spring security 结构剖析

已于 2024-07-05 22:58:47 修改
阅读量1.6k 收藏 53
点赞数 31
文章标签: spring 数据库 mysql
于 2024-06-27 21:59:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nmg_tl/article/details/139885375
版权

Spring Security是spring系列框架中一个功能强大的安全框架,用于在Spring应用程序中提供全面的身份认证(Authentication)和授权(Authorization)功能,本文是对Spring Security学习与理解的总结。

架构设计

filter 设计,Spring Security 也建立在JavaEE Filter 技术之上。

DelegatingFilterProxy

     spring security 是通过Servlet Filter 机制注册到servlet容器中Filter,代理一个spring 中定义的Servlet Filter 的Bean,比如调用FilterChainProxy,使用它是因为Servlet容器只允许使用按其标准注册Filter实例,但它不知道spring定义的bean。

FilterChainProxy

    将DelegatingFilterProxy filter请求委托给spring管理的 filter bean列表,可以配置SecurityFilterChain 配置filter bean列表。使用FilterChainProxy有很优点:

  1. 它是spring security 支持servlet 的起点
  2. 它可以执行非可选的任务。例如,它清除SecurityContext以避免内存泄漏。它还应用Spring Security的HttpFirewall来保护应用程序免受某些类型的攻击。
  3. 相比在Servlet容器中,仅根据URL调用Filter实例,FilterChainProxy 提供了更大的灵活性,可以通过使用RequestMatcher接口,基于HttpServletRequest中的内容来确定调用

Security Filters

    执行具体安全任务的过滤器,这些过滤器可用于许多不同的目的,如身份验证、授权等。过滤器按照特定的顺序执行,以保证在正确的位置调用它们。

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .csrf(Customizer.withDefaults())
            .authorizeHttpRequests(authorize -> authorize
                .anyRequest().authenticated()
            )
            .httpBasic(Customizer.withDefaults())
            .oauth2Client(Customizer.withDefaults())
            .formLogin(Customizer.withDefaults());
        return http.build();
    }

}

上述代码将配置4个filter

FilterAdded by
CsrfFilterHttpSecurity#csrf
UsernamePasswordAuthenticationFilterHttpSecurity#formLogin
BasicAuthenticationFilterHttpSecurity#httpBasic
AuthorizationFilterHttpSecurity#authorizeHttpRequests
OAuth2LoginAuthenticationFilter.HttpSecurity#foauth2Client

 AbstractAuthenticationProcessingFilter  是验证身份验证的基本过滤器,UsernamePasswordAuthenticationFilter、OAuth2LoginAuthenticationFilter 者继承此抽像类。

可以将自定义的filter 添加到SecurityFilterChain中,例将自定义的filter 添加AuthorizationFilter之前。

public class TenantFilter implements Filter {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
     ........
    }
}


@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
        // ...
        .addFilterBefore(new TenantFilter(), AuthorizationFilter.class); 
    return http.build();
}

注:如果定义一个Filter 时定义为一个Bean,会自动将其注册到嵌入容器中

ExceptionTranslationFilte

这个spring security 的异常处理过程,这个Security Filters.是Java异常和HTTP响应之间的桥梁,会将AccessDeniedException and AuthenticationException 转换为HTTP响应。

Authentication(身份验证)设计

spring security 中很多安全管理任务都是通过其Security Filter 实现,身份验证也是通过不同类型的Security Filter支持多种身份验证类型,如用户名密码,token等

身份验证过虑器

通过不同类的过滤器实现不同类型的身份验证,其作用是丛HttpServletRequest 中创建Authentication对象(Authentication 是一个接口,根据不同的身份验证有多种类型的实现类),传递给AuthenticationManager。oAuth2使用的Security Filter 是BearerTokenAuthenticationFilter

身份验证者管理器

 AuthenticationManager - 身份验证管理器接口,定义Spring Security的过滤器如何执行身份验证。最重要的就是决定调用那个AuthenticationProvider 的实现类。

ProviderManager -  AuthenticationManager最常见的实现,其代理了很多类型AuthenticationProvider,用于不同类型的身份验证

身份验证者

AuthenticationProvider - 这个接口有多个实现类,用于不同类型的身份验证,由ProviderManager根据身份验证类型决定执行那个实现类,oAuth2使用的实现类是JwtAuthenticationProvide,OAuth2LoginAuthenticationProvider

