spring security 学习笔记

最新推荐文章于 2022-10-22 11:35:11 发布
最新推荐文章于 2022-10-22 11:35:11 发布
阅读量140 收藏
点赞数
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mlz_2/article/details/121036466
版权

springframework.security几个关键类及结构

  • 1.org.springframework.security.web.access.interceptFilterSecurityInterceptor

    • Filter
      • doFilter
        • FilterInvocation.invoke
          • beforeInvocation
            • SecurityContextHolder.getContext().getAuthentication()
            • authenticationManager.authenticate(authentication)
            • accessDecisionManager.decide(authenticated, object, attributes)
          • getChain().doFilter
          • afterInvocation
            • afterInvocationManager.decide(token.getSecurityContext().getAuthentication(), token.getSecureObject(), token.getAttributes(), returnedObject)
    • AbstractSecurityInterceptor
      • AuthenticationManager
      • AfterInvocationManager
        • AfterInvocationProviderManager
      • AccessDecisionManager
        • AbstractAccessDecisionManager
          • AffirmativeBased
          • ConsensusBased
          • UnanimousBased

  • 2.org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor

    • org.aopalliance.intercept.MethodInterceptor
      • org.aopalliance.aop.Advice.Interceptor
        • org.aopalliance.aop.Advice
    • AbstractSecurityInterceptor

  • 3.org.springframework.security.access.intercept.aspectj.AspectJMethodSecurityInterceptor

    • MethodInterceptor

  • 4.AuthenticationEntryPoint,主要是commence方法统一异常,由用户自定义实现

  • 5.AuthenticationManager, 用于验证,Processes an Authentication request

spring security过滤器设置先后顺序

FilterComparator 设置过滤器执行链

 FilterComparator.Step order = new FilterComparator.Step(100, 100);
 this.put(ChannelProcessingFilter.class, order.next());
 this.put(ConcurrentSessionFilter.class, order.next());
 this.put(WebAsyncManagerIntegrationFilter.class, order.next());
 this.put(SecurityContextPersistenceFilter.class, order.next());
 this.put(HeaderWriterFilter.class, order.next());
 this.put(CorsFilter.class, order.next());
 this.put(CsrfFilter.class, order.next());
 this.put(LogoutFilter.class, order.next());
 this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2AuthorizationRequestRedirectFilter", order.next());
 this.filterToOrder.put("org.springframework.security.saml2.provider.service.servlet.filter.Saml2WebSsoAuthenticationRequestFilter", order.next());
 this.put(X509AuthenticationFilter.class, order.next());
 this.put(AbstractPreAuthenticatedProcessingFilter.class, order.next());
 this.filterToOrder.put("org.springframework.security.cas.web.CasAuthenticationFilter", order.next());
 this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2LoginAuthenticationFilter", order.next());
 this.filterToOrder.put("org.springframework.security.saml2.provider.service.servlet.filter.Saml2WebSsoAuthenticationFilter", order.next());
 this.put(UsernamePasswordAuthenticationFilter.class, order.next());
 this.put(ConcurrentSessionFilter.class, order.next());
 this.filterToOrder.put("org.springframework.security.openid.OpenIDAuthenticationFilter", order.next());
 this.put(DefaultLoginPageGeneratingFilter.class, order.next());
 this.put(DefaultLogoutPageGeneratingFilter.class, order.next());
 this.put(ConcurrentSessionFilter.class, order.next());
 this.put(DigestAuthenticationFilter.class, order.next());
 this.filterToOrder.put("org.springframework.security.oauth2.server.resource.web.BearerTokenAuthenticationFilter", order.next());
 this.put(BasicAuthenticationFilter.class, order.next());
 this.put(RequestCacheAwareFilter.class, order.next());
 this.put(SecurityContextHolderAwareRequestFilter.class, order.next());
 this.put(JaasApiIntegrationFilter.class, order.next());
 this.put(RememberMeAuthenticationFilter.class, order.next());
 this.put(AnonymousAuthenticationFilter.class, order.next());
 this.filterToOrder.put("org.springframework.security.oauth2.client.web.OAuth2AuthorizationCodeGrantFilter", order.next());
 this.put(SessionManagementFilter.class, order.next());
 this.put(ExceptionTranslationFilter.class, order.next());
 this.put(FilterSecurityInterceptor.class, order.next());
 this.put(SwitchUserFilter.class, order.next());

