爆破专栏丨千锋Spring Security系列教程之Spring Security认证授权流程

最新推荐文章于 2024-09-02 16:47:21 发布
最新推荐文章于 2024-09-02 16:47:21 发布
阅读量256 收藏
点赞数
分类专栏: Javaee 文章标签: Java开发 Java小白 Java学习 Java基础 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qfzhangxu/article/details/121339444
版权
本文详细分析了Spring Security的认证授权流程,包括SecurityContextPersistenceFilter、UsernamePasswordAuthenticationFilter、AuthenticationManager与ProviderManager的工作原理。通过源码解析,阐述了从用户登录到Authentication对象创建和权限检查的全过程,帮助读者深入理解Spring Security的内部机制。
摘要由CSDN通过智能技术生成

前言

在上一章节中,一一哥 带大家认识了Spring Security内部关于认证授权的几个核心API,以及这几个核心API之间的引用关系,掌握了这些之后,我们就能进一步研究分析认证授权的内部实现原理了。这样才真正的达到了 "知其所以然"

本篇文章中,壹哥 带各位小伙伴进一步分析认证授权的源码实现,请各位再坚持一下吧......

一. Spring Security认证授权流程图概述

在上一章节中,壹哥就给各位贴出过Spring Security的认证授权流程图,该图展示了认证授权时经历的核心API,并且展示了认证授权流程。接下来我们结合源码,一点点分析认证和授权的实现过程。
 

  大家可以加老师vx领取最新资料哦

二. 简要剖析认证授权实现流程的代码逻辑

Spring Security的认证授权流程其实是非常复杂的,在我们对源码还不够了解的情况下,壹哥先给各位简要概括一下这个认证和授权流程,大致如下:

  1. 用户登录前,默认生成的Authentication对象处于未认证状态,登录时会交由Authentication Manager负责进行认证。

  2. AuthenticationManager会将Authentication中的用户名/密码与UserDetails中的用户名/密码对比,完成认证工作,认证成功后会生成一个已认证状态的Authentication对象;

  3. 最后把认证通过的Authentication对象写入到SecurityContext中,在用户有后续请求时,可从Authentication中检查权限。

我们可以借鉴一下Spring Security官方文档中提供的一个最简化的认证授权流程代码,来认识一下认证授权的实现过程,该代码省略了UserDetails操作,只做了简单认证,可以对认证授权有个大概了解。

 

public class AuthenticationExample {
 
     
  private static AuthenticationManager am = new SampleAuthenticationManager();
  
  public static void main(String[] args) throws Exception {
 
   BufferedReader in = new BufferedReader(new InputStreamReader(System.in));
  
   while (true) {
 
             //模拟输入用户名密码
    System.out.println("Please enter your username:");
    String name = in.readLine();
             
    System.out.println("Please enter your password:");
    String password = in.readLine();
             
    try {
 
     //根据用户名/密码,生成未认证Authentication
     Authentication request = new UsernamePasswordAuthenticationToken(name, password);
                 //交给AuthenticationManager 认证
     Authentication result = am.authenticate(request);
     //将已认证的Authentication放入SecurityContext
     SecurityContextHolder.getContext().setAuthentication(result);
     break;
    } catch (AuthenticationException e) {
 
     System.out.println("Authentication failed: " + e.getMessage());
    }
   }
         
   System.out.println("Successfully authenticated. Security context contains: "
     + SecurityContextHolder.getContext().getAuthentication());
  }
 }

 //认证类
 class SampleAuthenticationManager implements AuthenticationManager {
 
     //配置一个简单的用户权限集合
  static final List<GrantedAuthority> AUTHORITIES = new ArrayList<GrantedAuthority>();
  
     static {
 
   AUTHORITIES.add(new SimpleGrantedAuthority("ROLE_USER"));
  }
  
  public Authentication authenticate(Authentication auth) throws AuthenticationException {
 
         //如果用户名和密码一致,则登录成功,这里只做了简单认证
   if (auth.getName().equals(auth.getCredentials())) {
 
    //认证成功,生成已认证Authentication,比未认证多了权限
    return new UsernamePasswordAuthenticationToken(auth.getName(), auth.getCredentials(), AUTHORITIES);
   }
         
   throw new BadCredentialsException("Bad Credentials");
  }
 }
 

以上代码只是简单的模拟了认证的过程,那么真正的认证授权操作,是不是也这样呢?接下来请跟着 一一哥,咱们结合源码进行详细的剖析。
 

三. Spring Security认证流程源码详解
 

1. Spring Security过滤器链执行顺序
 

在 Spring Security 中,与认证、授权相关的校验其实都是利用一系列的过滤器来完成的,这些过滤器共同组成了一个过滤器链,如下图所示:
 

