Security认证要点速记

最新推荐文章于 2024-11-11 21:19:25 发布
最新推荐文章于 2024-11-11 21:19:25 发布
阅读量949 收藏 5
点赞数 18
文章标签: spring spring boot security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ninelife19/article/details/140330153
版权

登录校验流程

springSecurity已经为我们默认实现了一个用不着的登录功能,我们需要自己实现个符合我们需求的登录功能,所以我们需要去了解默认登录功能的流程,对其中的部分进行替换

SpringSecurity底层就是过滤器链,包含实现了各种功能的过滤器

  1. UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请
  2. 求。入门案例的认证工作主要有它负责。
  3. ExceptionTranslationFilter处理过滤器链中抛出的任何AccessDeniedException和
  4. AuthenticationException 。
  5. FilterSecurityInterceptor:负责权限校验的过滤器。

认证流程详解

  • Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。
  • AuthenticationManager接口:定义了认证Authentication的方法
  • UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。
  • UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

解决问题

登录

  1. 自定义登录接口

调用ProviderManager的方法进行认证,如果认证通过,生成jwt

把用户信息存入redis

  1. 自定义UserDetailsService实现类

在这个实现类中完成根据username查询数据库

校验

  1. 定义Jwt认证过滤器

获取token,解析token中的userid

从redis中获取用户信息

如果能成功获取,将其存入SecurityContextHolder供其他过滤器使用

认证要点记录

登录部分

  1. 用户想要进行登录,那用户必然处于未登录状态,需要我们配置SecurittyConfig,登录接口只能匿名访问
  2. 当调用登录接口的时候,由我们自己在Service层调用过滤器的一部分(AuthentionManager的authenticate方法)。
  3. 我们应该提供自己的UserDetailService的实现类(根据用户名查询用户信息)并注入到spring容器中,以供authenticate调用的部分调用。
  4. 我们还应该提供PasswordEncoder类(常见的就是BC),注入到spring容器中,以供authenticate调用的部分调用进行密码校验
  5. authenticate方法的调用,会帮我们完成用户信息查询与密码校验,我们只需要根据返回的结果Authentication是否为空就可以知道登录是否成功
  6. 如果登录成功,我们从Authentication中获取userid,生成jwt,以键值对形式作为响应体返回给前端
  7. 同时以"login:"+id作为键,以loginUser作为值存入redis,这样当下一次前端传来token,解析出id,就可以从redis中查到用户信息。

校验部分

  1. 我们不能让用户每次发起请求都带上用户名密码,所以当用户第一次登录之后,我们可以让用户在一段时间内处于一个登录的状态(可以通过jwt或者redis设置过期时间),处于这个时间段内都可以通过请求头中携带token的方式,直接以此用户的身份访问服务
  2. 使用此方案一方面方便用户,另一方面也可以解决后端的一些问题,访问鉴权是一个很高频的行为,比如我们可以把对关系型数据库的查询转移到对redis的访问,这能降低关系型数据库的压力,也能让用户获得更快的访问速度
  3. 那么我们对token的验证的Filter就应该放在使用用户名密码验证的Filter(UsernamePasswordAuthenticationFilter)的前边,这一步需要在SecurityConfig中进行配置。
  4. 我们在jwtFilter的验证中,会先判断请求是否携带token,不携带token就直接放行(要么是非法的访问,要么是通过用户名密码的访问),交给后边的过滤器处理即可
  5. 如果拿到token,首先尝试解析token,可能会出现jwt解析失败(伪造失败的token或者过期的token),那么就记录并放行即可,后边的过滤器会驳回请求并返回403
  6. 如果token解析成功拿到userid,那么我们就去redis中查询是否存在用户信息(用户是否处于登录状态,我们可以通过redis来控制),如果我们没有拿到,那么就记录并放行
  7. 最后如果顺利拿到了用户信息,说明用户处于登陆状态,根据信息构造authentication,然后存入SecurityContextHolder,其他过滤器能够知道此请求已经经过认证

