spring-security 项目实战(一)个人健康档案

已于 2024-03-06 17:00:36 修改
阅读量974 收藏 25
点赞数 23
分类专栏: Spring Security 文章标签: spring java 后端
于 2024-03-02 15:59:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/modelmd/article/details/136356372
版权

spring-security 项目实战(一)个人健康档案

项目来源于《Spring Security原理与实战》,这本书对spring security介绍比较详细的,很多原理性的内容讲解的比较清晰。

项目说明

项目地址

https://gitee.com/3281328128/spring-security-basic
master 分支的代码原来书里面的代码,boot_3.2.2 分支是修改之后的代码。项目来源于书籍的第5章-实现自定义的用户认证体系,原来的项目用的spring security版本比较低,改成了 spring-security-6.2.1 版本的,该项目前后端不分离的,基于 session 来认证用户是否登录

框架信息

boot_3.2.2 分支使用的框架信息

名称版本信息说明
JDK17LTS 长期支持版本
spring-boot-starter-web3.2.2内嵌web服务器, jar包启动
spring-boot-starter-security3.2.2安全框架
mybatis-plus-spring-boot3-starter3.5.5ORM框架
mybatis-plus-generator3.5.5根据数据表自动生成代码
spring-boot-starter-thymeleaf3.2.2处理静态资源,模板数据填充

代码分析

启动项目之后,访问 http://localhost:8080/main地址,会重定向到默认登录页, 登录认证之后会重定向到main页面
在这里插入图片描述
重定向到默认页面的过程可以查看之前的博客spring-security 默认登录页面(一)。整个过程还有几个问题需要分析

  1. 默认登录页登录接口的执行逻辑
  2. 登录认证成功之后重定向到main页面过程

配置类解析

配置类代码如下

package com.lagou.springsecurity.config;

import com.lagou.springsecurity.service.AuthenticationProviderService;
import com.lagou.springsecurity.service.CustomUserDetailsService;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig {

    private AuthenticationProviderService authenticationProvider;

    private CustomUserDetailsService customUserDetailsService;

    public SecurityConfig(AuthenticationProviderService authenticationProvider,
                          CustomUserDetailsService customUserDetailsService) {
        this.authenticationProvider = authenticationProvider;
        this.customUserDetailsService = customUserDetailsService;
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.formLogin(httpSecurityFormLoginConfigurer ->
                httpSecurityFormLoginConfigurer.defaultSuccessUrl("/main", true));
        http.authorizeHttpRequests((authorizeHttpRequests) ->
                authorizeHttpRequests.anyRequest().authenticated());
        http.authenticationProvider(authenticationProvider);
        http.userDetailsService(customUserDetailsService);
        return http.build();
    }
}
  1. http.formLogin(httpSecurityFormLoginConfigurer -> httpSecurityFormLoginConfigurer.defaultSuccessUrl("/main", true)); 配置登录成功之后的跳转页面,本章后续会分析这个过程
  2. http.authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests.anyRequest().authenticated()); 配置所有的地址都需要认证,这个配置会在AuthorizationFilter 中读取到,与当前的用户权限对比,看能否访问对应的资源,如果不能抛出异常给ExceptionTranslationFilter 过滤器处理
  3. http.authenticationProvider(authenticationProvider) 配置自定义的登录验证处理逻辑,验证用户名、密码,设置用户权限等
  4. http.userDetailsService(customUserDetailsService) 配置自定义的用户信息接口,根据用户名加载用户信息

默认登录页登录接口执行逻辑

  1. org.springframework.security.web.FilterChainProxy.VirtualFilterChain#doFilter 方法中增加断点,方便调试每个过滤器
    在这里插入图片描述
    可以看到当前项目配置的过滤器详情
    在这里插入图片描述

登录认证成功之后重定向到main页面过程

未登录之前访问 /main

  1. org.springframework.security.web.savedrequest.RequestCacheAwareFilter 过滤器会将请求缓存
  2. org.springframework.security.web.access.intercept.AuthorizationFilter 过滤去认证抛出异常
    在这里插入图片描述
  3. 异常处理过滤器 org.springframework.security.web.access.ExceptionTranslationFilter 处理异常
    在这里插入图片描述
    在这里插入图片描述
    生成重定向url http://localhost:8080/login
    在这里插入图片描述

生成默认登录页

https://blog.csdn.net/modelmd/article/details/135982664
在这里插入图片描述

点击登录

点击登录会调用 /login 接口,在 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 中进行用户名、密码的验证,UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter,大多数处理流程在 AbstractAuthenticationProcessingFilter中执行
在这里插入图片描述
流程图如下

Created with Raphaël 2.3.0 开始 用户名、密码认证 判断请求地址是否需要认证? 执行认证流程 用户名密码校验成功? 修改会话ID、CSRF token 设置认证成功,重定向到登录成功页 执行结束 return ; 结束 yes no yes no