Security上下文

SecurityContextHolder - SecurityContextHolder是Spring Security存储身份验证详细信息的地方。

SecurityContext - 从SecurityContextHolder中获得,并包含当前已验证用户的Authentication

Authentication -  包含Principal、Credentials、Authorities,Credentials是用户提供的用于身份验证的凭据

principal - 用户信息,或者说请求身份验证的主体。

credentials - 用户请求中包含的身份验证信息,身份验证成功一般会清除此信息

authorities - 用户授予用户的权限(即角色、范围等)。一般是身份验证成功后丛token解析出的用户权限信息保存在这个对象里.

AuthenticationEntryPoint - 用于发送请求客户端凭据的HTTP响应。例如,对未带身份验证信息的请求重定向到登录页面

Authorization(鉴权)设计

在身份验证通过后,权限信息(Authorities)会保存在Authentication 对象中,Spring Security提供了过滤器和各种拦截器来控制对安全对象(如方法调用或web请求)的访问。拦截器是使用AuthorizationManager 的实现类判定是否有权限调用或调用返回值是否与权限一致。

AuthorizationManager 代替了AccessDecisionManager and AccessDecisionVoter.

 HTTP Requests Authorization

AuthorizationFilter 是spring Security filter chain 中默认最后的过虑器,代替了FilterSecurityInterceptor拦截器

HttpSecurity 配置时如果使用authorizeHttpRequests 那鉴权过虑器使用AuthorizationFilter,如果使用authorizeRequests鉴权过虑器使用FilterSecurityInterceptor

Method Security

Spring Security提供了各种拦截器来支持方法级安全保护。需要配置类中添加@EnableMethodSecurity 或在xml配置文中添加<method-security> 

之后就可以在spring 管理类或方法上添加 @PreAuthorize, @PostAuthorize, @PreFilter, and @PostFilter 鉴权方法调用,包含入参和方法return值 。

@Secured 是遗留的选项,建议使用@PreAuthorize 代替。要使用@Secured 需要在EnableMethodSecurity注解中指定securedEnabled = true

