SpringSecurity(11)——核心组件和认证流程

最新推荐文章于 2024-06-04 23:11:16 发布
最新推荐文章于 2024-06-04 23:11:16 发布
阅读量1.2k 收藏 23
点赞数 43
分类专栏: SpringSecurity 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peng_gx/article/details/135714340
版权

获取用户信息

// 获取安全上下文对象,就是那个保存在 ThreadLocal 里面的安全上下文对象
// 总是不为null(如果不存在,则创建一个authentication属性为null的empty安全上下文对象)
SecurityContext securityContext = SecurityContextHolder.getContext();

// 获取当前认证了的 principal(当事人),或者 request token (令牌)
// 如果没有认证,会是 null,该例子是认证之后的情况
Authentication authentication = securityContext.getAuthentication()

// 获取当事人信息对象,返回结果是 Object 类型,但实际上可以是应用程序自定义的带有更多应用相关信息的某个类型。
// 很多情况下,该对象是 Spring Security 核心接口 UserDetails 的一个实现类,你可以把 UserDetails 想像
// 成我们数据库中保存的一个用户信息到 SecurityContextHolder 中 Spring Security 需要的用户信息格式的
// 一个适配器。
Object principal = authentication.getPrincipal();
if (principal instanceof UserDetails) {
	String username = ((UserDetails)principal).getUsername();
} else {
	String username = principal.toString();
}

SecurityContextHolder

SecurityContextHolder持有的是安全上下文的信息,当前操作的用户是谁,用户是否已经被认证,他拥有哪些角色权限等,这些都被保存在SecurityContextHolder中。SecurityContextHolder默认使用ThreadLocal策略来存储认证信息,在web环境下,SpringSecurity在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息

public class SecurityContextHolder {

	// 三种工作模式的定义,每种工作模式对应一种策略
	public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
	public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
	public static final String MODE_GLOBAL = "MODE_GLOBAL";

	// 类加载时首先尝试从环境属性中获取所指定的工作模式
	public static final String SYSTEM_PROPERTY = "spring.security.strategy";	
	private static String strategyName = System.getProperty(SYSTEM_PROPERTY);
	private static SecurityContextHolderStrategy strategy;

	// 初始化计数器,初始为0,
	// 1. 类加载过程中会被初始化一次,此值变为1
	// 2. 此后每次调用 setStrategyName 会对新的策略对象执行一次初始化,相应的该值会增1
	private static int initializeCount = 0;

	static {
		initialize();
	}

	/**
	 * 清除上下文
	 */
	public static void clearContext() {
		strategy.clearContext();
	}

	/**
	 * 获取上下文
	 */
	public static SecurityContext getContext() {
		return strategy.getContext();
	}

	/**
	 * 获取计数器的值
	 */
	public static int getInitializeCount() {
		return initializeCount;
	}

	private static void initialize() {
		if (!StringUtils.hasText(strategyName)) {
			// Set default, 设置缺省工作模式/策略 MODE_THREADLOCAL
			strategyName = MODE_THREADLOCAL;
		}

		if (strategyName.equals(MODE_THREADLOCAL)) {
			strategy = new ThreadLocalSecurityContextHolderStrategy();
		} else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
		} else if (strategyName.equals(MODE_GLOBAL)) {
			strategy = new GlobalSecurityContextHolderStrategy();
		} else {
			// Try to load a custom strategy
			try {
				Class<?> clazz = Class.forName(strategyName);
				Constructor<?> customStrategy = clazz.getConstructor();
				strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
			}
			catch (Exception ex) {
				ReflectionUtils.handleReflectionException(ex);
			}
		}
		initializeCount++;
	}

	/**
	 * 设置上下文
	 */
	public static void setContext(SecurityContext context) {
		strategy.setContext(context);
	}

	/**
	 * 设置工作模式
	 */
	public static void setStrategyName(String strategyName) {
		SecurityContextHolder.strategyName = strategyName;
		initialize();
	}

	/**
	 * 获取对应工作模式的策略
	 */
	public static SecurityContextHolderStrategy getContextHolderStrategy() {
		return strategy;
	}

