本文介绍了Spring Security的四个核心组件:Authentication、SecurityMetadataSource、AccessDecisionManager和FilterSecurityInterceptor。Authentication涉及RememberMeAuthenticationToken、UsernamePasswordAuthenticationToken等实现。SecurityMetadataSource用于加载访问权限资源。AccessDecisionManager负责权限决策,常需自定义。FilterSecurityInterceptor整合这些组件,确保安全控制。
0. 更多参考资料
1. Authentication
Authentication 用于身份验证。
RememberMeAuthenticationToken 记住&保持登录状态
UsernamePasswordAuthenticationToken
一种简单的实现,顾名思义,这个类包含了用户名和密码,也是系统中最普遍的Authentication接口的实现
PreAuthenticatedAuthenticationToken
这个是为了预认证Authentication objects而存在的。预认证的过程实际上是外部系统认证的过程,spring security仅仅是给外部系统提供解析用户身份(Principal)信息
RunAsUserToken
通常是在Security Interceptor中的RunAsManager才会使用到,是因为访问资源所包含的ConfigAttribute中是RUN_AS_为前缀的,如果确实包含了这个值,RunAsManager会根据RUN_AS的值给认证的用户创建GrantedAuthorities
JaasAuthenticationToken 用于携带用户已登录的Jaas LoginContext
PreAuthenticatedAuthenticationT
最低0.47元/天 解锁文章
246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
