Spring Security3学习笔记

最新推荐文章于 2024-07-21 23:44:17 发布
最新推荐文章于 2024-07-21 23:44:17 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: Spring Security3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/notenlife/article/details/8593017
版权

一、认证和授权的概念必须牢记,是学好springSecurity的关键。

        1、认证(authentication)  认证是鉴别我们应用中的用户是他们所声明的那个人。认证有3种场景:凭据为基础的认证(用户名、密码)、两要素认证(密码和物理设备)、硬件认证。

        2、授权(authorization) 授权涉及两个方面,他们共同描述对安全系统的可访问性:已经认证的安全实体与一个或者多个权限的匹配关系、分配权限给系统需要保护的资源


        用户请求简单的说分为两个环节:首先被认证管理器(AuthenticationManager)拦截进行认证此环节是认证的过程;认证后的请求又被访问决策管理器(AccessDecisionManager)拦截验证权限,此环节是授权的过程。


二、用户请求是如何处理的

        SpringSecurity 在实现上依赖代理和Servlet过滤器,来实现绕在web应用请求前后的功能层。其在XML配置文件中的自动配置属性,建立了10个过滤器,他们通过JavaEE的过滤器链按照顺序组合起来。servlet请求按照一定的顺序从一个过滤器到下一个过滤器,最终达到Servlet。与之相对的是,Servlet处理完请求并返回一个Response后,过滤器链按照相反的顺序再次穿过所有的过滤器。


        自动配置的选项创建了10个过滤器,理解这些过滤器的默认行为以及他们在哪里是如何配置的,对使用SpringSecurity的高级功能至关重要。

        1、org.spring.security.web.context.SecurityContextPersistenceFilter

        负责从SecurityContextRepository获取或存储SecurityContext。SecurityContext代表了用户安全和认证过的session。

        2、org.spring.security.web.authentication.logout.LogoutFilter

        监控一个实际为退出功能的URL(默认为/j_spring_security_logout),并且在URL匹配时完成用户的退出功能。

        3、org.spring.security.web.authentication.UsernamePasswordAuthenticationFilter

        监控一个使用用户名和密码基于form认证的URL(默认为/spring_security_check,并在URL匹配的情况下验证该用户。

        4、org.spring.security.web.authentication.ui.DefaultLoginPageGeneratingFilter

        监控一个要进行基于form或OpenID认证的URL(默认为/spring_security_login),并生成展现登录form的HTML。

        5、org.spring.security.web.authentication.www.BasicAuthenticationFilter

        监控HTTP基础认证的头信息并进行处理

        6、org.spring.security.web.savedrequest.RequestCacheAwareFilter

        用户用户登录成功后,重新恢复因为登录被打断的请求

        7、org.spring.security.web.servletapi.SecurityContextHolderAwareRequestFilter

        用一个扩展了HttpServletRequestWrapper的子类(org.spring.security.web.servletapi.SecurityContextHolderAwareRequestWrapper)包装HttpServletRequest。它为请求处理器提供了额外的上下文信息。

        8、org.spring.security.web.authentication.AnonymousAuthenticationFilter

        如果用户到这一步还没有经过认证,将会为这个请求关联一个认证的token,标识此用户是匿名的。

        9、org.spring.security.web.session.SessionManagementFilter

        根据认证的安全实体信息跟踪session,保证所有关联一个安全实体的session都能被跟踪到。

        10、org.spring.security.web.access.ExceptionTranslationFilter

        解决在处理一个请求时产生的指定异常。

        11、org.spring.security.web.access.intercept.FilterSecurityInterceptor

        简化授权和访问控制决定,委托一个AccessDecisionManager完成授权的判断。







notenlife
关注
专栏目录
spring-cloud-security
weixin_39370859的博客
04-12 4637
基于webflux的spring security,即spring-cloud-security
Spring Security 3.x 完整入门教程
01-12 3万+
<br />1,建一个web project,并导入所有需要的lib,这步就不多讲了。<br /> 2,配置web.xml,使用Spring的机制装载:<?xml version="1.0" encoding="UTF-8"?><br /><web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"<br />     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"<br />
springcloud集成Spring Security
最新发布
youxmm的博客
07-21 2545
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
Spring Cloud Security
java大神起床啦
04-13 2333
Spring Cloud Security
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
springsecurity3 学习笔记源码分析所得
07-12
Spring Security 是一个强大的Java安全框架,用于...总的来说,Spring Security 3的学习笔记和源码分析对提升安全开发技能大有裨益,不仅可以加深理论理解,还能在实际项目中灵活运用,构建更加健壮、安全的应用系统。
SpringSecurity笔记,编程不良人笔记
10-28
3. **SpringBoot整合SpringSecurity** - `spring-boot-starter-security`依赖:SpringBoot项目中添加此依赖即可自动配置SpringSecurity。 - 自定义登录页面:通过设置`loginPage`和`loginProcessingUrl`属性,可以...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
SpringCloudSecurity
qq_40414209的博客
08-22 246
OAuth2 简介 Oauth2使用入门 Spring Cloud Security OAuth2(一):搭建授权服务 ## 认证服务器 maven配置 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId>
Spring Cloud 之 Spring-Security
小尾寒羊的博客
07-31 4089
一、什么是SpringSecurity Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系...
Spring Cloud(十二):Spring Cloud Security
Men-DD
11-23 3921
设置用户名密码(内存、UserDetailsService、WebSecurityConfigurerAdapter、基于DB) 自定义登录页面 登录认证流程 自定义成功失败 会话管理 会话控制 会话超时 会话并发控制 集群session 安全会话cookie RememberMe 退出登录 CSRF 用户授权 web授权 访问控制的url匹配 内置的访问控制 自定义403处理 基于表达式的访问控制 方法授权 JSR-250注解 @Secured注解 支持表达式的注解 授权原理 授权流程 实现原理 主线源码
Spring Cloud Security 2.2.1
BLOG域名:programb.blog.csdn.net
05-05 354
Overview Learn Samples Spring Cloud Security offers a set of primitives for building secure applications and services with minimum fuss. A declarative model which can be heavily configured externally...
SpringCloud——安全认证(Security
热门推荐
默存
09-28 6万+
一、SpringCloud Security简介 Spring Cloud Security提供了一组原语,用于构建安全的应用程序和服务,而且操作简便。可以在外部(或集中)进行大量配置的声明性模型有助于实现大型协作的远程组件系统,通常具有中央身份管理服务。它也非常易于在Cloud Foundry等服务平台中使用。在Spring Boot和Spring Security OAu...
Spring Security3翻译文档:入门到精通
"这是一份关于Spring Security学习笔记,包含了对《Spring Security 3》一书的多章节翻译,由lengyun3566在ITeye网站上分享。笔记内容涵盖Spring Security的基础到进阶,包括用户认证、权限管理、Remember-me功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值