图片
 

你可能会问,我们怎么知道这些过滤器在执行?其实我们只要开启Spring Security的debug调试模式,开发时就可以在控制台看到这些过滤器的执行顺序,如下:
 

图片
 

图片
 

所以在上图中可以看到,Spring Security中默认执行的过滤器顺序如下:
 

    
 
  •  
    WebAsyncManagerIntegrationFilter
     
    • 
 
  •  
    SecurityContextPersistenceFilter
     
    • 
 
  •  
    HeaderWriterFilter
     
    • 
 
  •  
    CsrfFilter
     
    • 
 
  •  
    LogoutFilter
     
    • 
 
  •  
    UsernamePasswordAuthenticationFilter
     
    • 
 
  •  
    DefaultLoginPageGeneratingFilter
     
    • 
 
  •  
    DefaultLogoutPageGeneratingFilter
     
    • 
 
  •  
    RequestCacheAwareFilter
     
    • 
 
  •  
    SecurityContextHolderAwareRequestFilter
     
    • 
 
  •  
    AnonymousAuthenticationFilter:如果之前的认证机制都没有更新 Security Context Holder 拥有的 Authentication,那么一个 Anonymous Authen  tication Token 将会设给 Security Context Holder。
     
    • 
 
  •  
    SessionManagementFilter
     
    • 
 
  •  
    ExceptionTranslationFilter:用于处理在 Filter Chain 范围内抛出的 Access Denied Exception 和 Authentication Exception,并把它们转换为对应的 Http 错误码返回或者跳转到对应的页面。
     
    • 
 
  •  
    FilterSecurityInterceptor:负责保护 Web URI,并且在访问被拒绝时抛出异常。
     
    • 

 

2. SecurityContextPersistenceFilter
 

在上面的过滤器链中,我们可以看到 Security Context PersistenceFilter这个过滤器。Security Context Persistence Filter是Security中的一个拦截器,它的执行时机非常早,当请求来临时它会从Security Context Repository中把SecurityContext对象取出来,然后放入Security Context Holder的Thread Local中。在所有拦截器都处理完成后,再把Security Context存入Security Context Repository,并清除Security Context Holder 内的 Security Context 引用。
 

3. AbstractAuthenticationProcessingFilter
 

在上面图中所展示的一系列的过滤器中,和认证授权直接相关的过滤器是 Abstract Authentication Processing Filter 和 Username Password Authentication Filter。但是你可能又会问,怎么没看到 Abstract Authentication Processing Filter 这个过滤器呢?这是因为它是一个抽象的父类,其内部定义了认证处理的过程,Username Password Authentication Filter 就继承自 Abstract Authentication Processing Filter。如下图所示:
 

图片
 

从上图中我们可以看出,Abstra

                

        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  Davie老师
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
Spring security 认证授权流程(一)——登录认证

				
			

			

				

					print_out的博客
				

				

					11-04
					
					3036
					
				

			

		

		

			
				
1、Spring security介绍
Spring Security:是一个提供身份验证,授权和保护以防止常见攻击的框架。 凭借对命令式和反应式应用程序的一流支持,它为Spring应用程序的安全提供实际标准。
Spring security实现功能,
1、认证,即who are you ,解决你是谁的问题
2、授权,即what are you,你能干什么。
3、安全保护,防止常见攻击
1、认证(who are you)
Spring Security为身份验证提供了全面的支持。 身份验证是我们验证谁试图访

			
		

	



                

              
                



	

		

			

				
					
爆破专栏千锋Spring Security系列教程SpringSecurity的密码加密

				
			

			

				

					qfzhangxu的博客
				

				

					11-16
					
					212
					
				

			

		

		

			
				
前言

截止到现在,一一哥已经带各位学习了很多关于SpringSecurity的知识点,但是Spring Security作为一个安全框架,其必然就应该带有安全加密方面的内容,所以本篇文章,一一哥 就带各位来学习Spring Security的密码加密机制。

Let's go!



一. 密码加密简介

1. 散列加密概述

我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数

			
		

	



                


  
              

                


	

		

			

				
					
Spring Security系列教程12--Spring Security认证授权流程

				
			

			

				

					一一哥
				

				

					09-24
					
					5485
					
				

			

		

		

			
				
在上一章节,一一哥 带大家认识了Spring Security内部关于认证授权的几个核心API,以及这几个核心API之间的引用关系,掌握了这些之后,我们就能进一步研究分析认证授权的内部实现原理了。这样才真正的达到了 "知其所以然"!
本篇文章,壹哥 带各位小伙伴进一步分析认证授权的源码实现,请各位再坚持一下吧......
一. Spring Security认证授权流程图概述
在上一章节,壹哥就给各位贴出过Spring Security认证授权流程图,该图展示了认证授权时经历的核心AP...

