Spring Security介绍

最新推荐文章于 2024-09-26 00:15:00 发布
最新推荐文章于 2024-09-26 00:15:00 发布
阅读量2w 收藏 280
点赞数 38
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li123128/article/details/109467289
版权
本文详细介绍了Spring Security的架构,包括认证、权限拦截、数据库管理和权限缓存,以及如何自定义决策。文章还涵盖了快速搭建Spring Boot + Spring Security环境,并通过实例展示了权限控制的使用。Spring Security通过过滤器链处理用户请求,实现基于角色的访问控制,可扩展自定义的决策管理器,并支持数据库管理和缓存机制。
摘要由CSDN通过智能技术生成

文章主要分三部分
1、Spring Security的架构及核心组件:(1)认证;(2)权限拦截;(3)数据库管理;(4)权限缓存;(5)自定义决策;
2、环境搭建与使用,使用当前热门的Spring Boot来搭建环境,结合项目中实际的例子来做几个Case;
3、Spring Security的优缺点总结,结合第二部分中几个Case的实现来总结Spring Security的优点和缺点。

1、Spring Security介绍

​ 整体介绍,Spring Security为基于J2EE开发的企业应用软件提供了全面的安全服务,特别是使用Spring开发的企业软件项目,如果你熟悉Spring,尤其是Spring的依赖注入原理,这将帮助你更快掌握Spring Security,目前使用Spring Security有很多原因,通常因为在J2EE的Servlet规范和EJB规范中找不到典型应用场景的解决方案,提到这些规范,特别要指出的是它们不能在WAR或EAR级别进行移植,这样如果你需要更换服务器环境,就要在新的目标环境中进行大量的工作,对你的应用进行重新配置安全,使用Spring Security就解决了这些问题,也为你提供了很多很有用的可定制的安全特性。
​ Spring Security包含三个主要的组件:SecurityContextAuthenticationManagerAccessDecisionManager.

Spring Security主要组件图

图1-1 Spring Security主要组件

1.1 认证

​ Spring Security提供了很多过滤器,它们拦截Servlet请求,并将这些请求转交给认证处理过滤器和访问决策过滤器进行处理,并强制安全性认证用户身份和用户权限以达到保护WEB资源的目的,Spring Security安全机制包括两个主要的操作,认证验证,验证也可以称为权限控制,这是Spring Security两个主要的方向,认证是为用户建立一个他所声明的主体的过程,这个主体一般是指用户设备或可以在系统中执行行动的其他系统,验证指用户能否在应用中执行某个操作,在到达授权判断之前身份的主体已经由身份认证过程建立了。下面列出几种常用认证模式,这里不对它们作详细介绍,需要详细了解的老铁们可以自行查查对应的资料。

  1. BasicHTTP1.0提出,一种基于challenge/response的认证模式,针对特定的realm需要提供用户名和密码认证后才可访问,其中密码使用明文传输。缺点:①无状态导致每次通信都要带上认证信息,即使是已经认证过的资源;②传输安全性不足,认证信息用Base64编码,基本就是明文传输,很容易对报文截取并盗用认证信息。
  2. DigestHTTP1.1提出,它主要是为了解决Basic模式安全问题,用于替代原来的Basic认证模式,Digest认证也是采用challenge/response认证模式,基本的认证流程比较类似。Digest模式避免了密码在网络上明文传输,提高了安全性,但它仍然存在缺点,例如认证报文被攻击者拦截到攻击者可以获取到资源。
  3. X.509:证书认证,X.509是一种非常通用的证书格式,证书包含版本号、序列号(唯一)、签名、颁发者、有效期、主体、主体公钥。
  4. LDAP:轻量级目录访问协议(Lightweight Directory Access Protocol)。
  5. Form:基于表单的认证模式。

1.2 权限拦截

image-20201024122405276

图1-2 用户请求

图1-3 过滤器

​ Spring Security提供了很多过滤器,其中SecurityContextPersistenceFilterUsernamePasswordAuthenticationFilterFilterSecurityInterceptor分别对应SecurityContextAuthenticationManagerAccessDecisionManager的处理。

Spring Security过滤链流程图

图1-4 Spring Security过滤链流程图

下面分别介绍各个过滤器的功能。

过滤器 描述
WebAsyncManagerIntegrationFilter 设置SecurityContext到异步线程中,用于获取用户上下文信息
SecurityContextPersistenceFilter 整个请求过程中SecurityContext的创建和清理
1.未登录,SecurityContext为null,创建一个新的ThreadLocalSecurityContext填充SecurityContextHolder.
2.已登录,从SecurityContextRepository获取的SecurityContext对象.
两个请求完成后都清空SecurityContextHolder,并更新SecurityContextRepository
HeaderWriterFilter 添加头信息到响应对象
CsrfFilter 防止csrf攻击(跨站请求伪造)的过滤器
LogoutFilter 登出处理
UsernamePasswordAuthenticationFilter 获取表单用户名和密码,处理基于表单的登录请求
DefaultLoginPageGeneratingFilter 配置登录页面
BasicAuthenticationFilter 检测和处理http basic认证,将结果放进SecurityContextHolder
RequestCacheAwareFilter 处理请求request的缓存
SecurityContextHolderAwareRequestFilter 包装请求request,便于访问SecurityContextHolder
AnonymousAuthenticationFilter 匿名身份过滤器,不存在用户信息时调用该过滤器
SessionManagementFilter 检测有用户登录认证时做相应的session管理
ExceptionTranslationFilter 处理AccessDeniedException访问异常和AuthenticationException认证异常
FilterSecurityInterceptor 检测用户是否具有访问资源路径的权限

