【登录及鉴权】-盘点那些主流的开源登录及权限认证框架 (上)

最新推荐文章于 2024-06-29 13:20:14 发布
最新推荐文章于 2024-06-29 13:20:14 发布
阅读量7.1k 收藏 28
点赞数 8
分类专栏: 【登录及鉴权】 文章标签: 登录权限 SpringSecurity shiro oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovexiaotaozi/article/details/104119128
版权

登录和鉴权应该是一个完整的系统中几乎必不可少的部分,虽然现在已经有越来越多的框架帮我们简化了这部分工作量,大公司更是有自己专门的登录和权限控制系统,比如阿里的BUC和ACL,开发者仅需要通过简单的步骤便可接入功能完备的登录和权限控制系统,这部分通用能力下沉成为中间件,但没有开源,对小公司而言,登录和鉴权还是得依赖开源的框架,所以在此盘点一下当下最常用的几款登录和鉴权框架:spring-security,apache-shiro,outh2.0.

本专题共分为上下两篇,上篇讲理论,下篇实战.

花絮:什么是RBAC?

开篇前有必要先说一下RBAC,因为目前99%的登录和权限控制框架都是基于RBAC的,RBAC是基于角色的访问控制(Role-Based Access Control)在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。

1.Spring-security

SpringSecurity在前几年似乎并没有今天用的人这么多,因为框架比较重,而且配置繁琐,直到springboot出现,局势开始扭转,现在使用Spring全家桶才是主流.SpringSecurity是通过一系列filter过滤器来实现登录和权限的控制,这么说可能比较笼统.引用一张网图(出处见水印)来描述整个SpringSecurity的登录和鉴权过程:

没看懂?没关系,我简化一下上面的步骤,分为两个过程,登录和鉴权:

登录:用户输入账号和密码,发送表单至服务器,服务器通过对用户输入的密码按照创建时相同的加密方式加密,然后与数据库中的账号密码比对,如果一致就通过登录,否则提示用户,这步比较简单.

重点来看鉴权:

由于SpringSecurity和Shiro都是基于RBAC的,所以原理都如这两张图所示,先获取当前用户的角色,然后根据角色获取权限列表,然后逐个判断是否包含所访问内容的权限.

这样看来是不是非常简单?没错,这正是RBAC的强大之处.

聊完了原理再来看看SpringSecurity的几个核心类:

Authentication

 Authentication是一个接口,用来表示用户认证信息的,在用户登录后会将用户权限等信息封装进去,然后 保存在SecurityContextHolder 所持有的 SecurityContext 上下文中,供后续调用.

SecurityContextHolder

其实也没啥好说的,但它比较重要,还是啰嗦一下,它就是一个线程安全的Holder,里面用ThreadLocal hold了SecurityContext,提供了静态方法供调用者获取SecurityContext.

AuthenticationManager 和 AuthenticationProvider

AuthenticationManager 是一个用来处理认证请求的接口,如果认证成功后会返回一个包含用户权限等详细信息的Authentication对象,AuthenticationProvider其实就是AuthenticationManager的一个默认实现类,认证成功后的Authentication 对象将会保存在当前的 SecurityContext 中.

Authentication

UserDetailsService中定义了一些可以获取用户名、密码、权限等与认证相关的信息的方法,Authentication对象里的内容其实来源于UserDetails.当然最终还是来源于数据库.

关于SprigSecurity的理论部分就啰嗦这么多,下面看看shiro.

 

2.Apache-Shiro

Shiro因为其轻量,使用简单,也受到众多开发者青睐,麻雀虽小,五脏俱全.

Shiro的工作过程如图所示:

Subject:主体,可以狭义的理解为当前要登录的对象.

SecurityManager:安全管理器,即所有与安全有关的操作都会与 SecurityManager 交互,管理所有的主体.

Realm:域,泛指从数据库中获取到的如用户、角色、权限等关联信息.

没啥好解释的,shiro本身就比较简单清晰,结合RBAC理论就更好理解了.

完整的工作流程如下图:

①获取主体Suject->②委托给Security Manager去处理->③实际执行者为Autherticator->④选择指定的认证策略->⑤通过Realm(一般是JDBC Realm)去底层数据库拉取用户及角色和权限信息

3.Oauth2.0

Oauth应该是继单点登录以后最大的一个实用功能了,可以极大的提高用户体验.

Oauth是一种协议,开源的协议,举个实际的例子,各位都应该不陌生,我想登录慕课网,但我并不想注册账号,这时候就可以通过

点击这里,比如我点了QQ,就可以通过QQ账号授权给慕课网,避免我再注册个慕课网的账号

 

授权以后就可以像注册用户一样体验慕课网的全部功能,这种方式真的体验很好,所以Oauth在稍微大一点的系统都会有集成.

关于Oauth的原理我直接引用阮一峰老师的原话:简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用.

