用。每种认证方式对应着一个 AuthenticationProvider, AuthenticationManager 根据认证方式的不同(根据传入的 Authentication 类型判断)委托对应的 AuthenticationProvider 进行用户认证。
    源码如下:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    (2)上述的(6)过程,,调用 CredentialsContainer 接口定义的 eraseCredentials() 方法去除敏感信息。查看 UsernamePasswordAuthenticationToken 实现的 eraseCredentials() 方法,该方法实现在其父类中:
    在这里插入图片描述
  4. 认证成功和失败的处理
    UsernamePasswordAuthenticationFilter 过滤器的 doFilter() 方法,查看认证成功/失败的处理:
    (1)认证成功/失败方法源码
    在这里插入图片描述
    (2)结构图如下
    在这里插入图片描述

四 SpringSecurity权限访问流程

  1. ExceptionTranslationFilter 过滤器
    该过滤器是用于处理异常的,不需要我们配置,对于前端提交的请求会直接放行,捕获后 续抛出的异常并进行处理(例如:权限访问限制)。具体源码如下
    在这里插入图片描述
  2. FilterSecurityInterceptor 过滤器
    是过滤器链的最后一个过滤器,该过滤器是过滤器链 的最后一个过滤器,根据资源权限配置来判断当前请求是否有权限访问对应的资源。如果 访问受限会抛出相关异常,最终所抛出的异常会由前一个过滤器ExceptionTranslationFilter 进行捕获和处理。具体源码如下
    在这里插入图片描述
    在这里插入图片描述
    需要注意,Spring Security 的过滤器链是配置在 SpringMVC 的核心组件 DispatcherServlet 运行之前。也就是说,请求通过 Spring Security 的所有过滤器, 不意味着能够正常访问资源,该请求还需要通过 SpringMVC 的拦截器链

五 SpringSecurity请求间共享认证信息

一般认证成功后的用户信息是通过 Session 在多个请求之间共享,那么 Spring Security 中是如何实现将已认证的用户信息对象 Authentication 与 Session 绑定的进行 具体分析。