oauth2关键类

  • OAuth2AuthenticationProcessingFilter OAuth2的Filter
    • doFilter
      • tokenExtractor.extract
      • authenticationManager.authenticate
      • 成功,publishAuthenticationSuccessSecurityContextHolder.getContext().setAuthentication
      • 失败,authenticationEntryPoint.commence
  • OAuth2AuthenticationManager
    • ResourceServerTokenServices
      • DefaultTokenServices 实现类
        • loadAuthentication 方法
        • readAccessToken 方法
        • TokenStore 依赖
          • RedisTemplateTokenStore 实现类
            • getAccessToken 方法
            • removeRefreshToken 方法
            • removeAccessToken 方法
    • ClientDetailsService
      • RedisClientDetailsService,在Redis中缓存JdbcClientDetailsService维护的ClientDetails
      • JdbcClientDetailsServiceClientDetails最终存储于数据库中
  • BearerTokenExtractor
  • OAuth2AuthenticationEntryPoint,统一的异常处理类
suanday_sunny
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决:org.springframework.security.access.AccessDeniedException: Access is denied
东天里的冬天
06-30 6万+
最近在使用SpringSecurity时涉及到从数据库中获取用户,结果一直报错,错误如下 Secure object: FilterInvocation: URL: /index.jsp; Attributes: [hasRole('ROLE_USER')] 2017-06-29 23:02:27 731 [DEBUG] Previously Authenticated: org.springf
SpringsecurityMethodSecurityInterceptor
weixin_33716154的博客
09-06 1412
2019独角兽企业重金招聘Python工程师标准>>> ...
spring security 2.0 的简单配置使用(补)——用aop控制method级权限
孙宁振的专栏
08-18 206
上次写了spring security 2.0 的简单配置使用 ,这里再做一下补充。 method级别的权限控制可以通过spring aop来实现。 pointcut: <aop:config> <aop:pointcut id="securityPointcut" expression="execution(** org.cats...
AccessDeniedException: spring security 认证中的一个小坑(bug集2)
pingzhuyan的博客
01-14 632
情况: 后端测试成功,前端对接测试的时候 出现这个问题 org.springframework.security.access.AccessDeniedException: 不允许访问 at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:73) at org.springframework.security.access.intercept.Abstract...
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 7736
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话...通过深入学习和实践,我们可以更好地掌握SpringSecurity,为我们的应用构建坚固的安全防线。
Spring Security笔记.rar
05-07
Spring Security 是一个强大的且高度可定制的框架,用于为Java应用程序提供身份验证和授权服务。它主要用于保护基于Spring的...通过学习笔记,你可以逐步掌握Spring Security的基础知识,并将其运用到实际项目中。
Spring学习笔记.zip
03-18
根据提供的压缩包文件名,我们可以推测这是一个逐步学习Spring的系列笔记。从"Spring_day1"开始,可能涵盖了Spring的基础概念、环境搭建和基本配置。"Spring_day2"可能涉及了依赖注入和AOP的深入讲解。"Spring_day3...
怎样设置methodSecurityInterceptor过滤bean,及他的实现流程?请教!
earthsky
06-04 582
[b]现在作一个acegi 项目,能不能同时实现 资源的URl和method的控制?[/b] 在methodSecurityInterceptor过滤bean中内部是怎样实现的? [b]致谢[/b] [color=red]这是我的理解:是不是同spring的aop拦截methodSecurityInterceptor过滤bean,之后对方法的验证和授权?从db中得到authori...
spring security部分源码分析 鉴权流程
weixin_41029286的博客
07-06 293
鉴权的流程在FilterSecurityInterceptor中 我们需要先执行登陆的操作,然后访问一个需要有权限鉴定的接口,进入org.springframework.security.web.access.intercept.FilterSecurityInterceptor#doFilter方法 进入org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation org.spring
spring security每个filter的作用和配置顺序
04-21 1668
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context" xmlns:s
Spring Security拦截器加载流程分析--练气中期
qq_43788185的博客
09-05 581
写在前面 上回我们讲了spring security整合spring springmvc的流程,并且知道了spring security是通过过滤器链来进行认证授权操作的。今天我们来分析一下springsecurity过滤器链的加载流程。读者在阅读本文时可以边阅读边跟着操作,这样子会理解的更清楚一些。 Spring Security过滤器链 spring security的过滤器非常多,这里简单介绍几个常用的过滤器。 spring security常过滤器链介绍 org.springframework.se
spring security 下web应用安全的关键Filter:FilterSecurityInterceptor
指尖思维
10-31 9758
尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessD
关于Spring3报org.aopalliance.intercept.MethodInterceptor错的问题解决方法
青衫-CSDN博客
04-21 755
 运行环境:Spring3.1.0.RELEASE     报错信息如下:  Exception in thread "main" org.springframework.beans.factory.BeanDefinitionStoreException: Unexpected exception parsing XML document from class path res
Springboot + Spring Security 实现前后端分离登录认证及权限控制
weixin_45957207的博客
03-16 4820
Springboot + Spring Security 实现前后端分离登录认证及权限控制 Spring Security简介 Spring SecuritySpring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然
关于spring security4.0以上版本自定义配置的问题及解决笔录
晚秋的风
08-08 5023
由于项目框架古老spring3.0 spring security2.0.4,但功能齐全,所以个人想要升级各个jar包版本,以减少不必要的已知bug 目标更换为spring security4.2 spring data换为最新 问题1:spring版本不匹配,jar包冲突 这个是最好解决的,先把spring security做最基础配置,换几个理论上兼容的spring版本试试就行,最终选定...
springsecurity笔记
最新发布
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值