			
		

	





	

		

			

				
					
Spring Security 用户认证授权管理

					
最新发布

				
			

			

				

					weixin_44876263的博客
				

				

					09-02
					
					1240
					
				

			

		

		

			
				
文章目录一、介绍1、简介2、核心概念3、主要功能4、处理流程二、Spring Security实现权限1、添加依赖2、执行顺序和代码执行流程(1)用户登录(2)访问受保护资源总结1、用户登录2、访问受保护资源完整源码

一、介绍
1、简介
Spring Security 是一个强大的安全框架,旨在保护基于 Spring 的应用程序。它提供了一整套全面的安全功能,包括认证授权、以及防护常见安全攻击的机制。
2、核心概念


认证(Authentication)
认证是验证用户身份的过程。在 Spring S

			
		

	



		

			
		



	

		

			

				
					
springsecurity认证授权过程

				
			

			

				

					weixin_42053164的博客
				

				

					09-01
					
					181
					
				

			

		

		

			
				
认证:

1.如果没有自定义认证类,那么默认使用user用户和启动时随机生成的密码。

2.如果有,但是没有加密类,那么框架直接使用请求的密码和返回的userdetails实现类的密码比较;

3.如果有加密类,那么springsecurity调用加密类的matches()方法比较;



授权:

1.在认证时,创建许可集合;

  List<GrantedAuthority> grantAuths = new ArrayList();
  grantAuths.ad...

			
		

	





	

		

			

				
					
Spring Security 认证授权流程

				
			

			

				

					qq_53578500的博客
				

				

					07-22
					
					6905
					
				

			

		

		

			
				
Spring Security 认证授权流程

			
		

	





	

		

			

				
					
spring security认证授权流程

					
热门推荐

				
			

			

				

					健康平安的活着的专栏
				

				

					07-25
					
					1万+
					
				

			

		

		

			
				
一.springsecurity认证流程

1.1 常用过滤器

SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明:


			WebAsyncManagerIntegrationFilterSecurity 上下文与 Spring Web 用于 

			处理异步请求映射的 WebAsyncManager 进行集成。
			
		
			SecurityContextPersistenceFilte

			
		

	





	

		

			

				
					
爆破专栏Spring Security系列教程之基于持久化令牌方案实现自动登录_spring security账户登录暴破

				
			

			

				

					2301_82241647的博客
				

				

					05-04
					
					951
					
				

			

		

		

			
				
这时候,我们只需要在登录页面输入 用户名和密码,勾选“记住我”功能之后,Spring Security就会生成一个持久化令牌,在这个令牌就保存了当前登陆的用户信息,该令牌信息会被自动持久化存储到persistent_logins表。已经带各位实现了基于持久化令牌方案的自动登录,你可能很好奇,Spring Security内部到底是怎么进行实现的呢?当我们经过自动登录之后,就可以在persistent_logins表的series和token字段看到,分别保存了对应的信息。我们看到解码出来的结果。

			
		

	





	

		

			

				
					
爆破专栏Spring Security系列教程Spring Security认证授权流程

				
			

			

				

					关注我!带你一路 "狂飙" 到底!
				

				

					10-22
					
					506
					
				

			

		

		

			
				
前言

在上一章节,一一哥带大家认识了Spring Security内部关于认证授权的几个核心API,以及这几个核心API之间的引用关系,掌握了这些之后,我们就能进一步研究分析认证授权的内部实现原理了。这样才真正的达到了"知其所以然"!

本篇文章,壹哥带各位小伙伴进一步分析认证授权的源码实现,请各位再坚持一下吧......

需要更多教程,微信扫码即可



????????????

别忘了扫码领资料哦【高清Java学习路线图】

和【全套学习视频及配套资料】



一. Spring Securi

			
		

	





	

		

			

				
					
爆破专栏千锋系列教程Spring Security核心API讲解

				
			

			

				

					qfzhangxu的博客
				

				

					11-15
					
					203
					
				

			

		

		

			
				
前言

经过前面几个章节的学习,一一哥带大家实现了基于内存和数据库模型的认证授权,尤其是基于自定义的数据库模型更是可以帮助我们进行灵活开发。但是前面章节的内容,属于让我们达到了 "会用" 的层级,但是 "为什么这么用",很多小伙伴就会一脸懵逼了。对于技术学习来说,我们追求的不仅要 "知其然",更要 "知其所以然"!

