关于Spring security

最新推荐文章于 2024-04-20 16:32:09 发布
最新推荐文章于 2024-04-20 16:32:09 发布
阅读量75 收藏
点赞数
分类专栏: Spring 文章标签: Spring Security spring filter
Spring Acegi Security是spring security的主要架构。
在这里需要理解4个filter的概念:AuthenticationProcessingFilter, HttpSessionContextIntegrationFilter, ExceptonTranslationFilter, FilterSecurityInterceptor.
这四个Filter被FilterChainProxy过滤器链管理,就像一个串把四个过滤器链接在一起,他实现了Filter接口,通过调用WebapplicationContextUtils类的getWebApplicationContext(ServletContext)来获取Spring上下文句柄,并通过getBean(beanName)方法获取Spring受管Bean的对象,即这里的target参数配置的Bean,并通过调用FilterChainProxy的init()方法来启动Spring Security过滤器链来进行各种身份认证和授权服务
web.xml可以用如下配置: 

<filter>  
 <filter-name>filterChainProxy</filter-name>  
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
</filter>  
<filter-mapping>  
<filter-name>filterChainProxy<filter-name>  
<url-pattern>/*</url-pattern>  
</filter-mapping>

如下为Spring-security.xml的示例代码: 

<bean id="filterChainProxy"    class="org.springframework.security.util.FilterChainProxy">
<security:filter-chain-map path-type="ant">
<security:filter-chain pattern="/logout.jsp" filters="logoutFilter" />
<security:filter-chain pattern="/**" filters="httpSessionContextIntegrationFilter,authenticationProcessingFilter,FilterSecurityInterceptor" />
</security:filter-chain-map>
</bean>

下面逐个介绍每个过滤器:
AuthenticationProcessingFilter是认证过程过滤器,我们使用它来处理表单认证,当接受到与filterProcessesUrl所定义相同的请求时它开始工作: 

<bean id="authenticationProcessingFilter" class="org.springframework.security.ui.webapp.AuthenticationProcessingFilter"> 
<property name="authenticationManager" ref="authenticationManager"></property> 
<property name="filterProcessesUrl" value="/login"></property> 
<property name="defaultTargetUrl" value="/error.jsp?error=1"></property> 
<property name="authenticationFailureUrl" value="/index.jsp?error_code=1"></property> 
</bean>

AuthenticationProcessingFilter调用authenticationManager来完成用户身份的认证,主要是Authenticate方法来认证,它使用Authentication(只包含用户名密码)作为参数,认证成功返回一个完整的Authentication对象(包含用户权限信息GrantedAuthority数组对象),最后会将Authentication对象存入SecurityContext中。
httpSessionContextIntegrationFilter是集成过滤器,在产生的HTTP会话中保持SecurityContext。这意味着这种认证机制只需要认证一次,接下来将通过HTTP request传递至filter chain中的下一个filter。
示例如下: 

<bean id="sif"
class="org.springframework.security.context.HttpSessionContextIntegrationFilter">
<property name="allowSessionCreation" value="false"/>
</bean>

FilterSecurityInterceptor管理限制存取权限检查,并授权检查。它知道哪些资源是安全的,哪些角色访问它们。 FilterSecurityInterceptor使用AuthenticationManager和做工作的AccessDecisionManager 

<bean id="filterSecurityInterceptor" class="org.springframework.security.intercept.web.FilterSecurityInterceptor"> 
<property name="accessDecisionManager" ref="accessDecisionManager"></property> 
<property name="authenticationManager" ref="authenticationManager"></property> 
<property name="objectDefinitionSource"> 
<value> 
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 
PATTERN_TYPE_APACHE_ANT 
/login=ROLE_connect 
/success.jsp=ROLE_connect 
</value> 
</property> 
</bean>

ExceptionTranslationFilter依赖FilterSecurityInterceptor,用来捕获FilterSecurityInterceptor抛出的例外 

<bean id="exceptionTranslationFilter"    class="org.springframework.security.ui.ExceptionTranslationFilter">
<property name="authenticationEntryPoint" ref="authenticationEntryPoint"/>
<property name="accessDeniedHandler" ref="accessDeniedHandler"/>
</bean>            
<bean id="authenticationEntryPoint"     class="org.springframework.security.ui.preauth.PreAuthenticatedProcessingFilterEntryPoint">
</bean>
<bean id="accessDeniedHandler"  class="org.springframework.security.ui.AccessDeniedHandlerImpl">
<property name="errorPage" value="/logout.html"/>
</bean>
iteye_6901
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
关于SpringSecurity与OAuth的学习,含mysql与redis版本.zip
02-23
在这个关于SpringSecurity与OAuth的学习资料中,包含了与MySQL和Redis集成的版本,这表明将涉及到数据库管理和缓存的使用。 首先,SpringSecuritySpring框架的一个模块,它为应用程序提供了细粒度的安全控制,...
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
Spring Security基本原理
花&败
07-17 3333
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
关于 Spring Security 对 OAuth2 的支持
小水牛的博客
04-22 2749
关于 Spring Security 对 OAuth2 的支持前言OAuth2 生态关于 OAuth2Spring SecurityFilterChainProxySecurityFilterChain 定义示例总结 前言 之前或多或少的接触过 Spring Security,最近有契机基于 Spring Security 搭建了一套较完整的 OAuth2 认证服务,对 Spring Security 对 OAuth2 支持的生态做了简单的了解,以此文分享 OAuth2 生态 现在的 Spring Sec
关于Spring Security 报Bad credentials错误
木子一个Lee的博客
10-12 1782
1.密码或用户名错误。
关于SpringSecurity默认登入页面加载缓慢问题
qq_41170930的博客
02-15 2117
springSecurity
关于spring security加载不出登录页面,显示白板问题
weixin_46069239的博客
05-17 2191
可能是spring security的配置文件加载的问题,应该和spring的配置文件一起加载,代码如下:
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
SpringSecurity认证
小钟不想敲代码
05-28 5251
SpringSecurity认证
关于SpringSecurity设置Cookie的问题
m0_67393593的博客
03-24 3853
关于前后端分离SpringSecurity设置Cookie的问题 今天刚入手SpringSecurity,很多不是太懂,在github找到个dome github地址:https://github.com/ChinaSilence/spring-security-demos 然后发现SpringSecurity登录成功之后访问需要登录的接口依然是返回未登录,看了demo中的文档,登录成功之后响应头会携带一个cookie绑定到本地,然后请求需要登录的接口的时候需要携带这个cookie。 在登录接口响应头中有
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
华为智慧城市成功案例集
08-29
华为智慧城市成功案例集
小程序-仁怀酱酒宝:酒类商城模板(源码).zip
最新发布
08-29
小程序-仁怀酱酒宝:酒类商城模板(源码).zip
剑雅真题G类雅思官方指南OG剑雅真题G类雅思官方指南OG
08-29
剑雅真题G类雅思官方指南OG剑雅真题G类雅思官方指南OG提取方式是百度网盘分享地址
基于微信小程序的点餐系统的设计设计与实现.docx
08-29
基于微信小程序的点餐系统的设计设计与实现.docx
关于Spring Security的描述
06-07
Spring Security是一个基于Spring框架的安全性认证和授权的框架。它提供了一系列的安全性解决方案,包括用户认证、访问控制、加密、攻击防范等等。Spring Security可以很方便地与Spring框架集成,也可以与其他框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值