Spring Security 4 原理详解

最新推荐文章于 2024-04-22 09:10:46 发布
最新推荐文章于 2024-04-22 09:10:46 发布
阅读量7.6k 收藏 19
点赞数 9
分类专栏: spring-security 文章标签: spring security security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lbqssss/article/details/78971037
版权
本文详细解析了Spring Security的认证与授权过程。从用户登录到Security Context的构建,阐述了核心组件如Security Context、Authentication、UserDetails、GrantedAuthority的作用。通过配置认证管理器、认证provider和访问控制策略,展示了Spring Security如何判断用户权限。同时,介绍了UsernamePasswordAuthenticationFilter的工作原理,以及如何通过自定义UserDetailsService实现复杂的认证逻辑。
摘要由CSDN通过智能技术生成

场景:

  1. 用户通过提交username和password请求登陆
  2. 服务器验证身份信息是否正确
  3. 获取用户信息(包括角色集合)
  4. 利用3中的信息构建Security Context
  5. 在此之后,该用户的所有请求,Spring Security的访问控制机制将根据Security Context中的信息判断用户是否具有权限

以上,前3点即为认证,构建Security Context,为之后5的授权(访问控制)铺垫,SecurityContext中的用户信息也可供应用程序使用。

Spring Security的几个核心组件

1、SecurityContextHolder
用于存储的Security Context,主要是当前会话的Principal,默认是用ThreadLocal存储这些信息;
常用于获取当前用户的相关信息,Spring Security使用Authentication类来封装这些信息,获取当前会话用户的用户名代码如下所示:

 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

    if (principal instanceof UserDetails) {
        String username = ((UserDetails)principal).getUsername();
    } else {
        String username = principal.toString();
    }

代码中的getContext()方法的返回值是一个SecurityContext的实例,就是在完成认证之后存储在ThreadLocal中的对象,主要封装了用户的相关信息。

2、UserDetailsPrincipalAuthentication
Spring Security中使用Authentication存储当前用户的主要信息。
Authentication中存储的是Principal,与UserDetails直接可以 强制转换。
UserDetails是Spring Security中的一个核心接口,作用是充当具体业务逻辑中的用户对象与Spring Security中所需要的Principal的适配器。
UserDetails的源码如下所示:

public abstract interface UserDetails extends Serializable {
   
        public abstract Collection<? extends GrantedAuthority> getAuthorities();

        public abstract String getPassword();

        public abstract String getUsername();

        public abstract boolean isAccountNonExpired();

        public abstract boolean isAccountNonLocked();

        public abstract boolean isCredentialsNonExpired();

        public abstract boolean isEnabled();
    }

由源码可知其主要是用户名、密码、权限列表等信息;因此,通常可以在项目定义个自己的用户对象并实现该接口,重写其getAuthorities()方法即可。目的是为了让项目中具体业务逻辑中的权限信息与Spring Security所需的权限配置对应上。举例部分代码,省略getter与setter方法:

    public class UserPo implements UserDetails{
   

        private String userNo;
        private String username;
        private String password;
        private List<RolePo> roles;

        @Override
        public Collection<? extends GrantedAuthority> getAuthorities() {
            List<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();
            List<RolePo> roles = this.getRoles();
            for(RolePo rp : roles){
                auths.add(new SimpleGrantedAuthority(rp.getRoleName()));
            }
            return auths;
        }
    }

