【Spring Security OAuth2笔记系列】- spring security - 基本原理

最新推荐文章于 2024-06-07 07:42:13 发布
最新推荐文章于 2024-06-07 07:42:13 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: # spring security+oauth2 文章标签: security security基本原理 security原理源码查看
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr_zhuqiang/article/details/81865695
版权

基本原理

打开security的依赖

compile('org.springframework.cloud:spring-cloud-starter-security')

打开之后默认就保护了所有的请求路径;访问任意一个都会跳转到一个默认的用户密码登录认证页面,

用户名固定的:user
密码,项目启动日志打印出来的(每次启动都不一样):Using generated security password: 60c4246b-735f-4f59-9a18-0861e1b7130a

默认的肯定不满足我们的需求,来看看怎么自定义配置

代码项目变更

从现在开始要改变项目模块来写安全代码了

启用该模块security-browser,安全相关的都在这里写,其他项目依赖安全模块即可;
该模块是基于浏览器的开发

注意:对于项目依赖,core的application.yml是不会生效的,只有在bobrowser中的application.yml才会生效

dependencies {
    compile project(':security-core')
}

编写第一个配置类

更改默认配置为form表单方式

package cn.mrcode.imooc.springsecurity.securitybrowser;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author : zhuqiang
 * @version : V1.0
 * @date : 2018/8/3 0:05
 */

// WebSecurityConfigurerAdapter 适配器类。专门用来做web应用的安全配置
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {

    // 有三个configure的方法,这里使用http参数的
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 最简单的修改默认配置的方法
        // 在v5+中,该配置(表单登录)应该是默认配置了
        // basic登录(也就是弹框登录的)应该是v5-的版本默认
        http
                // 定义表单登录 - 身份认证的方式
                .formLogin()
//                .httpBasic()   // 切换为basic方式也很简单。感叹一下太强大
                .and()
                // 对请求授权配置:注意方法名的含义,能联想到一些
                .authorizeRequests()
                .anyRequest()
                // 对任意请求都必须是已认证才能访问
                .authenticated();
    }
}

基本原理

核心就是一组过滤器链。项目启动自动配置上的。

最核心的就是 Basic Authentication Filter 用来认证用户的身份;

一个过滤器处理一种认证方式;

对于username password认证过滤器来说,
* 会检查是否是一个登录请求,
* 是否包含username 和 password (也就是该过滤器需要的一些认证信息)
* 如果不满足则放行给下一个

下一个按照自身职责判定是否是自身需要的信息,

basic的特征就是在请求头中有 Authorization:Basic eHh4Onh4 的信息

中间可能还有更多的认证过滤器。最后一环是 FilterSecurityInterceptor

这里会判定该请求是否能进行访问rest服务;判断的依据是:BrowserSecurityConfig中的配置;

如果被拒绝了就会抛出不同的异常(根据具体的原因)。

Exception Translation Filter 会捕获抛出的错误,然后根据不同的认证方式进行信息的返回提示

注意的是:绿色的过滤器可以配置是否生效,其他的都不能控制;

以上就是security最基本的一个原理,其他的衍生的功能都是基于这个架子进行扩展的

源码查看

源码查看思路:

上面描述了最基本的流程,这里把上面列出来的几个类关键部分打上断点,然后访问api进行跟进代码

  • org.springframework.security.web.access.intercept.FilterSecurityInterceptor#invoke

    大约120行InterceptorStatusToken token = super.beforeInvocation(fi);

  • org.springframework.security.web.access.ExceptionTranslationFilter#doFilter

    大约130行

  • org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication

    大约68行

  • org.springframework.security.web.authentication.www.BasicAuthenticationFilter#doFilterInternal

