spring security认证原理解析

于 2024-03-02 12:02:39 发布
阅读量939 收藏 26
点赞数 22
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lw12345118/article/details/136411409
版权
本文探讨了SpringSecurity相较于Shiro在身份验证、授权、深度集成和社区支持等方面的优点,以及它们在不同应用场景下的适用性,重点解析了SpringSecurity的认证流程核心组件和过程。
摘要由CSDN通过智能技术生成

1.背景

        在学习过程中我们使用了shirospring security,两者作为安全框架也是各有千秋,所有今天就来描述一下spring security比起shiro为什么使用的越来越多,优势是什么以及认证原理

2.区别和优势

       

  1. 区别

    • Shiro:Apache Shiro 是一个功能强大且易于使用的开源安全框架,提供了身份验证、授权、加密、会话管理等功能。Shiro 的设计理念是简单直观,易于集成到各种应用中,适用于各种规模的项目。
    • Spring Security:Spring Security 是 Spring 生态系统中的安全框架,提供了全面的安全解决方案,包括身份验证、授权、会话管理、攻击防护等功能。Spring Security 的设计是基于 Spring 框架的,与 Spring 框架深度集成,适用于基于 Spring 的项目。

  2. 优势

    • Shiro 优势
      • 简单易用:Shiro 的设计简单直观,易于理解和使用。
      • 灵活性:Shiro 提供了丰富的配置选项和可插拔的组件,可以根据需求定制安全策略。
      • 轻量级:Shiro 的核心库相对较小,不依赖其他框架,适合轻量级项目。
    • Spring Security 优势
      • 深度集成:Spring Security 与 Spring 框架深度集成,可以方便地与 Spring 其他模块结合使用。
      • 社区支持:Spring Security 是 Spring 生态系统中的官方安全框架,得到了广泛的社区支持和持续的更新维护。
      • 多样性:Spring Security 提供了丰富的安全功能和扩展点,适用于各种复杂的安全需求。

3.应用场景

  1. 项目类型

    • Shiro:适用于各种规模的项目,特别适合中小型项目或独立的安全认证控制需求。
    • Spring Security:适用于基于 Spring 框架的项目,特别适合需要与 Spring 框架深度集成的大型企业级项目。

  2. 技术栈

    • Shiro:独立于任何框架,可以与各种 Java 技术栈集成,灵活性较高。
    • Spring Security:与 Spring 框架深度集成,提供了与 Spring 其他模块的无缝整合,适合已经使用 Spring 的项目。

  3. 功能需求

    • Shiro:提供了简单直观的身份验证、授权、加密、会话管理等功能,适用于简单的安全控制需求。
    • Spring Security:提供了全面的安全解决方案,包括身份验证、授权、会话管理、攻击防护等功能,适用于复杂的安全控制需求。

4.认证流程

        1.简介

        1.SpringSecurity的本质就是一个过滤器链,内部包含了提供各种功能的过滤器,所有的认证流程都是通过过滤器来完成的,下面就是以下就是具体的认证信息

  1. 用户提交认证请求:用户在应用程序的登录页面输入用户名和密码,提交认证请求。

  2. AuthenticationFilter 进行认证:Spring Security 中的 AuthenticationFilter 拦截认证请求,根据配置的认证方式进行认证处理。

  3. AuthenticationManager 进行身份验证:AuthenticationFilter 将认证信息传递给 AuthenticationManager,AuthenticationManager 负责实际的身份验证过程。

  4. ProviderManager 委托给 AuthenticationProvider:AuthenticationManager 通常会委托给 ProviderManager,ProviderManager 包含多个 AuthenticationProvider,每个 Provider 负责不同类型的认证。

  5. AuthenticationProvider 进行具体认证:AuthenticationProvider 根据配置的认证方式(如用户名密码认证、LDAP 认证等)对用户进行身份验证,验证成功则返回一个经过身份验证的 Authentication 对象。

  6. 认证成功处理:如果认证成功,AuthenticationManager 将认证成功的 Authentication 对象返回给 AuthenticationFilter,AuthenticationFilter 会根据配置的成功处理器(如登录成功跳转页面)进行后续处理。

  7. 认证失败处理:如果认证失败,AuthenticationProvider 会抛出相应的异常,AuthenticationManager 会将异常传递给 AuthenticationFilter,AuthenticationFilter 会根据配置的失败处理器(如登录失败提示)进行后续处理。

  8. 生成认证凭证:认证成功后,Spring Security 会生成一个包含用户信息和权限信息的认证凭证(Authentication)对象,并将其存储在 SecurityContextHolder 中,供后续的权限控制和访问控制使用。