	/**
	 * 创建空的上下文信息
	 */
	public static SecurityContext createEmptyContext() {
		return strategy.createEmptyContext();
	}

	public String toString() {
		return "SecurityContextHolder[strategy='" + strategyName + "'; initializeCount="
				+ initializeCount + "]";
	}
}

SecurityContext

安全上下文,主要持有Authentication对象,如果用户未鉴权,那么Authentication对象将会是空的

public interface SecurityContext extends Serializable {
	/**
	 * 获取当前经过身份验证的主体,或身份验证请求令牌
	 */
	Authentication getAuthentication();

	/**
	 * 更改当前经过身份验证的主体,或删除身份验证信息
	 */
	void setAuthentication(Authentication authentication);
}

Authentication

鉴权对象,该对象主要包含了用户的详细信息(UserDetails)和用户鉴权所需要的信息,如用户提交的用户名密码、Remember-me Token或digest hash值等,按不同鉴权方式使用不同的Authentication实现

public interface Authentication extends Principal, Serializable {
    //用来获取用户的权限。
    Collection<? extends GrantedAuthority> getAuthorities();
    //用来获取用户凭证,一般来说就是密码。
    Object getCredentials();
    //用来获取用户携带的详细信息,可能是当前请求之类的东西。
    Object getDetails();
    //用来获取当前用户,可能是一个用户名,也可能是一个用户对象。
    Object getPrincipal();
    //判断当前用户是否认证成功。
    boolean isAuthenticated();
	//设置用户是否认证成功
    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

GrantedAuthority

表示了当前用户所拥有的权限(或角色)信息,这些信息由授权负责对象AccessDecisionManager来使用,并决定最终用户是否可以访问某资源(URL或方法调用或域对象),鉴权使并不会使用到该对象

public interface GrantedAuthority extends Serializable {
    //获取当前用户所拥有的权限(或角色)信息
    String getAuthority();
}

UserDetailsService

提供一个接口loadUserByUsername(String username),一般通过扩展该接口显式获取我们的用户信息,用户登陆时传递的用户名和密码也是通过这里查找出来的用户名和密码进行校验,真正的校验由AuthenticationManager和AuthenticationProvider负责的。如果用户不存在时应返回NULL,而是抛出异常UsernameNotFoundException

public interface UserDetailsService {
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

UserDetails

规范了用户详细信息所拥有的字段,如用户名、密码、账号是否过期、是否锁定等,在SpringSecurity中,获取当前登录的用户的信息,一般情况是需要在该接口上面进行扩展

public interface UserDetails extends Serializable {
    // 返回权限集合
    Collection<? extends GrantedAuthority> getAuthorities();
    // 获取密码
    String getPassword();
    // 获取用户名
    String getUsername();
    // 判断用户是否未过期
    boolean isAccountNonExpired();
    // 判断账户是否未锁定
    boolean isAccountNonLocked();
    // 判断用户凭证是否没过期,即密码是否未过期
    boolean isCredentialsNonExpired();
    // 判断用户是否可用
    boolean isEnabled();
}

安全身份认证流程

过滤器链

认证流程

在这里插入图片描述

在线绘图工具,ER模型设计-Spring-Security分析,流程图制作工具,设计流程图,visio流程图,在线流程图制作,如何制作流程图 ...

  1. Spring Security定义了一个过滤器链,当认证请求到达这个链时,该请求将会穿过这个链条用于认证和授权,这个链上可以定义1~N个过滤器,过滤器的用途是获取请求中的认证信息,根据认证方法进行路由,把认证信息传递给对应的认证处理程序进行处理,不同的过滤器处理不同的认证信息
  • HTTP Basic认证通过过滤器链,到达BasicAuthenticationFilter
  • HTTP Digest认证被DigestAuthenticationFilter识别,拦截并处理
  • 表单登录认证被UsernamePasswordAuthenticationFilter识别,拦截并处理
  1. 基于用户凭证创建AuthenticationToken

如:用户在登录表单中输入用户名和密码,并点击确定,浏览器提交POST请求到服务器,穿过过滤器链,被UsernamePasswordAuthenticationFilter识别,UsernamePasswordAuthenticationFilter提取请求中的用户名和密码来创建UsernamePasswordAuthenticationToken对象

