SpringSecurity权限记录

已于 2022-01-27 12:25:08 修改
阅读量882 收藏
点赞数
分类专栏: Spring 文章标签: java spring
于 2022-01-24 17:11:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luman1991/article/details/122669606
版权

server

1、访问过滤器
code模式访问:http://localhost:8000/oauth/authorize?response_type=code&client_id=test_client&scope=read&state=test&redirect_uri=http://baidu.com
AnonymousAuthenticationFilter拦截进入登陆页面
if (SecurityContextHolder.getContext().getAuthentication() == null) {
SecurityContextHolder.getContext().setAuthentication(
createAuthentication((HttpServletRequest) req));
}
2、AbstractSecurityInterceptor spring SPEL比对类方法信息,属性比较
this.accessDecisionManager.decide(authenticated, object, attributes);
( spel初始化见:ExpressionBasedFilterInvocationSecurityMetadataSource WebExpressionConfigAttribute)
代码例子

 @Test
    public void expressionParserTest() {
        ExpressionParser parser = new SpelExpressionParser();
        Expression exp = parser.parseExpression("permitAll()");
        //使用自定义容器
        StandardEvaluationContext ctx = new StandardEvaluationContext();
        ctx.setRootObject(new SecurityExpressionRoot());
        System.out.println(exp.getValue(ctx));
    }
    class SecurityExpressionRoot {
        public final boolean permitAll() {
            return true;
        }
        public final boolean denyAll() {
            return false;
        }
    }

3、认证
AbstractUserDetailsAuthenticationProvider
用户信息校验

 Oauth2.0
AuthorizationEndpoint

4、auth session认证管理
SecurityContextPersistenceFilter
key = SPRING_SECURITY_CONTEXT

client

1、初始化启动客户端服务
ResourceServerProperties implements InitializingBean
RestTemplate Get http://localhost:8888/oauth/token_key. base64(clientID+clientSecret)

2、服务端解析token_key参数
BasicAuthenticationFilter Base64.getDecoder().decode(base64Token)

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(tokens[0], tokens[1]);

认证用户名密码
Authentication authResult = this.authenticationManager.authenticate(authRequest);

认证通过访问TokenKeyEndpoint
返回jwt signingKey

3、客户端生成JwtAccessTokenConverter

4、第一次访问客户端资源
http://localhost:8090/crm/system/profile

5、客户端拦截

备注:
重定向策略代码DefaultRedirectStrategy sendRedirect
路径匹配:AntPathRequestMatcher
accessToken存储容器:DefaultOAuth2ClientContext

AnonymousAuthenticationFilter设备匿名认证信息
AbstractSecurityInterceptor拦截进入客户端登陆URL http://localhost:8090/crm/login

OAuth2ClientAuthenticationProcessingFilter
accessToken = restTemplate.getAccessToken();

OAuth2RestTemplate从DefaultOAuth2ClientContext获取accessToken
如果accessToken null,获取是否请求信息accessTokenRequest,null抛异常AccessTokenRequiredException重定向,否则AuthorizationCodeAccessTokenProvider获取accessToken = accessTokenProvider.obtainAccessToken(resource, accessTokenRequest);

客户端重定向认证URL
http://localhost:8888/oauth/authorize?client_id=crm&redirect_uri=http://localhost:8090/crm/login&response_type=code&state=aRXrJ9

服务端重定向登陆URL
http://localhost:8888/login

输入用户名密码

服务端重定向认证URL
http://localhost:8888/oauth/authorize?client_id=crm&redirect_uri=http://localhost:8090/crm/login&response_type=code&state=64Fy61

服务端重定向资源服务
http://localhost:8090/crm/login?code=T49ae2&state=64Fy61

后续客户端获取token

sesseion

SessionConfig getSessionCookieName

过滤器

AbstractAuthenticationProcessingFilter

if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);