  1. 用户名密码校验详细过程解析
    在方法 org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#attemptAuthentication 执行用户认证的逻辑
    在这里插入图片描述
    从请求头中获取用户名、密码
    在这里插入图片描述
    AuthenticationManager 类负责执行用户认证的逻辑,具体实现逻辑在类 org.springframework.security.authentication.ProviderManager
    在这里插入图片描述
    核心认证逻辑方法org.springframework.security.authentication.ProviderManager#authenticate
    在这里插入图片描述
    最终会进入用户自定义的用户名密码逻辑,在认证方法中可以将用户的权限加载到认证对象,这样AuthorizationFilter 就可以验证用户否有权限访问对应的url
    在这里插入图片描述
    在这里插入图片描述

  2. 修改会话ID、CSRF token
    在这里插入图片描述
    org.springframework.security.web.authentication.session.ChangeSessionIdAuthenticationStrategy修改请求的 sessionId, 防止固定会话攻击,org.springframework.security.web.csrf.CsrfAuthenticationStrategy更新seesion对应的 CSRF token

  3. 设置认证成功,重定向到登录成功页
    org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#successfulAuthentication方法执行认证成功之后的相关逻辑。安全上下文SecurityContext设置认证成功的对象,安全上下文基于ThreadLocal实现的,在同一线程的其它filter中可以比较容易获取到认证成功的对象数据
    在这里插入图片描述
    SecurityContext中设置上下文对象之后,也会在 httpSeesion、httpRequest属性中存储认证对象,可以查看 org.springframework.security.web.context.SecurityContextRepository#saveContext方法。HttpSessionSecurityContextRepository将认证对象存储在 seesion ,RequestAttributeSecurityContextRepository将认证对象存储在http请求头属性
    在这里插入图片描述
    存储在 session的 key 默认值是 SPRING_SECURITY_CONTEXT
    在这里插入图片描述
    存储在 httpRequest 属性中的 key 默认值是 org.springframework.security.web.context.RequestAttributeSecurityContextRepository.SPRING_SECURITY_CONTEXT
    在这里插入图片描述
    重定向到缓存页。首先从session中获取缓存信息,然后重定向到具体的地址,可以查看org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler#onAuthenticationSuccess方法
    在这里插入图片描述
    从session缓存中获取 url
    在这里插入图片描述
    session缓存中未获取到 url, 去目标url处理器中查找 org.springframework.security.web.authentication.AbstractAuthenticationTargetUrlRequestHandler#handle
    在这里插入图片描述

AbstractAuthenticationTargetUrlRequestHandler中目标defaultTargetUrl如何初始化的?
在配置类中初始化配置登录成功的地址
在这里插入图片描述

登录之后访问 /main

执行流程

  1. AnonymousAuthenticationFilter 中设置认证对象
    在这里插入图片描述

  2. 认证过滤器AuthorizationFilter 中会获取 session 中的已认证的用户
    在这里插入图片描述
    校验用户权限 org.springframework.security.authorization.AuthenticatedAuthorizationManager#check
    在这里插入图片描述
    获取已认证用户对象,org.springframework.security.web.access.intercept.AuthorizationFilter#getAuthentication
    在这里插入图片描述
    从session 中获取认证对象 org.springframework.security.web.context.HttpSessionSecurityContextRepository#loadDeferredContext,
    org.springframework.security.web.context.HttpSessionSecurityContextRepository#readSecurityContextFromSession
    在这里插入图片描述
    在这里插入图片描述
    获取之前登录的时候设置到 session 中的用户,属性key 和之前登录一致的 SPRING_SECURITY_CONTEXT
    在这里插入图片描述