        2.认证流程中的核心类

    Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息
    AuthenticationManager接口:定义了认证Authentication的方法
    UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法
    UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中
    UsernamePasswordAuthenticationFilter实现类:实现了我们最常用的基于用户名和密码的认证逻辑,封装Authentication对象

        3.认证全过程

        1.通过浏览器提交用户名密码

        我们一开始会给我一个默认的登录页面,通过提交 http://localhost:8080/login,在输入默认的用户名称和密码进入

        2.通过提交信息后默认的登录是用UsernamepasswordAuthencitionFilter过滤器去拦截

3.调用AuthenticationManager的authenticate方法进行认证

因为AuthenticationManager中管理了一群Provider,所以调用的就是那一群Provider的authenticate方法进行认证

4.调用DaoAuthenticationProvider的authenticate方法进行认证

5.获得DaoAuthenticationProvider的UserDetailService对象,再调用此对象的loadUserByUsername方法查询用户信息

xiao伟程序员
关注
  • 22
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringSecurity-身份认证原理
陈海龙的格物之路
09-14 867
如果你对SpringSecurity-身份认证原理还不了解,这篇文章可以满足你哦。
spring-security实现自定义登录认证.rar
05-21
首先,让我们了解Spring Security的基本工作原理Spring Security通过一系列拦截器( Filters )来保护我们的应用程序。当用户尝试访问受保护的资源时,这些拦截器会检查用户是否已经通过了身份验证。如果没有,它...
SpringSecurity权限控制实现原理解析
08-24
主要介绍了SpringSecurity权限控制实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
三.SpringSecurity基础-认证原理
墨家巨子@俏如来
08-27 4149
1.认证流程原理 1.1.认证流程 SpringSecurity是基于Filter实现认证和授权,底层通过FilterChainProxy代理去调用各种Filter(Filter链),Filter通过调用AuthenticationManager完成认证 ,通过调用AccessDecisionManager完成授权。流程如下图: SpringSecurity中核心的过滤器链详细如下: SecurityContextPersistenceFilter 这个filter是整个filter链的入口和出口,请
SpringSecurity用户认证过程原理剖析
drama_CJL的博客
02-09 507
1. 用户认证处理流程原理 1.1 AuthenticationFilter 根据拦截链模型,不同的登录方式会有不同的AuthenticationFilter 如果使用的账号密码登录,将被UsernamePasswordAuthenticationFilter进行拦截 通过UsernamePasswordAuthenticationFilter的attemptAuthentication()方...
SpringSecurity系列 之 认证过程和原理
向心行者
06-26 1176
1、前言   在《如何在SpringBoot项目中引入SpringSecurity进行权限控制》中,我们基于SpringBoot + SpringSecurity + Mybatis实现了登录认证相关功能。SpringSecurity 是如何实现登录认证的呢?我们这一节就通过跟踪代码执行的过程,来了解学习认证流程。 2、SpringSecurity过滤器链   SpringSecurity是通过一系列的过滤器实现认证和授权的。其中,SpringSecurity 的过滤器并不是直接内嵌到Servlet Fil
Spring-Security登录认证授权原理
热门推荐
abcwanglinyong的博客
07-10 3万+
spring-security源码下载地址:https://github.com/spring-projects/spring-security Spring-Security源码解读:1.使用ctrl+shift+n组合键查找UsernamePasswordAuthenticationFilter过滤器,该过滤器是用来处理用户认证逻辑的,进入后如图:(1)可以看到它默认的登录请求url是"/lo...
SpringSecurity深度解析与实践(3)
最新发布
12-23
Spring Security深度解析与实践(3)》 在这一部分,我们将深入探讨Spring Security这一强大的安全框架,它为Java企业级应用提供了全面的安全管理解决方案。Spring Security不仅支持身份验证和授权,还具备防止...
Spring Security 实现“记住我”功能及原理解析
08-19
Spring Security 实现“记住我”功能及原理解析 Spring Security 是一个功能强大且灵活的身份验证和授权框架,它提供了许多实用的功能来满足各种安全需求。其中,“记住我”功能是一个非常重要的功能,它允许用户在...
Spring Security单项目权限设计过程解析
08-25
