SpringSecurity
SpringSecurity基于Spring框架,提供了一套web应用安全性的完整解决方案
用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统,用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点就是系统认为用户是否能登录
用户授权:指的是验证某个用户是否有权限执行某个操作,在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改,一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点将就是系统判断用户是否有权限去做某些事情。
SpringSecurity的本质就是过滤器
FilterSecurityInterceptor:方法级的权限过滤器,基本位于过滤链的最底部
ExceptionTranslationFilter:是个异常过滤器,用来处理在认证授权过程中抛出的异常
UsernamePasswordAuthenticationFilter:对/login的POST请求做拦截,校验表单中用户名和密码
SpringSecurity的过滤器加载原理
1.delegatingfilterproxy
2.两个重要接口
1.UserDetailsService接口
当什么也没有配置的时候,账号和密码是由springsecurity定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的,所以我们要通过自定义逻辑控制认证逻辑
此处所传入的username就是前端页面所传入的参数
UserDetails接口
User实现类
PasswordEncoder接口
数据加密接口,用于返回user对象里面密码加密
三个方法:1.对密码进行加密,2.对对象进行参数匹配,3.对已经加密的对象再进行加密
BCrypePasswordEncoder实现类