沂辰YiChen
关注
Spring Security参考手册
殇莫忆的博客
05-05 5280
Spring Security 参考手册Ben AlexLuke TaylorRob WinchGunnar HillertTable of Contents前言入门简介Spring Security是什么?历史发布版本号Getting Spring SecuritySpring Security 4.1新特性Java 配置提升Web应用程序安全性提升授权改进密码模块的改进测试的改进一般的改进样品...
Spring Security 参考手册
qq_35327757的博客
06-07 1927
Spring Security 参考手册Spring security 是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准。 前言 Spring Security 为基于javaEE的企业应用程序提供一个全面的解决方案。正如你将从这个参考指南发现的,我们试图为你提供一个有用的并且高度可配置的安全系统。 安全是一个不断移动的目标,采取一个全面的全系统的方法
Spring Security 参考手册(二)
bigKylin的专栏
05-13 7648
授权 在Spring Security的高级授权功能是其受欢迎的最有说服力的原因之一,无论您如何选择如何进行身份验证-是否使用提供的机制和提供程序的Spring Security,或整合与一个容器或其他non-Spring Security 认证机构-你会发现授权服务可以在您的应用程序中使用一个一致的和简单的方式. 在这一部分我们将探讨不同的` abstractsecuri
所有的计算机认证
鲵之风采的专栏
04-11 1995
国内的微软认证有四种:微软认证产品专家(MCP)、微软认证系统工程师(MCSE)、微软认证软件开发专家(MCSD)、微软认证数据库管理员(MCDBA)。 微软认证考试的内容非常专业化,主要有以下几个方面:一、操作系统(WindowsNT4.0的安装,系统配置,账户管理,文件、打印机资源管理,远程访问服务、域的规划建立及管理、企业的域模型设计,对NT的网络分析和优化及故障排除等)二、Windo
中国人工智能学会通讯——机器人智能技术与测评体系发展
weixin_34198881的博客
09-01 245
本来大会给我的题目,是希望我讲一讲机器人的智能检测。这个题目太超前了,检测还远没有发展到智能的阶段。因为我们现在在做机器人测评技术的研究。因此,一方面想从我的角度谈谈机器人测评与智能机器人的关系。从测评技术发展的历史看,早期面对的是机电系统,后来到了可编程系统的时代,现在到了人工智能的时代。现阶段,我们测评工作该怎么做呢?所以想和大家探讨一下。另一方面...
栋的周评 | 第一回合(定期更新、博客动态、亚马逊 AWS 云技术、其他技术、收听、哲学、书籍、影视、新奇、好歌推荐)
纽雪澳诺加海美德的博客
01-05 412
第一周第二日 大家好!以下是我在今天的所见、所闻、所学、所悟。 现在,我把它们安利给你。   技术类 左耳听风的《弹力设计篇之“重试设计”》 收获:分布式系统中的错误重试场景、设计、注意事项 软件测试52讲的《深入浅出之静态测试方法》 收获:   末了 希望你能在吸收了我的纯奶不含三聚氰胺 365 毫克营养快线之后,与我一起,茁壮成长… 英雄走好,我们明天,不见...
栋的月结 | 第一回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
02-01 2247
开篇词 大家好!以下是我在 2020 年 1 月 1 日至 31 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 栋的周评 一文搞定 Linux 管理员手册:既简单又深刻 官方授权: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《一文搞定 |...
金仓数据库 KingbaseES SQL 语言参考手册 (20. SQL语句: MERGE 到 VALUES)
arthemis_14的博客
07-26 982
本章包含以下SQL语句:MERGEMOVENOTIFYPREPAREPREPARE TRANSACTIONPURGE TABLEREASSIGN OWNEDREFRESH MATERIALIZED VIEWREINDEXRELEASE SAVEPOINTRESETREVOKEROLLBACKROLLBACK PREPAREDROLLBACK TO SAVEPOINTSAVEPOINTSECURITY LABELSELECTSELECT INTOSETSET CONSTRAINTSSET ROLESET SE
架构师PPT大纲
wuzhenwei0419的博客
10-16 8850
架构师PPT大纲架构师PPT大纲计算机系统基础计算机组成CPU的功能运算器。控制器。计算机系统结构的分类指令系统校验码指令控制方式存储系统总线操作系统基础知识 架构师PPT大纲 我每天花八小时练琴,他们却用“天才”一词埋没了我所有努力 计算机系统基础 计算机组成 中央处理器(运算器、控制器) ...
spring security认证过程详解
CVPR收割机的博客
04-18 4231
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
华为认证HCIA-Security(安全)PPT教材及实验手册V3.0
01-19
华为认证HCIA-Security(安全)PPT教材及实验手册V3.0,包含HCIA-Security培训教材V3.0,HCIA-Security实验手册V3.0,HCIA-Security完整课件PPT,资源难得,望珍惜!
SpringSecurity 认证详解
流楚丶格念的博客
09-17 2779
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的(如下图密码)。但是在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。}// 获取所有权限 Collection
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8091
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
SpringBoot 实现图片加水印
最新发布
心猿意码
11-11 196
通过上述步骤,我们可以在SpringBoot项目中实现一个简单的图片加水印功能。当然,实际应用中可能需要更复杂的水印处理,比如水印图片、调整水印位置等,可以根据需求进行相应的扩展和优化。
spring -第十四章 spring事务
m0_74606902的博客
11-11 579
要在spring中实现事务有两种方式编程式事务:编写代码手动的开启、提交、回滚事务。声明式事务:使用注解或xml配置文件进行事务管理。
SpringBoot助力的共享汽车业务优化系统
2402_85762143的博客
11-09 1066
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。近来,软件工程界趋向于一种新的观点,即认为软件生命周期每一阶段中都应包含测试,从而检验本阶段的成果是否接近预期的目标,尽可能早的发现错误并加以修正,如果不在早期阶段进行测试,错误的延时扩散常常会导致最后成品测试的巨大困难。任务:消除软件故障,保证程序的可靠运行。
Spring的XML配置:从“啊这...“到“啊,就这...“ --手写Spring第六篇了
mkii_hong的博客
11-11 624
Spring通过【资源】和【资源加载】帮我们找到这些配置文件然后通过大厨解析配置最后把"菜"(Bean)放到"厨房"(容器)里本文由 https://github.com/hongweihao/small-spring/tree/6_resource_load 赞注完成本文完 | 求赞求关注求转发!
基于 SpringBoot 实现QQ邮箱验证码注册功能
2301_79201049的博客
11-06 668
找到并开通以下的邮件协议服务,而且服务开启也较为简单,需要我们发送一个短信到指定的号码,开启后平台会提供一个授权码,一定要记住这个授权码,发邮件的时候需要这个。host 是根据服务主机区分,网易邮箱是 smtp.163.com, qq邮箱是 smtp.qq.com。其中的 username 是你第一步中操作的邮箱账号,nickname 是接收者收到邮件中显示的发件人。发送邮件的核心依赖是 mail ,由于该项目还涉及其他依赖就全都导进来了。(1)首先打开QQ邮箱,点击设置并来到账号页面。
为何选择Spring AI Alibaba开发智能客服平台?
JavaEdge全是干货的技术号
11-09 789
本文来看如何使用Spring AI Alibaba构建Agent应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值