Spring Security流程详解

最新推荐文章于 2024-07-24 17:09:39 发布
最新推荐文章于 2024-07-24 17:09:39 发布
阅读量468 收藏 4
点赞数
分类专栏: Spring 文章标签: 安全框架 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzh_2_4/article/details/100859797
版权

安全框架

  • 认证 Authentication
    • 俗称登录
      • 401 认证失败
  • 授权 Authorization
    • 根据角色和权限,决定能够执行哪些操作
      • 403 权限不足

认证的执行流程

  1. 由spring监听器根据spring-security.xml 创建spring-security的对象,并把它们交给spring容器管理

  2. 当一个请求过来,首先经过 DelegatingFilterProxy (代理过滤器),由它将请求交给spring-security 内部的过滤器进行处理(11 个)

  3. UsernamePasswordAuthenticationFilter (基于用户名密码的认证过滤器)

    1. 收集表单数据,将表单数据封装至令牌对象 UsernamePasswordAuthenticationToken

    2. 令牌对象(类型Authentication)中由四个属性

      principal      对应着用户名
credentials    对应着密码
authorities    -- 角色(多个,集合)
authenticated  false 是否已认证

    3. 将令牌信息交给了 authentication-manager(认证管理器对象)

    4. 认证管理器调用认证提供者(authentication-provider)

    5. 再由认证提供者调用 UserDetailService (接口)loadUserByUsername 方法返回一个用户详情对象(UserDetail)

    6. 将用户详情对象返回给 认证管理器, 认证管理器调用一个密码编码器完成密码对比(令牌中的密码和用户详情对象的密码做对比)

    7. 认证通过,更新令牌(类型Authentication)信息

      principal     存储用户详情
credentials   -- 没用了
authorities   角色信息(刚从用户详情中获得的)
authenticated  true(已认证)

    8. 将认证通过的令牌对象存入 securityContext(安全上下文)

[外链图片转存失败(img-IpdyTl1h-1568542117053)(spring security.png)]

springmvc 的工作流程

  1. 请求发送到服务器后,被封装为 request 对象,到达 dispatcherServlet(springmvc 的入口)
  2. HanlderMapping(处理器映射器)
    • 根据请求地址,找到由哪个控制器的哪个方法来处理此请求
    • 其中的一个实现:RequestMappingHandlerMapping 根据 @RequestMapping 注解的路径来进行匹配
    • <mvc:resources <mvc:default-servlet-handler 也会对应一个处理器映射器 SimpleUrlHandlerMapping
  3. HandlerExecutionChain(处理器执行链)
    • 调用控制器对应的哪些拦截器(多个)
    • 调用处理器适配器(HandlerAdapter)
  4. HandlerAdapter(处理器适配器)
    • 调用控制器(controller)
    • 统一返回了 ModelAndView 对象
  5. 再由视图解析器(ViewResolver)
    • 在转发前,会把 model 中的数据存入 request 作用域
    • 将视图名转换为最终的 jsp 路径,并转发到 jsp
  6. 如果执行过程中出现了异常:
    • ExceptionHandlerExceptionResolver(异常解析器)
  7. jsp 动态生成 html 代码,返回响应

[外链图片转存失败(img-N00juDj0-1568542117056)(springmvc.png)]

md5

生成一个签名

  • 只要文件内容一样,那么签名结果也一样
  • 无论原始的内容有多大,最后的签名结果都是固定长度(16个字节)
  • 不可逆,不能根据签名结果回推原始内容
175的小矮子
关注
专栏目录
spring security认证过程详解
CVPR收割机的博客
04-18 3893
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
spring security 流程
qq_21959403的博客
06-22 321
本质: 就是责任链模式,通过一系列的过滤器来实现安全认证。 入口:org.springframework.security.web.FilterChainProxy.class 容器启动后 ,加载一系列的过滤器到 private List<SecurityFilterChain> filterChains; ps: 自定义过滤器通过下面加入 轮到该过滤器执行的时候: 调用私有方法doFilterInternal,里面创建FilterChainProx...
spring-security流程总结简易版(个人总结)
最新发布
2401_82407332的博客
07-24 1519
总结来源:b站up三更整个security的原理其实就是一个过滤器链,内部包含了各种功能的过滤器,其中比较核心的就是关于认证的过滤器、异常处理的过滤器和关于授权的过滤器。
Spring Security 认证执行流程
niceyoo的博客
06-03 507
Spring Security 认证执行流程 本文基于 Spring Security 5.x 推荐阅读: 项目集成Spring Security SpringSecurity 整合 JWT 一、外层-正常登陆调用 项目启动后会自动寻找 UserDetailsService 实现类; 执行 UserDetailsServic...
SpringSecurity详细执行流程
qq_52066082的博客
01-22 1523
SpringSecurity的执行流程超详细讲解,SpringSecurity两大功能认证、授权。
Spring Security运行流程的简单理解
weixin_70312788的博客
08-03 1987
Spring Security运行流程的简单理解
解析SpringSecurity+JWT认证流程实现
08-18
作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤器的,它的设计思想是通过一层层的...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
Spring Security整合Oauth2实现流程详解
09-07
本文将详细讲解如何整合Spring Security与OAuth2,以实现基于password模式的认证。 首先,我们需要创建一个新的Spring Boot项目,并添加必要的依赖。在`pom.xml`文件中,引入Spring SecuritySpring Web、OAuth2的...
springsecurity工作流程
qq_39321234的博客
04-27 1956
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
springsecurity流程
Kirito的博客
04-02 337
SpringSecurity 流程
Claroja
03-25 1150
权限管理系统后端实现1-SpringSecurity执行原理概述
m0_51935008的博客
07-08 606
方法,设置到其中。FilterChainProxy是一个代理,真正起作用的是各个Filter,这些Filter作为Bean被Spring管理,是Spring Security核心,各有各的职责,不直接处理认证和授权,交由认证管理器和决策管理器处理!3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。但拦截器里面的实现需要一些组件来实现,所以就有了。
SpringSecurity工作流程
Cavan_C的博客
07-02 778
工作原理 SpringSecurity过滤器链 SpringSecurity采用的是责任链的设计模式,它有一条很长的过滤器链。 SecurityContextPersistenceFilter会在请求开始时从配置好的SecurityContextRepository中获取SecurityContext,然后把它设置给SecurityContextHolder。在请求完成后将SecurityHolder持有的SecurityContext再保存到配置好的SecurityContextReposit
SpringSecurity主要流程(一)
XiaZhenghang的博客
03-19 210
本文主要是介绍springboot配置springsecurity的大概步骤。 1 添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> &...
springSecurity 认证流程
yuzheh521的博客
01-01 536
认证流程是在UsernamePasswordAuthenticationFilter过滤器中处理的,具体流程如下所示: UsernamePasswordAuthenticationFilter源码 当前端提交的是一个 POST 方式的登录表单请求,就会被该过滤器拦截,并进行身份认证。该过滤器的 doFilter() 方法实现在其抽象父类 AbstractAuthenticationProcessingFilter中,查看相关源码: *** 上述的 第二 过程调用了UsernamePassword
Spring Security OAuth2授权流程详解
"spring-security-oauth2 是一个基于Spring Security的实现OAuth2协议的开源库,用于构建安全的、授权的服务端和客户端应用。这个库详细介绍了OAuth2的四种授权方式:AuthorizationCode,Implicit,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值