    大约150行

  • 任意一个api服务中

关键调试代码记录

1. 访问一个服务
2. 发现先走了 org.springframework.security.web.access.ExceptionTranslationFilter#doFilter
    为什么会先走这里,因为我们随意访问一个服务,都不满足前面几个认证过滤器的要求
3. 执行后到了org.springframework.security.web.access.intercept.FilterSecurityInterceptor#invoke 中的 InterceptorStatusToken token = super.beforeInvocation(fi); 执行后就报错了
4. 返回到了ExceptionTranslationFilter,并且被捕获到了异常信息 Access is denied (拒绝访问)
5. 处理异常信息之后根据配置返回到了登录页面
6. 登录之后,被拦截到 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication
7. 认证成功之后,又经过了 ExceptionTranslationFilter
8. 接着又到了 FilterSecurityInterceptor 会验证是否有权限访问,如果有的话,InterceptorStatusToken token  会返回值,
9. 下一步放行,由于之前处理的是一个登录请求,所以会有一个重定向,到我们访问的api中
  只要不是认证请求的话,前面的认证过滤器是不会走的,反而这两个类的流程都会走一遍 ExceptionTranslationFilter 、FilterSecurityInterceptor ; 看来这两个类是真的固定死的流程架子
代码有毒 mrcode
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2详解
qq_33814479的博客
10-12 6502
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
这个压缩包文件"视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar"包含了对这一主题的详细解释和实例代码,旨在帮助开发者深入理解和应用OAuth2.0与Spring Security的集成。 首先,Spring SecuritySpring...
Spring web应用中使用Spring Security
听海边涛声
02-16 1425
Spring web应用中使用Spring Security
Spring SecurityOAuth2:构建安全Web应用的强大组合
最新发布
qq_53058639的博客
06-07 824
通过深入学习并实践SpringSecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
第一篇 全网SpringSecurity最详细教程
Wang________的博客
07-06 1899
引入SpringSecurity依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 启动SpringBoot项目后 控制台 会打印 Using generated security pas..
Springboot + oauth2 单点登录 - 原理
qq_39749620的博客
05-25 5484
一、前言 1.什么是OAuth2? OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 二、Oauh2详细介绍 1.OAuth2四种授权模式 授权码模式(authorization code) 密码模式(resource owner pass
Spring-Security-OAuth2架构及源码浅析
zzy7075的专栏
03-25 135
Spring Security OAuth2架构Spring Security OAuth2是一个基于OAuth2封装的一个类库,它提供了构建和Client三种Spring应用程序角色所需要的功能。需要与和提供的功能协同工作,在使用构建和Client的情况下,的整体架构图如下:1.资源拥有者通过UserAgent访问client,在授权允许访问授权端点的情况下,会创建OAuth2认证的REST请求,指示UserAgent重定向到的授权端点。2.UserAgent访问的授权端点的authorize。
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理Spring ...
SpringSecurity笔记,编程不良人笔记
10-28
- OAuth2:SpringSecurity支持OAuth2协议,实现第三方登录和API保护。 - JWT(JSON Web Tokens):可使用JWT进行状态less的认证,提高系统的可扩展性。 - CORS(Cross-Origin Resource Sharing):SpringSecurity...
spring-security-oauth2-boot:提供spring-security-oauth2和Boot 2集成(即autoconfig)
05-13
笔记该项目处于。 Spring 的直接内置于Spring Security中。Spring Security OAuth Boot 2自动配置该项目为Spring Boot 2和旧的Spring Security OAuth项目提供自动配置。 有关更多详细信息,请参阅。
Spring Security OAuth 笔记.doc
07-13
**Spring Security OAuth 知识点详解** Spring Security OAuth 是一个广泛使用的安全框架,它提供了OAuth 2.0的实现,用于构建安全的Web应用程序和服务OAuth允许第三方应用以受限制的方式访问用户的数据,同时...
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
Spring Security Oauth2.0 使用和原理分析
keanu20191101的博客
08-31 705
Spring Security Oauth2.0 Authenticate-认证 sso使用 Authorize-授权 token的获取
Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 7783
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
Spring Security OAuth2授权原理、流程与源码解读
swg321321的博客
06-21 2128
Spring Security OAuth2 授权,5中授权模式,授权流程图、授权源码解读
SpringSecurity Oauth2.0原理篇(一)
qq_38226564的博客
02-15 1608
Spring SecuritySpringBoot、 token、认证码
(三) Spring Security Oauth2.0 源码分析--认证中心全流程分析
Instanceztt的博客
12-05 2146
的认证中心可以简单的理解为是对Spring Security的加强,也是通过(其原理可参考前面的Security源码分析)对客户端进行校验后在达到自定义token颁发站点,进行token的颁发,具体流程如下: 通过前面的文章分析,我们知道SpeingSecurity通过FilterChainProxy来完成相应的校验,我们断点看看他经历了那些校验 我们主要观察的是ClientCredentialsTokenEndpointFilter和BasicAuthenticationFilte这两个过滤器,里面的其他
Spring Cloud Security 整合 OAuth 2.0,从原理到实战一次说明白
IT技术精选文摘
12-08 845
若有收获,请记得分享和转发哦本篇文章介绍一下OAuth2.0相关的知识点,并且手把手带大家搭建一个认证授权中心、资源服务进行OAuth2.0四种授权模式的验证,案例源码详细,一梭子带大家了...
springcloud — 微服务鉴权管理之OAuth2原理解析(一)
qq_38658567的博客
08-05 1644
Spring Security OAuth2建立在Spring Security的基础之上,实现了OAuth2的规范,Spring Cloud Security模块用于构建安全的应用程序和服务。在Spring Boot和Spring Security OAuth2的基础上,我们可以快速创建实现常见模式(如单点登录,令牌中继和令牌交换)的系统。 Spring OAuth2.0 提供者实现原理 Spring OAuth2.0提供者实际上分为: 授权服务 Authorization Service 资源服务 R
Spring Security OAuth2 Boot 2.6.8官方维护与迁移指南
Spring Security OAuth2 Boot提供了一系列自动配置选项,方便开发者快速集成OAuth2.0协议,尤其是在迁移至Spring Boot 2.x时,作为旧版OAuth支持与新版Spring Security 5之间的一个过渡工具。 1.1 自动配置与授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值