Spring Security总体流程、认证流程、鉴权流程浅析

最新推荐文章于 2024-10-13 19:37:30 发布
最新推荐文章于 2024-10-13 19:37:30 发布
阅读量5.5k 收藏 41
点赞数 16
分类专栏: 权限框架 文章标签: SpringSecurity Security流程解析 Security认证 Security鉴权 Security基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justry_deng/article/details/103549894
版权

软硬件环境

  • jdk1.8
  • IntelliJIdea
  • SpringBoot2.2.1.RELEASE
  • SpringSecurity5.2.1RELEASE

声明 SpringSecurity默认提供的登录方式有表单登录与弹框登录。本文流程图,基于SpringSecurity的表单登录绘制;表单登录与弹框登录流程几乎一致,明白了其中一个的流程,就明白了整个流程了。

Spring Security总体流程分析

        SpringSecurity框架的FilterChainProxy$VirtualFilterChain类里面,持有着两大过滤器字段一是SpringSecurity附加的过滤器List<Filter> additionalFilters一是应用本身的过滤器FilterChain originalChain(过滤链里面的过滤器)。SpringSecurity会先过滤其提供的additionalFilters,然后再过滤应用本身的过滤器,总体流程如下图所示:
在这里插入图片描述

认证流程分析

        认证抽象类AbstractAuthenticationProcessingFilter持有private RequestMatcher requiresAuthenticationRequestMatcher,此匹配器决定当前AbstractAuthenticationProcessingFilter类(的实现子类)是否对当前请求进行认证。如果需要认证,那么就进行认证。认证操作,实际是由AuthenticationProvider(接口的实现)完成的。认证抽象类AbstractAuthenticationProcessingFilter持有AuthenticationManager接口对象,该对象(一般由ProviderManager提供实现),ProviderManager持有AuthenticationProvider对象集合。认证时,就是遍历AuthenticationProvider对象集合,只要有一个AuthenticationProvider认证成功了,那么就认证通过,见下图:
在这里插入图片描述

而AuthenticationProvider接口的实现较多,有:
在这里插入图片描述
所以,认证流程,总体上是这样的:
在这里插入图片描述
注:如果需要认证,但是又认证失败的话,会抛出异常。

注:假设a、b、c都是抽象类AbstractAuthenticationProcessingFilter的子类,如果a、b、c 都能成功匹配同一个url(即:访问该url时,request会依次被a、b、c进行过滤认证),那么一旦a、b、c中有一个认证失败,那么就认证不通过。如果a、b、c都认证成功,那么是认证通过的,不过此时用户的信息数据,是以最后一个认证器存的数据为准的。

  • 所以,如果自定义了多个认证过滤器(即AbstractAuthenticationProcessingFilter子类)的话,建议每个认证过滤器都匹配不同的url

  • 【如果a、b、c 都能成功匹配同一个url(即:访问该url时,request会依次被a、b、c 进行过滤认证)】中,【request会依次被a、b、c 进行过滤认证】的前提是:前面的认证过滤器没有做什么“截断”操作(如请求转发,请求重定向等)。

  • Spring Security中,只要某一个认证器认证成功,就会调用到AbstractAuthenticationTargetUrlRequestHandler类中的handle方法,将请求重定向一个新的URL(这个URL的具体地址由AbstractAuthenticationTargetUrlRequestHandler类中的handle方法提供)。也就是说,Spring Security默认的,如果多个认证过滤器同时匹配同一个登录URL的话,如果自己不作特殊处理,只有排在最前的那个认证器生效

鉴权流程分析

        鉴权流程相对简单。AbstractSecurityInterceptor抽象类中有一个方法public abstract SecurityMetadataSource obtainSecurityMetadataSource(),其子类需要重写该方法,使其能获得一个SecurityMetadataSource实例,这个实例用来判定当前请求是否需鉴权;AbstractSecurityInterceptor抽象类中有一个字段private AccessDecisionManager accessDecisionManager,其子类需要给这个字段赋一个AccessDecisionManager实例,这个实例用来判定鉴权是否通过(如果需要鉴权的话),见下图:
在这里插入图片描述
如果有多个鉴权过滤器的话:
在这里插入图片描述

Spring Security基础理论梳理完毕 !