清空认证信息

如果将cookie 清除之后,页面就会重新跳转到登录页

  1. 清除 cookie,在开发者工具中,删除对应的 session
    在这里插入图片描述
  2. 访问 http://localhost:8080/main 地址,丛session中获取认证信息失败,会重定向到登录页
    在这里插入图片描述
    在这里插入图片描述
Chengdu.S
关注
  • 23
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring security 完整项目实例
01-07
基于用户,角色,权限的spring security完整项目,包括登陆,免登陆,session配置,角色,权限验证等功能
全网首发阿里内部Spring Security项目实战搭建
欢迎来到我的博客
12-24 4524
Spring Security 的前身是 Acegi Security,在被收纳为Spring 子项目后正式更名为Spring Security。在笔者成书时,Spring Security已经升级到5.1.3.RELEASE版本,加入了原生OAuth2.0框架,支持更加现代化的密码加密方式。 可以预见,在Java应用安全领域,Spring Security会成为被首先推崇的解决方案,就像我们看到服务器就会联想到Linux一样顺理成章 总目录: 声明:Spring Security王者晋级文档 以及相
Spring-Securty(Spring安全框架):项目实战
热门推荐
weixin_48972377的博客
11-01 3万+
一、简单了解 Spring-securitySpring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring的应用程序的事实标准。 Spring Security是一个重点为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求 1.1 构建Spring-Boot项目,并导入依赖 Gradle: implementation 'org.springframewor
spring security实战项目笔记
健康平安的活着的专栏
08-22 246
一 认证和授权 1.1 认证和授权 Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括 用户认证(Authentication)和用户授权(Authorization)两个部分。 ​ 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 ​ 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不..
实战项目ssm权限系统1-springsecurity+redis+Aop&菜单按钮级别
健康平安的活着的专栏
12-26 1710
常见1:1和1:n和n:n。
java+spring-boot-jwt + spring security集成实战项目.zip
08-17
java+项目实战
全套Spring Security入门到项目实战课程
03-21
Spring Security框架介绍 Spring Security认证与授权机制 Spring Security安全性解决方案 Spring Security权限控制实现 Spring Security与Web应用安全 Spring Security用户认证流程 Spring Security用户授权管理 ...
spring-security-actual-code:Spring Security实战代码
04-04
Spring安全实际代码 Spring Security实战代码
SpringSecurity 测试实战
08-25
SpringSecurity 测试实战 标题:SpringSecurity 测试实战 描述:SpringSecurity 测试实战主要介绍了SpringSecurity 测试实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值。 ...
spring-boot项目实践总结
02-05
Spring Boot是由Pivotal团队提供的全新框架,其设计目的是简化新Spring应用程序的初始构建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种
SpringSecurity+JWT框架项目前后端分离(实战)
ZY__99的博客
01-23 1368
SpringSecurity 一:简介 1.Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 2.一般Web应用的需要进行认证和授权。 ①:认证:验证当前访问系统的是不是本系统...
项目实战:自定义权限系统+SpringSecurity
10-19
肖老师这套课程从普通项目的权限设计-->>百万级的中型项目权限设计-->>大型的项目权限设计,非常细致的介绍了各种各样的业务系统的不同权限管理策略。视频详细介绍了spring security权限框架的使用和优缺点;在实际的项目开发中,本课程对于绝大多数的业务系统的权限设计都具有指导意义.
Spring Security源码分析十六:Spring Security项目实战
郑龙飞
03-18 3081
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企
SpringSecurity 实战项目(一)
weixin_38927257的博客
12-02 4967
文章目录SpringSecurity 验证帐号密码security认证过程:[《Spring Security认证过程》](https://blog.csdn.net/weixin_38927257/article/details/102960752) 本文使用springboot+mybatis+SpringSecurity 实现用户权限数据库管理 实现用户和角色用数据库存储,而资源(url)和...
Spring Security 实战(使用Spring Boot项目演示)
一只猿的自我修养
05-14 6495
Spring Security 的应用越来越广泛,它支持页面级别、API级别 以及方法级别的权限控制,可以说项目中的绝大部分场景都能适用。不管哪种级别的权限控制,都需要进行以下的步骤 (使用Spring Boot项目演示): 1. 加入Spring Boot Security的依赖 (不需要版本号,因为Spring boot的parent pom里面就已经有版本号了):compile "org....
基于springboot的美食推荐商城源码数据库
s123456sj的博客
06-15 1000
此美食推荐商城利用当下成熟完善的SSM框架,使用跨平台的可开发大型商业网站的Java语言,以及最受欢迎的RDBMS应用软件之一的Mysql数据库进行程序开发。实现了用户在线选择试题并完成答题,在线查看考核分数。管理员管理购物车管理、字典管理、公告信息管理、留言板管理、美食管理、美食收藏管理、美食评价管理、美食订单管理、商家管理、用户管理、管理员管理等功能。
Spring 循环依赖详解
Java领域优秀创作者
06-15 932
Spring框架中,依赖注入(Dependency Injection, DI)是其核心功能之一,它通过配置来管理对象的创建和它们之间的依赖关系。然而,在复杂的应用程序中,开发人员有时会遇到循环依赖的问题,即Bean A依赖于Bean B,而Bean B又依赖于Bean A。如果不加以处理,这种情况会导致应用程序无法启动。在本文中,我们将深入探讨Spring循环依赖的原理、处理机制、最佳实践以及可能遇到的问题。
springboot“漫画之家”系统 LW+PPT+源码
最新发布
u014445459的博客
06-17 852
链接:https://pan.baidu.com/s/1ihILTui-XEFdC15mcOB0vA?pwd=ewry提取码:ewry由于本系统是作为毕业设计系统,且系统本身存在一些技术层面的缺陷,并不能直接用于商业用途,只想要通过该系统的开发提高自身学术水平,不需要特定服务器等额外花费。所有创造及工作过程仅需在个人电脑上就能实现,使用到的软件大多为开源软件,所以经济成本并不高,可以轻易实现。
spring security实战
08-26
- *2* *3* [安全框架SpringSecurity实战总结(一)](https://blog.csdn.net/FlyingFish868/article/details/121771605)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Chengdu.S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值