			return;
		}
xlj3
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 动态权限实现方案
JavaShark的博客
06-24 3377
最近在做 TienChin 项目,用的是 RuoYi-Vue 脚手架,在这个脚手架中,访问某个接口需要什么权限,这个是在代码中硬编码的,具体怎么实现的,松哥下篇文章来和大家分析,有的小伙伴可能希望能让这个东西像 vhr 一样,可以在数据库中动态配置,因此这篇文章和小伙伴们简单介绍下 Spring Security 中的动态权限方案,以便于小伙伴们更好的理解 TienChin 项目中的权限方案。通过代码来配置 URL 拦截规则和请求 URL 所需要的权限,这样就比较死板,如果想要调整访问某一个 URL 所需要
Spring Security使用记录
chenzeyu110的博客
10-29 484
文章目录**1.概念介绍****1.1权限管理****1.2完成权限管理需要三个对象****1.3Spring Security****1.3.1创建web工程并导入jar包** 1.概念介绍 1.1权限管理 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统中,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个重要的名词: 认证:通过用户名和密码成功登陆系统之后,让系统得到当前用户的角色身份 授权:系统根据当前用户的角色,
(CRM开发)Spring-Security配置笔记
lowkey_2011的专栏
06-18 428
基本的配置步骤就是 web.xml ->
8-SpringSecurity:RemeberMe及Base64编码
Heartsuit的博客
12-27 362
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。 SpringSecurity提供了开箱即用的remember-me功能,就是长下面这样: 直接在5-SpringSecurity:RBAC及方法授权的项目 springboot-security-rbac 中进行实验 ,核心依赖为 Web 与 SpringSecurity : <dependencies> <dependency>
servlet的优化
weixin_43521028的博客
10-10 416
反射api语法 UserServlet使用反射优化代码 service方法使用反射优化处理不同的请求 //重写了service方法,就不走doGet或doPost方法了 @Override protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //目标:实现一个servlet处理多个请求 //1.获取
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
1. **自定义权限注解**:在Spring Security中,可以通过注解来控制方法的访问权限。对于按钮级别的权限控制,可以创建自定义的注解。 2. **权限检查**:通过自定义的权限注解,可以在控制器方法执行前检查用户是否...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Grails + Spring Security 权限控制
09-14
《Grails + Spring Security 权限控制》 在Web应用开发中,权限控制是不可或缺的一环,它确保了用户只能访问他们被授权的功能和数据。本文将深入探讨如何在Grails框架中集成Spring Security,实现高效且灵活的权限...
SpringSecurity 笔记
爱折腾的技术人
10-25 2528
SpringSecurity 笔记...
Spring Boot】SecurityContextHolder.getContext().getAuthentication()为null的情况
小哲的博客
03-23 1万+
SecurityContextHolder.getContext().getAuthentication()为null的情况 问题描述 在登录的时候,用如下方法获取输入的用户名: /** * 获得当前用户名称 */ private String getUsername() { String username = SecurityContextHolder.getContext().ge...
springsecurity oauth2.0 认证与授权会话管理7
健康平安的活着的专栏
08-14 1030
一 会话 1.1 做会话原因 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。 1.2 实现会话的原理 1.spring security提供会话管 理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取 用户身份。 2.Spring Security获取当前登录用户信息的方法为: SecurityContextHolder.getContext().getAuthenticatio
Spring SecuritySecurityContextHolder.getContext().getAuthentication() 详解介绍
最新发布
weixin_45428910的博客
10-26 598
Spring SecuritySecurityContextHolder.getContext().getAuthentication() 详解介绍
项目中使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1651
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
Spring Security——核心类简介——获得登录用户的相关信息
人随皇天后土心随身来去
05-13 320
Spring Security——核心类简介——获得登录用户的相关信息核心类简介1.1 Authentication1.2 SecurityContextHolder1.3 AuthenticationManager和AuthenticationProvider1.3.1 认证成功后清除凭证1.4 UserDetailsService1.4.1 Jdbc...
Spring Security Oauth2 单点登录案例实现和执行流程剖析
朝雨忆轻尘
12-07 984
在线演示 演示地址:http://139.196.87.48:9002/kitty 用户名:admin 密码:admin Spring Security Oauth2 OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本。OAuth2在“客户端”与“服务提供商”之间,设置了一个授权层(authorization layer)。“客户端”不能直接登录“服务提供...
前后端分离Oauth2.0 - springsecurity + spring-authorization-server —授权码模式
qjyn1314的博客
11-08 8929
前后端分离的Oauth2.0实践-授权码模式
怎么样判断accesstoken是否过期
pengfeifei26的专栏
12-24 7373
用code去换取token的时候,会返回三个参数:现在的accesstoken的有效期是一个月,refreshtoken的有效期是两个月,expirein是过期时间(生命期,从获得的时刻起的剩余有效时间,以秒为单位);第一次登陆的时候需要和用户的人人uid一起与网站uid关联起来,还需要保存accesstoken的获取时间,以后调接口发新鲜事的时候先判断一下accesstoken是否过期,算法:现...
SpringSecurity权限框架详解
在本文档中,我们将探讨权限框架的基本概念,特别是SpringSecurity这一广泛应用的安全框架。 权限系统通常分为三个层次:功能级别、操作级别和数据级别。功能级别涉及用户可以看到哪些菜单或界面元素;操作级别关注...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值