nmg_tl
关注
  • 31
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringSecurity结构分析
leveretz的博客
07-30 354
SpringSecurity结构分析
SpringSecurity源码分析
凉茶铺的博客
07-18 2590
在整个过滤器链中,FilterSecurityInterceptor是来处理整个用户授权流程的,也是距离用户API最后一个非常重要的过滤器链,所以下面我们主要针对用户授权来看下源码是如何实现的?在整个过滤器链中,UsernamePasswordAuthenticationFilter是来处理整个用户认证的流程的,所以下面我们主要针对用户认证来看下源码是如何实现的?在整个过滤器链中,CsrfFilter是起到csrf防护的,所以下面我们主要针对记住我看下源码是如何实现的?...
SpringSecurity原理分析
Feverasa的博客
12-05 6549
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity的原理,SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity的基本原理 1、基本流程 ​ SpringSecurity的基本原理就是应用了Tomcat容
SpringSecurity原理简述
莫等闲 白了少年头 空悲切
03-11 3162
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ ​
Spring Security源码分析
qq_44414610的博客
03-20 557
Spring Security 是一个和Spring无缝衔接的重量级安全权限框架,相信各位小码农们对于Security 是比较熟悉的,重量级,上手快,和Spring无缝衔接,自从SpringBoot框架横空出世后,Security的使用变得更加容易了。本文旨在从实际应用角度出发,阅读 Spring Security 源码,分析其实现原理。
Spring Security深入剖析
潘顾昌的博客
05-26 865
关键源码 io.undertow.servlet.core.ManagedFilter:42 io.undertow.servlet.handlers.FilterHandler:58 org.springframework.web.filter.OncePerRequestFilter:42 org.apache.catalina.core.ApplicationFilterChain org.springframework.security.web.savedrequest.HttpSessionReq
Spring Security 自定义授权服务器实践
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-18 4780
在之前我们已经对接过了GitHub、Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验。但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器。OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器。授权服务器主要提供OAuth Client注册、用户认证、token分发、token验证、token刷新等功能。......
Spring Security简介和原理
0
01-29 1207
Spring SecuritySpring提供的安全认证服务的框架。使用Spring Security可以帮助我 们来简化认证和授权的过程。--security启动器-->
Spring Security Oauth2源码分析
小小本科生
07-16 942
1、用户发起了一个未经身份验证的请求。2、Spring Security 的 DelegatingAuthenticationEntryPoint 组件检测到这个未经身份验证的请求。3、通过一系列复杂的匹配器 DelegatingAuthenticationEntryPoint 确定这个请求需要进行身份验证。4、DelegatingAuthenticationEntryPoint 执行了 LoginUrlAuthenticationEntryPoint来处理这个未经身份验证的请求。
Spring security如何实现记录用户登录时间功能
08-24
Spring Security 框架提供了强大的身份验证和授权功能,然而在实际应用中,我们还需要记录用户的登录时间,以便于日后进行登录记录的追踪和分析。在本文中,我们将详细介绍如何使用 Spring Security 实现记录用户...
Spring Security 自动踢掉前一个登录用户的实现代码
08-19
Spring Security 自动踢掉前一个登录用户的实现代码 Spring Security 是一个功能强大且流行的 Java 认证和授权框架,提供了许多实用的功能来保护 Web 应用程序。今天,我们将探讨如何使用 Spring Security 实现自动...
Spring Security角色继承分析
08-25
Spring Security 角色继承分析的需求背景是,许多公司的组织结构都是金字塔形的,上司可能具备下属的部分甚至所有权限。这一现实场景,反映到我们的代码中,就是角色继承了。 Spring Security 中为开发者提供了相关...
Spring Security 6.x 系列(1)—— 初识Spring Security
热门推荐
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringSecurity原理剖析与权限系统设计
ZHAOHUODIAN888的博客
08-28 577
并提供了系统内集成Spring Security的方法,结合RBAC通用权限系统模型,讨论了统一资源构建和统一鉴权的设计和实现。一般情况下,系统内需要权限管控的资源是无法用户自定义的,因为资源会耦合大量的业务逻辑,所以我们提供了自 资源工厂,通过配置化的方式构建业务模块所需的资源。使用动态代理的方式进行AOP,只允许在接口层面进行权限拦截,如果想在任意的方法上进行权限拦截,那么就需要借助于AspectJ的方式进行AOP。综上,基于统一资源抽象和资源配置化构建,可以实现资源的统一构建,继而实现统一鉴权。...
spring揭秘19-spring事务01-事务抽象
PacosonSWJTU的博客
09-08 787
1)spring对事务元素进行抽象, 客户端仅按照统一的编程模型管理事务,而不用关心数据访问技术以及具体要访问什么类型的事务资源;此外:spring事务管理与spring提供的数据访问技术(如JdbcTemplate)进行结合;2)spring事务框架设计的基本原则: 让事务管理逻辑与数据访问逻辑解耦;spring揭秘15-spring集成数据访问技术(orm框架)总结事务隔离级别;isolation;事务传播行为;事务超时时间;timeout;是否为只读事务;readOnly;
Spring05——注解开发定义bean、Spring纯注解开发模式
最新发布
后端小白个人学习记录
09-08 530
注解开发定义bean、Spring纯注解开发模式
java重点学习-spring
qq_40453972的博客
09-03 871
AOP称为面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取并封装为一个可重用的模块,这个模块被命名为“切面”(Aspect),减少系统中的重复代码,降低了模块间的耦合度,同时提高了系统的可维护性。常见的AOP使用场景记录操作日志、●缓存处理Spring中内置的事务处理什么是AOP面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取公共模块复用,降低耦合你们项目中有没有使用到AOP。
Java项目: 基于SpringBoot+mysql房产销售系统 (含源码+数据库+开题报告+答辩PPT+毕业论文)
weixin_43860634的博客
09-03 589
Java项目: 基于SpringBoot+mysql房产销售系统 (含源码+数据库+开题报告+答辩PPT+毕业论文)
Spring Security3 深度源码剖析
书中详细剖析Spring Security 3的核心组件和工作流程,帮助读者深入理解其内部机制。 1. **FilterChainProxy初始化**:Spring Security 的核心是基于过滤器的架构,FilterChainProxy 负责组织和管理多个安全过滤...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值