  1. 把组装好的AuthenticationToken传递给AuthenticationManager

如:组装好的UsernamePasswordAuthenticationToken对象被传递给AuthenticationManager的authenticate方法进行认证决策,AuthenticationManager只是一个接口,实际的实现是ProviderManager

  1. ProviderManager委托给AuthenticationProvider进行认证处理

AuthenticationProvider提供了不同的实现类,ProviderManager会把收到的UsernamePasswordAuthenticationToken对象传递给列表中的每一个AuthenticationProvider进行认证,那UsernamePasswordAuthenticationToken会被哪一个接收和处理呢?是由supports方法来决定的

  1. UserDetailsService获取用户信息

例如:DaoAuthenticationProvider通过UserDetailsService查找对应的用户信息

  1. 认证结果处理

例如:如果认证成功(用户名和密码完全正确),AuthenticationProvider将会返回一个完全有效的Authentication对象(UsernamePasswordAuthenticationToken),否则抛出AuthenticationException异常

认证完成后,AuthenticationManager将会返回该认证对象(UsernamePasswordAuthenticationToken)返回给过滤器

  1. 存储认证对象。相关的过滤器获得一个认证对象后,把他存储在安全上下文中(SecurityContext)用于后续的授权判断
爱编程的小生
关注
  • 43
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列(5)—— Servlet 认证体系结构介绍
gmHappy
11-25 1万+
安全上下文持有者,存储当前认证用户的。:安全上下文,包含当期认证用户的(认证信息),从中获取。:认证信息,用户提供的用于身份认证的凭据的输入。:授予主体的权限(即角色、作用域等)。:认证管理器,是一个接口,定义过滤器执行身份认证的API。:提供者管理器,是的默认实现。: 认证提供者,由选择,用于执行特定类型的身份认证。: 认证入口点,处理认证过程中的认证异常,比如:重定向登录页面:抽象认证处理过滤器,一个Filter抽象类,是身份验证的基础。
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security认证授权流程
m0_74118534的博客
03-04 1093
用户详情服务负责加载用户的详细信息。当身份验证提供者需要验证用户凭证时,它会调用用户详情服务来获取用户信息。这些信息包括用户名、密码、角色、权限等。通常情况下,你需要实现UserDetailsService接口,并覆盖loadUserByUsername方法,在方法中根据用户名加载用户详情。在验证用户信息的过程中,身份验证提供者会利用用户详情服务根据用户名加载用户的详细信息。然后,它会将用户提交的凭证与用户详情中的信息进行比对,以确认用户的身份是否有效。
如何利用SpringSecurity进行认证与授权
qq_63218110的博客
02-14 2879
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
SpringSecurity认证流程分析(各个组件之间的关联)
SunRains
11-22 3988
我一开始对于SpringSecurity也不是很熟悉,但是Security 作为一个Spring家族中的安全管理框架,而且每个项目都有授权、认证、鉴权等功能,所以很有必要对Spring Security了解清楚。在说明各个流程之前,找了一张关于它的架构,我只截取了其中关于认证这一部分的内容。 由上图可以清楚的看到在Security 认证的过程涉及到的对象,以及各个对象之间的关联。对于刚入门Java Web开发的时候,Filter作为JavaWeb的三大组件之一给我们留...
Spring Security——认证、授权的工作原理
Guizy
07-22 3173
目录 一、Spring Security 原理 二、Spring Security认证流程 (源码跟踪) 1、AuthenticationProvider 2、UserDetailsService 3、PasswordEncoder 三、Spring Security授权流程 (源码跟踪) 1、授权决策 一、Spring Security 原理 跳转到目录 是基于过滤器链来拦截用户发送的请求; Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对
后端进阶之路——综述Spring Security认证,授权(一)
Why_does_it_work的博客
08-02 3472
Spring Security是一个功能强大的Java框架,用于在应用程序中实现认证(Authentication)和授权(Authorization)功能。它提供了一套细粒度的安全性控制机制,帮助保护应用程序免受恶意攻击和未经授权的访问。 以下是Spring Security的基本概念和作用的简要总结:
Spring Security——基本概念和原理
程序员阿皓的博客
04-30 207
在上面的配置中,定义了一个简单的安全配置,指定了不同URL路径需要的角色权限。过滤器链是由一系列过滤器组成,每个过滤器负责不同的安全任务,如身份验证、授权、会话管理等。FilterChainProxy 是Spring Security中负责管理过滤器链的核心组件,它根据配置文件中定义的安全过滤器链顺序,依次调用。, FilterChainProxy 根据配置中定义的安全规则,依次调用相应的过滤器来处理身份验证、授权等任务。每个过滤器在执行过程中会处理特定的安全任务,如身份验证、授权等。)来定义用户的权限。
SpringBoot集成SpringSecurity(二) 登录认证流程解析
罗伯特是疯子丶
03-23 2931
需求 公司打算重构权限系统,主要因为现有的系统存在这些问题: 查询用户步骤繁琐:选系统(主要是这一点)——用户名——查询按钮; 简化权限只分配到角色:现在权限全部汇总到一起,不知道权限从何而来; 角色承担职责过多,杂而乱; 登录名不唯一,无账号找回功能 … 总之就是一个很乱的权限系统,考虑到security的强大功能,灵活易拓展(各种自定义),耦合性低,所以打算用security去是实现。 上...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
Spring security自定义用户认证流程详解
08-24
主要介绍了Spring security自定义用户认证流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
基于Spring Security的OAuth2.1和OIDC1.0认证服务器设计源码
06-02
本源码提供了一个基于Spring Security框架的OAuth2.1和OIDC1.0认证服务器实现。项目包含102个文件,主要使用Java(51个文件)、JSP(12个文件)、XML(10个文件)、HTML(9个文件)等编程语言和标记语言开发。此外,...
浅析 Spring Security认证过程及相关过滤器
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-09 992
前言上一篇文章浅析 Spring Security 核心组件中介绍了Spring Security的基本组件,有了前面的基础,这篇文章就来详细分析下Spring Security认证过程。Spring Security核心之一就是它的过滤器链,我们就从它的过滤器链入手,下图是Spring Security 过滤器链的一个执行过程,本文将依照该过程来逐步的剖析其认...
进阶2 探索图形化编程:扩展图形组件与切片开发的魅力
优树搭的博客
05-30 1498
当这些切片成功地通过图形程序串联起来后,在后续进行程序升级或维护时,大家会惊喜地发现,图形程序就如同清晰的路标一般,可以非常便捷地通过图形程序准确地定位到相关切片,并对这些切片进行在线查看、编辑和执行等操作。而且,这些切片的代码长度通常不会太长,相比传统开发的代码,阅读起来要容易得多,这无疑会给系统后续的工作带来极大的便利。
JavaScript第九讲:BOM编程
最新发布
星途码客的博客
06-04 535
今天星途给大家带来JavaScript倒数第二部分知识:BOM编程,希望对码客们有帮助。
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
Itmastergo的博客
05-31 898
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 369
【代码】Java手动启动jar包。
Spring Security基于用户名和密码的认证模式流程
07-17
Spring Security基于用户名和密码的认证模式的流程如下: 1. 用户在登录页面输入用户名和密码。 2. 用户提交登录表单后,Spring Security会拦截该请求,并将用户名和密码封装到一个Authentication对象中。 3. Spring Security根据配置的认证管理器(AuthenticationManager)来进行认证处理。 4. 认证管理器会根据用户名从数据库或其他认证源获取用户的信息,包括密码等凭证信息。 5. 认证管理器会对用户输入的密码进行加密处理,然后与数据库中存储的密码进行比对。 6. 如果密码匹配成功,认证管理器会创建一个包含用户权限信息的Authentication对象。 7. 认证管理器将认证通过的Authentication对象返回给Spring Security,表示认证成功。 8. Spring Security会将该认证信息存储到安全上下文(SecurityContextHolder)中,以便后续的权限验证和访问控制。 9. 用户被重定向到登录成功后的页面或者原始请求页面。 如果认证失败,则Spring Security会返回错误信息给用户或者重定向到登录失败页面。 需要注意的是,上述流程中的具体实现方式可以根据业务需求和配置进行自定义,例如可以使用自定义的UserDetailsService来获取用户信息,使用自定义的PasswordEncoder来处理密码加密等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值