Spring Security提供一个UserDetailsService接口,该接口用于查询并返回一个UserDetails。只要我们实现了该接口,并注入到某

最低0.47元/天 解锁文章
AryaLee
关注
  • 9
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
spring security 入门图解(概述)
10-23 1870
说明:每个颜色代表spring security的一块儿。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
深入理解 AuthenticationManagerBuilder 【源码篇】
最新发布
shenliba的博客
04-22 1216
null) {= null) {首先,我们可以通过调用 parentAuthenticationManager 方法来给一个 AuthenticationManager 设置 parent。inMemoryAuthentication、jdbcAuthentication 以及 userDetailsService 几个方法松哥在之前的文章中都已经介绍过了(),作用就是为了配置数据源,这里就不再赘述。
SpringSecurity 详解(通俗易懂)
风也温柔☆的博客
08-12 1817
2、退出,从SecurityContextHolder中拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token中解析出userId,通过userid查redis,查到(从redis中获取用户信息),查不到 认证失败(重新登录)
Spring Security用户认证流程源码详解
不清不慎的博客
04-21 1万+
上篇文章讲解了Spring Security的基本原理以及如何自定义用户认证逻辑,这篇文章将在上篇的基础上解读Spring Security的源码更清楚的了解它的认证逻辑流程。 本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一、用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求来的时...
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4491
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
Spring Security UserDetails实现原理详解
09-07
理解`UserDetails`和`UserDetailsService`的工作原理对于有效地定制和扩展Spring Security的安全策略至关重要。通过深入学习和实践,我们可以更好地掌握Spring Security,确保应用程序的安全性。
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
Spring Security BCryptPasswordEncoder 密码验证原理详解 Spring Security 中的 BCryptPasswordEncoder 是一种用于密码验证的密码加密器,它可以对密码进行加密和验证。本文将详细介绍 BCryptPasswordEncoder 的...
Spring Security Remember me使用及原理详解
08-25
Spring Security Remember me使用及原理详解 Spring Security是一个广泛使用的安全框架,提供了许多功能来保护Web应用程序。在这些功能中,Remember me是其中的一个重要组件。它允许用户在登录时选择“记住我”,...
Spring Security自定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security的自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程是 SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
Spring security常见用法(一)
攀登Fox的博客
05-05 748
目录1、自定义用户名和密码2、自定义登录成功跳转地址3、自定义登录失败跳转地址4、常见授权匹配方式5、常见内置访问控制方法6、常见角色权限判断方法7、自定义无权限403返回信息 1、自定义用户名和密码 在Spring security中用户名默认为username字段,密码默认为password字段,这些是在过滤器UsernamePasswordAuthenticationFilter中定义好的。...
SpringSecurity之UserDetailsService详解
风归去.
06-25 5591
当什么也没有配置的时候,账号和密码是由 定义生成的。而在实际项目中账号和密码都是从数据 库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 接口即可。接口定义如下:直接看源码 要想返回 UserDetails 的实例就只能返回接口的实现类。SpringSecurity 中提供了如下的实例。对于我们只需要使 用里面的 User 类即可。注意 User 的全限定路径是:org.springframework.security.core.userdetail
Spring boot+Spring Security 4配置整合实例
code__code的专栏
12-26 9万+
本例所覆盖的内容: 1. 使用Spring Security管理用户身份认证、登录退出 2. 用户密码加密及验证 3. 采用数据库的方式实现Spring Security的remember-me功能 4. 获取登录用户信息。 5.使用Spring Security管理url和权限   本例所使用的框架: 1. Spring boot 2. Spring MVC 3. Sprin
SpringSecurity学习笔记之二:SpringSecurity结构及基本配置
zhoucheng05_13的博客
03-05 2959
Spring Security结构Spring Security3.2分为11个模块,如下表所示: 编写简单的安全性配置Spring Security3.2引入了新的Java配置方案,完全不在需要通过XML来配置安全性功能。如下,展现了Spring Security最简单的Java配置:package spitter.config; ...... @Configuration @EnableWeb
SpringSecurity表单用户名和密码登陆
喝醉的咕咕鸟
03-20 2842
流程: 关键点在 :UsernamePasswordAuthenticationFilter:用于处理用户名和密码登陆验证拦截。 public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter { //表单提交的请求参数名称 public stati...
spring security4 实例(小菜完整版)
文艺的小菜也有BUG
07-01 2958
小菜第一次写博客,废话不多说直接开始上干货。主要面对security小白,大牛绕行 第一步:创建web maven工程,不会的可自行与度娘打招呼。 第二步:环境说明。 jdk:1.7  , 剩下可自行观看配置文件。 第三步:展示项目目录结构。 第四步:配置pom.xml文件 http://maven.apache.org/POM/4.0.0" xmlns:xsi="http:/
Spring MVC + Security 4 初体验(Java配置版)
weixin_33755847的博客
03-08 118
spring Version = 4.3.6.RELEASEspringSecurityVersion = 4.2.1.RELEASEGradle 3.0 + Eclipse Neno(4.6) 这篇文章同样是使用的Java配置,而非XML配置,如果你对于Java配置的Spring MVC开发还不太熟悉,可以先看我这篇文章。 Author...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值