单点登录:说简单粗暴一点就是在多个应用系统中只需要登录一次,就可以访问所有彼此信任的系统. 比如我登录了支付宝可以不用再输入账号密码也可以访问淘宝,天猫.

理论部分就啰嗦这么多,有这些基础之后,结合代码就比较好理解了,文中若有不正之处欢迎各路神仙留言斧正.

老汉健身
关注
  • 8
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
主流身份认证授权框架介绍
zenglichuan的博客
06-19 840
CAS作为一个开放的、可扩展的、基于网络的身份认证系统,可以使用多种身份验证协议(如LDAP、Kerberos、OAuth等),支持多种身份验证方式(如用户名密码、智能卡、生物识别等),可以在不同的平台和应用之间实现单点登录、身份认证和授权管理。OpenID Connect基于OAuth 2.0,提供更安全的身份验证和授权的方式,可与SAML、JWT一起使用,用于实现跨企业的身份认证;SAML是基于XML的协议,可以与Shibboleth、LDAP一起使用,用于企业内部和跨企业之间的身份认证和断言交换;
doorkeeper:开源认证鉴权平台,用于应用用户注册,认证,授权,鉴权管理
03-18
用生成的目录 介绍 doorkeeper是一个可扩展的权限认证管理平台,可以在此平台上快速调用权限管理,(不是认证授权框架Shiro \ Spring Security),但可以集成认证授权框架一起使用。这是一个独立的权限配置管理服务的脚手架,用于将登录认证权限验证,权限管理从业务中抽离,可用业务系统快速调用权限功能。 技术选型 Vue,ElementUI前端组件库; SpringBoot Spring全家桶作为应用主框架; jwt令牌认证; MyBatis,MyBatisPlus DAO层; MySQL持久化关系数据库; 概念 域:域表示独立的一块区域,域与域之间的所有数据是隔离的,如用户等。 用户/用户组:用户/用户组在域下唯一,一个用户可以加入多个用户组。用户/用户组都可以进行角色绑定。 委托方:根据项目需求,委托方可以是一个模块,也可以是一个项目。 角色:可以给域或者委
框架分享:登录框架easy-login
最新发布
JQ棣的博客
06-29 754
最近花了两周时间把登录体系代码总结了一下,完成了登录框架easy-login的代码。以此文分享给大家。该登录框架支持密码、本机号码一键登录、微信授权登录(小程序、APP、公众号)、支付宝授权登录(小程序)等。
登录鉴权】-盘点那些主流开源登录权限认证框架 (下)
老汉健身的博客
02-24 3680
前言:接上篇,上篇主要讲理论,下篇讲实战,结合代码演示SpringSecurity,Shiro,Oauth,jwt token以及单点登录等当下主流登录权限管理.在技术上我是个喜新厌旧的渣男,全篇以截至2020年2月最新的Springboot及其它包版本为例演示. 完整的项目我已上传至GitHub,如有需要可以下载下来参考,地址: 1.SpringSecurity 新建一个Spri...
通用鉴权框架
汪子涵的博客
09-07 476
Cookie、Token 的区别 Cookie 主要指 Session ID 存储到 Cookie 中进行的验证的方式,该方式存在一些弊端: 服务端需要存储 Session 信息,扩展性差 跨域资源共享成本高,容易出现权限问题 教室后台无法获取宿主的 Session 信息 Token 是无状态的,服务端不需要保存用户信息,方便服务端扩展,可以跨域共享 客户端流程 宿主端:通过账户名、密码登陆 实现 Token 获取接口(需要特殊处理无网、SDK未初始化的情况) 登出后主动调用教室的 Tok
Spring源代码解析(九):Spring Acegi框架鉴权的实现
jiwenke的专栏
08-16 153
简单分析一下Spring Acegi的源代码实现: Servlet.Filter的实现AuthenticationProcessingFilter启动Web页面的验证过程 - 在AbstractProcessingFilter定义了整个验证过程的模板: [code] public void doFilter(ServletRequest request, ServletRespons...
前后端常用鉴权方式的整理
my_miuye的博客
03-26 780
整理了4种目前常用的前后端鉴权方式。
rocketmq-console控制台已增加ACL鉴权和配置控制台登录验证
02-24
RocketMQ是阿里巴巴开源的一款分布式消息中间件,广泛应用于大数据、实时计算、微服务等领域。RocketMQ Console是其官方提供的管理控制台,用于监控、管理和运维RocketMQ集群。在这个更新中,RocketMQ Console增加了...
JavaEE主流开源框架-Hibernate教程rmvb格式.zip
05-19
Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,它将POJO与数据库表建立映射关系,是一个全自动的orm框架,hibernate可以自动生成SQL语句,自动执行,使得Java程序员可以...
Go-Kratos是bilibili开源的一套Go微服务框架包含大量微服务相关框架及工具。
08-13
Go-Kratos是由著名视频分享网站B站(bilibili)开源的一款强大的Go语言微服务框架,它旨在为开发者提供一套完整的微服务解决方案。在深入理解Go-Kratos之前,我们先来了解一下微服务架构的基本概念。微服务架构是一...
开源多租户IDaas产品-MaxKey 单点登录认证系统 v3.5.6GA官方源代码
09-07