学习 Spring Security 不仅能提升系统的安全性,还能帮助开发者理解 Web 应用的安全原理,为今后的开发工作打下坚实的基础。在实际项目中,还可以根据需求扩展功能,如整合 OAuth2、添加自定义过滤器等,以满足更加...
Spring Security整合CAS的示例代码
08-27
- `CasAuthenticationProvider`是Spring Security认证提供者,它结合了CAS的验证结果并处理用户认证。 - `JdbcUserDetailsManager`用于从数据库加载用户详细信息,这里的配置是基于JDBC的。 - `dataSource`配置...
spring security 认证原理
weixin_43879445的博客
04-11 3222
spring security 认证原理
SpringSecurity认证
亦翼的博客
11-11 784
文章目录SpringSecurity认证的基本原理 & 认证的2种方式过滤器链认证方式 SpringSecurity认证的基本原理 & 认证的2种方式 SpringSecurity框架会默认自动地替我们将系统中的资源进行保护,每次访问资源的时候都必须经过一层身份的校验,如果通过了则重定向到我们输入的url中,否则访问是要被拒绝的。具体的实现主要是由一系列过滤器相互配合完成,也称之为过滤器链。 过滤器链 过滤器是一种典型的AOP思想。Spring Security默认加载15个过滤器,
Spring Security 认证原理
weixin_34277853的博客
10-17 83
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security——认证、授权的工作原理
Guizy
07-22 3355
目录 一、Spring Security 原理 二、Spring Security认证流程 (源码跟踪) 1、AuthenticationProvider 2、UserDetailsService 3、PasswordEncoder 三、Spring Security授权流程 (源码跟踪) 1、授权决策 一、Spring Security 原理 跳转到目录 是基于过滤器链来拦截用户发送的请求; Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对
Markdonw语法
吴大侠的博客
11-25 2596
[TOC] Spring Security功能的实现主要是由一系列过滤器相互配合完 成。也称之为过滤器链,Spring Security默认加载15个过滤器, 但是随着配置可以增加或者删除一些过滤器. 一、过滤器链介绍 过滤器是一种典型的AOP思想,下面简单了解下这些过滤器链,后续再源码剖析中在涉及到过滤器链在 仔细讲解 1.org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter 根据
SpringSecurity原理(二)——认证
trayvontang的博客
05-07 669
文章目录开始PrincipalCredentialsGrantedAuthorityUserDetailsUserDetailsServiceAuthenticationAuthenticationProviderAuthenticationManager与ProviderManagerPasswordEncoderDelegatingPasswordEncoderBCryptPasswordEncoderArgon2PasswordEncoderPbkdf2PasswordEncoderSCryptPas
SpringSecurity执行原理认证
qq_46624276的博客
04-17 213
SpringSecurity原理
SpringSecurity 认证流程源码详细解读
m0_51431003的博客
05-09 1586
如果这些校验都通过,就会将 result 返回。没错,他就是在套娃!点进入去之后,我们来到了 AuthenticationManager 接口,但这只是一个接口,显然不是我们要的,具体的实现代码应该在实现类中,所以我们继续选择 ProviderManager ,他是 AuthenticationManager 接口的一个实现类。点进去,发现这是 AbstractUserDetailsAuthenticationProvider 接口中的方法,而且只有一个实现,那我们继续进入实现类实现的方法。
springsecurity jwt单点登录原理解析
07-27
Spring Security 是一个功能强大的身份验证和访问控制框架,而 JWT(JSON Web Token)是一种用于跨域身份验证的开放标准。使用 Spring Security 和 JWT 实现单点登录可以提供安全的身份验证和无状态的会话管理。 下面是实现单点登录的基本原理: 1. 用户登录:用户通过提供用户名和密码进行认证,并且成功通过验证。 2. 生成 JWT:一旦用户通过认证,服务器会生成一个 JWT,并将其作为响应的一部分返回给客户端。 3. JWT 存储:客户端收到 JWT 后,需要将其存储在本地,通常是在客户端的本地存储或者浏览器的 Cookie 中。 4. 请求时携带 JWT:每次客户端进行请求时,需要将 JWT 添加到请求的头部(通常是 Authorization 头部),以便服务器能够验证用户的身份。 5. 验证 JWT:服务器在接收到请求时,会从请求头部中提取 JWT,并进行验证。验证包括验证令牌的签名、过期时间等信息,以确保令牌的合法性。 6. 访问控制:一旦 JWT 验证成功,服务器将允许用户访问受保护的资源。 7. 单点登录:如果用户需要访问其他受保护的服务,客户端会将 JWT 携带到这些服务的请求中。服务端会对 JWT 进行验证,如果验证通过,则用户无需再次登录,即可访问其他服务。 总结起来,使用 Spring Security 和 JWT 实现单点登录的过程是:用户登录成功后,生成 JWT,并将其存储在客户端。客户端在每次请求时携带 JWT,并通过服务器的验证,以实现身份验证和访问控制。这种无状态的会话管理方式使得服务端无需存储用户的会话信息,提高了系统的可扩展性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值