^_^ 如有不当之处,欢迎指正

^_^ 参考资料
        《SpringSecurity5.2.1RELEASE源码》

^_^ 本文已经被收录进《程序员成长笔记》 ,笔者JustryDeng

justry_deng
关注
专栏目录
SpringSecurity实现自定义登录认证、权限验证、鉴权
紫眸的博客
04-25 1万+
SpringSecurity实现自定义登录认证、权限验证、鉴权 Demo源码:https://github.com/ygsama/ipa 自定义登录认证实现需要实现三个接口 UserDetails 用户类接口 UserDetailsService 查询用户密码的service 接口 AuthenticationProvider 为认证管理器AuthenticationManager 提供验证 自定义权限验证时也需要实现三个接口:
SpringSecurity和OAuth2认证授权流程
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
04-24 3149
1、SpringSecurity认证授权流程 1.1、SpringSecurity认证流程 1.2、SpringSecurity授权流程 2、SpringSecurityOAuth2认证授权流程 2.1、SpringSecurityOAuth2认证流程 2.2、刷新token(refresh_token)的流程 2.3、SpringSecurityOAuth2授权流程
SpringSecurity实战(一)-认证鉴权流程
qq1164014750
12-08 1129
文章目录目标spring security 实现认证鉴权流程认证授权综上所述 目标 了解 spring security 认证授权流程 参考:spring security 实战书籍 前后端分离Spring security 从healer的token获取Session 资源:在线生成ascii字符画网站 spring-security 系列文章 小问题解决:Invalid ON UPDATE clause for ‘create_date’ column spring security 中文文
spring |Spring Security安全框架 —— 认证流程实现
最新发布
鳄鱼杆的博客
10-13 742
介绍的话不多说,就一句:Spring Security 是一个安全管理框架。一般用于中大型项目。小项目使用shiro,shiro上手简单。小项目练手用也是相当可以的。好吧!这是三句话,没跑。SpringSecurity5.7.0之前 - 常见的 Spring HTTP Security 配置类都会继承一个 WebSecurityConfigureAdapter 类。 - 从 5.7.0-M2 起,WebSecurityConfigureAdapter 被废弃了,不推荐使用。 - 组件化,更加灵活。
Spring Security认证鉴权 开启(一)
小蜜蜂
08-06 830
目录 1 简要 2加入pom 3 加入配置 4 WebSecurityConfigurerAdapter 配置 4.1 基本原理 1 简要 Spring Security是一款基于Spring的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架Apache Shiro相比,它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求,并且...
SpringSecurity实现基本认证和授权
yellowswimming的博客
10-17 489
基于SpringSecurity简单认证和授权
Spring Security 鉴权流程
qq_44131750的博客
04-17 1219
参考资料 SpringSecurity原理剖析与权限系统设计 SpringSecurity动态鉴权流程解析 | 掘金新人第二弹 官方文档 Part II. Servlet Applications 上篇笔记详细的介绍了 SpringSecurity认证过程,现在这部分来补充它的动态鉴权部分 鉴权原理 经常能看到下面这张图 整个认证的过程其实一直在围绕图中过滤链的绿色部分,而动态鉴权主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor。 实际上通过 Spring Se
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
详解Spring Security认证流程
08-25
主要介绍了Spring Security认证流程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring Security 认证流程分析
ChunNuanHuaKai____的博客
06-08 778
本文介绍 Spring Security认证基本流程和与认证相关的类、方法的实现原理,让我们更好的了解 Spring Security 的底层实现逻辑。
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 6370
Spring SecuritySpring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
Springsecurity认证流程鉴权流程流程绝对清晰)
qq_60264381的博客
06-14 2701
我们知道在SpringSecurity中,usernamePassword会拦截登录请求,同时调用ProviderManager。ProviderManager内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制也就是说,ProviderManager会决定调用具体AuthenticationProvider实现类来进行认证
spring security如何实现身份认证和授权
weixin_42596246的博客
02-13 263
Spring Security 是一个强大的安全框架,可以实现身份认证和授权。具体实现的方法如下: 定义身份认证:通过配置 AuthenticationManager 并实现身份验证组件(例如用户名/密码验证),Spring Security 可以确保只有认证的用户才能访问系统。 定义授权:通过配置 AccessDecisionManager 并实现授权组件(例如角色授权),Spring Se...
spring security部分源码分析 鉴权流程
weixin_41029286的博客
07-06 350
鉴权流程在FilterSecurityInterceptor中 我们需要先执行登陆的操作,然后访问一个需要有权限鉴定的接口,进入org.springframework.security.web.access.intercept.FilterSecurityInterceptor#doFilter方法 进入org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation org.spring
Security实战之认证流程
little_sc的博客
02-27 585
基于SpringSecurity 6版本,介绍认证流程、实战演示
Spring Security 认证流程详解
qq_37771475的博客
12-24 1466
1、认证流程说明 Spring Security实际上是通过一组过滤器链来对请求进行拦截操作的,如下图所示: 其中UsernamePasswordAuthenticationFilter和BasicAuthenticationFilter是两个核心过滤器。而FilterSecurityInterceptor会对之前这些核心过滤器进行相应判断,并抛出异常(例如身份认证没有通过)...
springsecurity原理流程图.pdf
09-08
认证成功后,Spring Security会将认证信息存储在session中,并通过调用sessionStrategy.onAuthentication方法来处理与session相关的操作。 b. 最终,会执行successfulAuthentication方法,该方法可以被子类覆盖以...
spring security认证过程详解
欢迎来到【战羽】的博客
11-15 1171
spring security 主要有两大功能,即认证和授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
通俗易懂介绍springSecurity认证鉴权流程
weixin_43401380的博客
03-11 2861
权限控制流程     权限控制类框架,不论是shiro还是spring security的权限控制流程都是一致的,核心流程就是:认证+鉴权。     认证通俗的来讲就是校验用户身份,最常见的方式就是根据用户名密码校验用户身份是否正确,当然这个过程中会指定用户拥有哪些权限(即授权,一般是指定哪些URL可以访问)。     鉴权简单来讲就是对于每个请求,看当前已认证过的用户(或是叫做登录成功
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值