  1. 流程图
    在这里插入图片描述
    在前面讲解认证成功的处理方法 successfulAuthentication() 时,有以下代码:
    在这里插入图片描述
    查看 SecurityContext 接口及其实现类 SecurityContextImpl,该类其实就是对 Authentication 的封装
    查看 SecurityContextHolder 类,该类其实是对 ThreadLocal 的封装,存储 SecurityContext 对象
    在这里插入图片描述
    ThreadLocalSecurityContextHolderStrategy源码:
    在这里插入图片描述
    在这里插入图片描述
  2. SecurityContextPersistenceFilter 过滤器
    前面提到过,在 UsernamePasswordAuthenticationFilter 过滤器认证成功之 后,会在认证成功的处理方法中将已认证的用户信息对象 Authentication 封装进 SecurityContext,并存入 SecurityContextHolder
    之后,响应会通过 SecurityContextPersistenceFilter 过滤器,该过滤器的位置在所有过滤器的最前面,请求到来先进它,响应返回最后一个通过它,所以在该过滤器中 处理已认证的用户信息对象 Authentication 与 Session 绑定。
    (1)认证成功的响应通过 SecurityContextPersistenceFilter 过滤器时,会从 SecurityContextHolder 中取出封装了已认证用户信息对象 Authentication 的 SecurityContext,放进 Session 中。
    (2)当请求再次到来时,请求首先经过该过滤器,该过滤器会判断当前请求的 Session 是否存有 SecurityContext 对象,如果有则将该对象取出再次放入 SecurityContextHolder 中,之后该请求所在的线程获得认证用户信息,后续的资源访问不需要进行身份认证
    (3)当响应再次返回时,该过滤器同样从 SecurityContextHolder 取出 SecurityContext 对象并移除SecurityContextHolder中的SecurityContext 对象,把它放入 Session 中
    具体源码如下:
    在这里插入图片描述
    在这里插入图片描述
勉之~
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
security 底层原理_SpringSecurity工作原理
weixin_33914982的博客
12-24 1115
1.SpringSecurity 结构总览Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,检验每个请求是否能够访问它所期望的资源,我们可以通过Filter,Interceptor,AOP等技术来实现。Spring Security对Web资源保护时靠Filter实现的。当初始化Spring Security时,会创建一个名为Spr...
SpringSecurity基本原理
xiomarazark的博客
03-12 551
SpringSecurity基本原理 SpringSecurity本质上是一个过滤器链 代码底层流程:重点看三个过滤器 FilterSecurityInterceptor——是一个方法级的权限过滤器链的最底部 //过滤方法 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
SpringSecurity——基本原理
小志的博客
09-22 2989
一、Spring Security的理解 Spring Security最核心的是过滤器链,也就是一组过滤器(Filter),所有的访问服务的请求都会经过spring security的过滤器,服务的响应也会经过spring security的过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
Java全栈工程师-Spring Security
07-21
由浅入深讲解从搭建Spring Security认证授权应用,到Spring Security底层过滤器原理 本课程讲解Spring Security三种使用方案:独立使用,整合SSM框架用法,和整合SpringBoot的用法 本课程讲解Spring Security结合数据库的RBAC表进行动态的用户认证和授权的实现过程
SpringSecurity原理分析
Feverasa的博客
12-05 6482
距离上次更新已经5个月了,因为这段时主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity原理SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity的基本原理 1、基本流程SpringSecurity的基本原理就是应用了Tomcat容
Spring Security:安全上下文SecurityContext介绍与Debug分析
kaven
01-23 4791
SecurityContext 定义与当前执行线程关联的最小安全信息的接口,安全上下文存储在SecurityContextHolder中,SecurityContext从SecurityContextHolder获取,并包含当前经过身份验证的用户的Authentication。 SecurityContext接口源码: public interface SecurityContext extends Serializable { /** * 获取当前经过身份验证的主体,或身份验证请求令牌 */
springSecurity基本原理
gaston的博客
11-01 265
啥也不说先贴代码: spring.datasource.driver-class-name = com.mysql.jdbc.Driver spring.datasource.url = jdbc:mysql://127.0.0.1:3306/imooc-demo?useUnicode=yes&characterEncoding=UTF-8 spring.datasource.user...
SpringSecurity
11-11
**Spring Security 概述** Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,专为 Java 应用程序设计。它提供了全面的安全解决方案,包括登录、授权、会话管理以及防止各种安全威胁。Spring ...
Spring Security3 安全 个人总结
09-25
在这个总结中,我们将详细介绍 Spring Security3 的安全机制、原理和核心组件。 认证管理器 认证管理器是 Spring Security3 的核心组件之一,负责处理用户的认证请求认证管理器将用户名和密码与系统中的用户信息...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 过滤器链的机制和特性可以总结为以下几点: * Spring Security 的 FilterChainProxy 可以代理多条过滤器链,并根据不同的 URI 匹配策略进行分发。 * 每个请求每次只能被分发到一条过滤器链。 * 每...
SpringSecurity学习总结源代码
09-19
SpringSecurity是Java开发中用于构建安全Web应用的框架,它提供了强大的身份验证、...在学习过程中,分析提供的源代码和示例将有助于深入理解SpringSecurity的工作原理,并能帮助你在实际项目中有效地应用这些知识。
Security 获取当前会话的三种方法
文轩
05-16 839
Security 获取当前会话的三种方法 第一种,通过获取HttpSession的会话中的用户信息,在获取会话对象SecurityContextImpl,然后将用户信息封装。 @GetMapping("getUserSessionH") @ResponseBody public String getUerSessionH(HttpSession httpSession) { Enumeration<String> names = httpSession.get
SpringSecurity底层原理认证授权流程总结
希望和大家多多交流技术!
01-03 2686
安全框架(springsecurity、shiro等)主要分为两个部分: 认证:系统认为用户是否能登录 授权:系统判断用户是否有权限去做某些事情 项目主要使用了:基于token的用户权限认证与授权 模块一:登录时springsecurity获取用户的信息,比如用户名、密码、和查数据库得到其权限列表 如果系统的模块众多,每个模块都需要进行授权与认证,所以我们选择基于 token 的形式 进行授权与认证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限 值,并以用户名为 key.
SpringSecurity 底层流程总结
Qiao712的博客
03-03 4133
Spring Security 认证 授权 Servlet 过滤器 函数安全
spring security获取当前用户
weixin_44771582的博客
12-19 248
SecurityContextImpl securityContextImpl = (SecurityContextImpl) httpSession.getAttribute("SPRING_SECURITY_CONTEXT"); SecurityUser loginUser = (SecurityUser) securityContextImpl.getAuthentication().getPrincipal(); 同理可以推出如何在页面获取当前用户 ...
SpringSecurity的核心原理使用总结
最新发布
JavaMyDream的博客
05-09 2012
http// 登录表单的参数// 校验失败之后访问的地址,默认的地址为/login并且携带error参数error")// 当登录认证成功之后自定义处理的逻辑,这是自定义的逻辑,有默认的认证成功逻辑// 当登录认证失败之后的自定义处理的逻辑有几个关键点需要注意(这些到可以进行配置)表单的请求路径为POST的/login表单需要包含一个CSRF令牌,Thymeleaf会自动包含表单应该为用户名指定参数为username,密码为password,记住我为remember-me。
Spring Security 身份验证的基本类/架构
swadian2008的博客
07-24 1138
用作验证用户凭据的基本过滤器。在对凭证进行身份验证之前,Spring Security 通常会使用来请求凭证。doFilter 源码】//总流程//身份认证过滤器的处理流程if (!} else {try {//1- 尝试进行身份验证return;//2-如果验证成功,创建新会话,更新sessionId//3-调用认证成功后处理流程//4-调用认证失败后处理流程//4-调用认证失败后处理流程接下来,可以对提交给它的任何身份验证请求进行身份验证。
SpringSecurity之UserDetailsService接口讲解
hcyxsh的博客
04-06 2347
SpringSecurity之UserDetailsService接口讲解 当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中 账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。 如果需要自定义逻辑时,只需要实现UserDetailsService接口即可 1 定义UserDetailsService接口 2 返回值UserDetails 类中的方法说明 // 表示获取登录用户所有权限 Collection<? exte
spring security原理
08-26
- *2* *3* [Spring Security原理](https://blog.csdn.net/qixiang_chen/article/details/107038745)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值