1.3 数据库管理

Spring Security核心处理流程

图1-5 Spring Security核心处理流程

​ 上图展示的Spring Security核心处理流程。当一个用户登录时,会先进行身份认证,如果身份认证未通过会要求用户重新认证,当用户身份证通过后就会调用角色管理器判断他是否可以访问,这里,如果要实现数据库管理用户及权限,就需要自定义用户登录功能,Spring Security已经提供好了一个接口UserDetailsService

package org.springframework.security.core.userdetails;

public interface UserDetailsService {
	
	/**
	 * Locates the user based on the username. In the actual implementation, the search
	 * may possibly be case sensitive, or case insensitive depending on how the
	 * implementation instance is configured. In this case, the <code>UserDetails</code>
	 * object that comes back may have a username that is of a different case than what
	 * was actually requested..
	 *
	 * @param username the username identifying the user whose data is required.
	 *
	 * @return a fully populated user record (never <code>null</code>)
	 *
	 * @throws UsernameNotFoundException if the user could not be found or the user has no
	 * GrantedAuthority
	 */
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
    
}

​ UserDetailService该接口只有一个方法,通过方法名可以看出方法是通过用户名来获取用户信息的,但返回结果是UserDetails对象,UserDetails也是一个接口,接口中任何一个方法返回false用户的凭证就会被视为无效。

package org.springframework.security.core.userdetails;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;

import java.io.Serializable;
import java.util.Collection;

/**
 * Provides core user information.
 *
 * <p>
 * Implementations are not used directly by Spring Security for security purposes. They
 * simply store user information which is later encapsulated into {
    @link Authentication}
 * objects. This allows non-security related user information (such as email addresses,
 * telephone numbers etc) to be stored in a convenient location.
 * <p>
 * Concrete implementations must take particular care to ensure the non-null contract
 * detailed for each method is enforced. See
 * {
    @link org.springframework.security.core.userdetails.User} for a reference
 * implementation (which you might like to extend or use in your code).
 *
 * @see UserDetailsSe
最低0.47元/天 解锁文章
liudahai777
关注
springboot和springsercurity整合实现登录验证增删改功能
10-16
springboot和springsercurity整合实现登录验证增删改功能,hibernate
权限控制与安全认证 Spring Security
张锦的博客
06-11 881
仅为个人学习使用。
SpringSecurity
最新发布
wang_san_sui_的博客
09-26 1096
当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。接口定义如下:@Bean@Service@Autowired@Override//1. 查询数据库判断用户名是否存在,如果不存在抛出UsernameNotFoundExceptionif(!
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 12万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 4141
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.pdf
05-24
Spring Security是一个功能强大、高度定制的安全框架,它专门用于为基于Spring的应用程序提供安全性解决方案。Spring Security架构的设计初衷是为了解决认证和授权的需求,确保应用程序的安全性。它提供了全面的安全...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
SpringSecurity-springsecurity
09-14
SpringSecurity springsecurity springsecurity springsecurity springsecurity springsecurity
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1302
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
SpringSecurity超详细入门介绍
波波烤鸭的博客
12-02 2万+
  权限管理是我们项目中必不可少的一环,实际项目中我们可以自己设计权限管理模块,也可以使用市面上成熟的权限管理框架,比如 shiro或者 SpringSecurity等,前面已经详细的介绍过了 shiro 的使用,本文开始就给大家详细的来介绍SpringSecurity的使用。 内容包括 spring+springmvc基于配置的方式详细介绍SpringSecurity springboot整...
关于SpringBoot整合Security认证授权的使用和介绍
gzx233的博客
07-27 772
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
spring security详解
wumingdu1234的博客
07-15 7097
1.概要 Spring是非常流行和成功的Java应用开发框架,SpringSecurity正是Spring家族中的成员。SpringSecurity基于Spring框架,提供了一套Web应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity重要核心功能。 (1)用户认证指的是:验证某个用户是否为系统
SpringSecurity详解
m0_71012114的博客
10-19 5065
本文详解介绍security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
springsecurity介绍
04-15
Spring Security是一个基于Spring框架的安全性解决方案,用于保护Java应用程序的安全性。它提供了一套全面的安全性功能,包括身份验证、授权、密码管理和会话管理等。 Spring Security的主要特点包括: 1. 身份验证(Authentication):Spring Security支持多种身份验证方式,包括基于表单、基于HTTP基本认证、基于LDAP等。它还支持自定义身份验证方式。 2. 授权(Authorization):Spring Security提供了细粒度的授权机制,可以通过注解或配置文件来定义访问控制规则。它支持基于角色(Role)和基于权限(Permission)的授权方式。 3. 密码管理(Password Management):Spring Security提供了安全的密码存储和验证机制,可以对密码进行加密和解密操作,以保护用户密码的安全性。 4. 会话管理(Session Management):Spring Security支持会话管理功能,可以管理用户的会话状态,包括会话超时、并发登录控制等。 5. CSRF防护(CSRF Protection):Spring Security提供了跨站请求伪造(CSRF)防护功能,可以防止恶意攻击者利用用户的身份进行非法操作。 6. 记住我(Remember Me):Spring Security支持“记住我”功能,可以在用户下次访问时自动登录,提高用户体验。 7. 安全事件监听(Security Event Listeners):Spring Security提供了安全事件监听机制,可以监听用户登录、注销等安全事件,并进行相应的处理。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值