本篇文章,壹哥就跟各位小伙伴一起来了解剖析Spring Security源码内部,实现认证授权的具体过程及底层原理。接下来请各位做好心理准备,以下的学习过程可能会让你心理 “稍有不适” 哦

			
		

	





	

		

			

				
					
Spring Security认证授权流程

				
			

			

				

					m0_74118534的博客
				

				

					03-04
					
					1300
					
				

			

		

		

			
				
用户详情服务负责加载用户的详细信息。当身份验证提供者需要验证用户凭证时,它会调用用户详情服务来获取用户信息。这些信息包括用户名、密码、角色、权限等。通常情况下,你需要实现UserDetailsService接口,并覆盖loadUserByUsername方法,在方法根据用户名加载用户详情。在验证用户信息的过程,身份验证提供者会利用用户详情服务根据用户名加载用户的详细信息。然后,它会将用户提交的凭证与用户详情的信息进行比对,以确认用户的身份是否有效。

			
		

	





	

		

			

				
					
Spring security认证授权

				
			

			

				

					11-30
				

			

		

		

			
				
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)

			
		

	





	

		

			

				
					
springsecurity认证授权流程

				
			

			

				

					weixin_42576186的博客
				

				

					02-19
					
					380
					
				

			

		

		

			
				
SpringSecurity认证授权流程包括身份验证和授权两个主要的步骤。身份验证(Authentication)是确认用户身份的过程,而授权(Authorization)是确定用户是否有权访问特定资源的过程。
...

			
		

	





	

		

			

				
					
spring security认证授权流程

				
			

			

				

					weixin_47618391的博客
				

				

					05-27
					
					5481
					
				

			

		

		

			
				
在上面的示例代码,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证授权是任何安全体系的两个主要功能,而在现代Web开发Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章,我们将全面介绍Spring Security认证授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。

			
		

	





	

		

			

				
					
三、Spring Security认证授权-授权流程及源码解析

				
			

			

				

					STIll_ly的博客
				

				

					10-05
					
					1732
					
				

			

		

		

			
				
上期我们学习了基于UsernamePasswordAuthenticationFilter的表单认证,接下来我们将对Spring Security授权相关知识点进行介绍并进行源码级解析。认证授权是两个密不可分的好基友,只认证授权,系统将不知道用户有哪些权限,能进行哪些操作。就像是一个公司只设置了门卫,只要是本公司职员就能进入(认证过程),但是没有明确的规章制度和上下级关系,进入公司以后具体有哪些权利和义务没人知道(授权),将导致公司陷入混乱无法运转。
一、授权表达式
Spring Security允许我

			
		

	





	

		

			

				
					
Spring Security认证授权

				
			

			

				

					Zhang122593332的博客
				

				

					08-31
					
					408
					
				

			

		

		

			
				
Spring Security是一个专注与为Java应用程序提供身份认证授权的框架,它的强大之处在于它可以轻松扩展以满足自定义的需求。实现认证的逻辑,自定义认证规则(AuthenticationManager: 认证的核心接口)转发,浏览器访问A,A完成部分请求,存入Request,转发给B完成剩下请求。之前采用拦截器实现了登录检查,这是简单的权限管理方案,现在将废弃。对当前系统内的所有的请求,分配访问权限(普通用户、板主、管理员)。继承WebSecurityConfigurerAdapter。...

			
		

	





	

		

			

				
					
spring security的基本认证授权过程讲解

				
			

			

				

					xiong02的博客
				

				

					05-12
					
					517
					
				

			

		

		

			
				
spring security的基本认证授权过程讲解*
	在学习spring security框架,对一个基本的权限控制有一个了解,我们只知道实现一个UserDetailsService在里面写查询数据库的操作但不明白里面具体是怎么进行认证授权的,今天在这里做一个基本的介绍。
	首先我们需要明白spring security本质是一个过滤器链,里面是一个个过滤器,这些过滤器按照一定的顺序执行,最后达到一个控制权限的目的。
	然后我们首先讲解基本的认证过程。

1、首先在开发我们一般第一步继承U...

			
		

	





	

		

			

				
					
SpringSecurity的基本认证授权流程,原理方法

				
			

			

				

					qq_14930709的博客
				

				

					06-18
					
					6030
					
				

			

		

		

			
				
Spring SecuritySpring家族的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。
​	一般来说大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。
​	一般Web应用的需要进行认证授权。
​	**认证**:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户......

			
		

	





	

		

			

				
					
Kali系列之Hydra/Medusa  mysql密码爆破

				
			

			

				

					05-13
				

			

		

		

			
				
这里以MySQL为例进行演示。  首先,安装Hydra和Medusa。在Kali Linux,可以使用以下命令安装:  ``` sudo apt-get install ...需要注意的是,在进行密码爆破测试时,需要获得授权并遵守法律法规,不得用于非法用途。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值