是业界领先的IAM身份管理和认证产品,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供安全、标准和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)、RBAC权限管理和资源管理等。...
前后端常见的几种鉴权方式(小结)
11-30
最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。 目前我们常用的鉴权有四种: HTTP Basic Authentication session-cookie Token 验证 OAuth(开放授权) 一.HTTP Basic Authentication    这种授权方式是浏览器遵守http协议实现的基本授权方式,HTTP协议进行通信的过程中,HTTP协议定义了基本认证认证允许HTTP服务器对客户端进行用户身份证的方法。 认证过程:   1. 客户端向服务器请求数据,请求
CryptID:用于单点登录身份验证的开放框架-开源
07-17
CryptID 是一种开放框架,可将单点登录 (SSO) 身份验证与任何符合标准的基于 LDAP 的身份验证服务连接起来。 如果您想针对 Active Directory 集群或 LDAP 服务器安全地验证旧服务,例如 smtp、pop3 或 http,CryptID...
开源权限控制框架Uniauth简介
热门推荐
dianrong_opensource的博客
03-10 1万+
导语 Uniauth是一个基于CAS和Spring Security开源产品而开发的权限控制框架,它的目标是服务于点融网内部的各个子系统,只要集成了该框架,就能以很小的代价实现认证和授权功能。而权限设计是开发系统中不可规避的一个环节。 代码开源:https://github.com/dianrong/UniAuth 为什么做权限控制框架每个公司内部都有大量的子系统,点融网也不例外。
常用的框架
qq_43558848的博客
04-01 123
锵锵锵,今天给大家分享的是我们在做项目时常用到的框架Spring 首先Spring是一个开源轻量级的IOC和AOP的容量框架Spring主流框架提供了很好的集成支持,比如Hibernate和SpringMvc等。 1,IOC:控制反转,简单来说就是以前我们需要自己New对象的这个操做现在由Spring容器使用工厂模式为我们来创建,我们直接调用即可。 2,AOP:面向切面,本质就是拦截器...
Java认证鉴权框架:Sa-Token
love_eat_peach的博客
06-06 2521
(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)?SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"))
sa-token 鉴权框架springboot集成)
qq_34751170的博客
03-07 2473
一个轻量级java权限认证框架,让鉴权变得简单、优雅(官方文档描述 哈哈) 一、pom依赖 <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.27.0</version> </dependency> 二、yml文件配置
登录功能框架
chenglon321的博客
04-22 861
## 登陆功能 @app.route('/',methods=['POST','GET']) def login(): if request.method == 'POST': # 判断用户点击的是登陆按钮,还是注册按钮 name = request.values.get('name') if name == '注册': return render_template('register.html') ...
权限鉴权处理框架
2201_75382167的博客
03-14 498
权限鉴权处理框架 1.OAuth2、shirospring Security、jwt 2.单点登录解决方案 3.权限的基本模型
ant-design-vue+springboot 开源集成框架
10-04
ant-design-vue springboot开源集成框架提供了一种将ant-design-vue前端组件库与springboot后端框架集成的解决方案。ant-design-vue是一个优秀的前端UI框架,提供了丰富的组件和样式库,可以帮助开发者快速构建出美观且易于使用的用户界面。 在传统的前后端分离开发中,前端开发者需要自行选择UI框架,并通过RESTful接口与后端进行通信。而使用ant-design-vue springboot开源集成框架,可以直接使用ant-design-vue提供的组件,无需繁琐地搭建UI,同时可以通过框架提供的API与后端进行交互,简化了前后端的协作流程。 具体来说,ant-design-vue springboot开源集成框架基于springboot框架和vue.js框架,提供了一套配置文件和样板代码,用于快速搭建前后端集成项目。框架中已经集成了ant-design-vue的组件库,并提供了一些自定义的样式和组件,使得开发者可以更方便地使用ant-design-vue的组件来构建用户界面。 同时,框架还提供了一些配置选项和API,用于与后端进行通信。开发者可以通过配置选项设置后端接口的URL,然后在前端代码中直接调用框架提供的API方法来发送请求和接收响应。这样,前端与后端之间的数据传输将更加方便和高效。 总之,ant-design-vue springboot开源集成框架是一个优秀的解决方案,可以帮助开发者快速搭建出前后端集成的项目,并使用ant-design-vue提供的丰富组件来构建美观且易于使用的用户界面。有了这个框架的帮助,开发者可以更专注于业务逻辑的实现,提高开发效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值