spring security 流程

最新推荐文章于 2024-04-20 16:32:09 发布
最新推荐文章于 2024-04-20 16:32:09 发布
阅读量285 收藏
点赞数
分类专栏: springboot 文章标签: spring security oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21959403/article/details/118103538
版权

security本质:

就是责任链模式,通过一系列的过滤器来实现安全认证。

 

核心:FilterChainProxy

FilterChainProxy 用来统一管理 Spring Security filter

 

FilterChainProxy是如何加载到spring filter链中的?

AbstractSecurityWebApplicationInitializer.onStartup()-》
insertSpringSecurityFilterChain() -> registerFilter()

参考链接:https://blog.csdn.net/zimou5581/article/details/102457858

 

 

 

容器启动后 ,加载一系列的过滤器到 

private List<SecurityFilterChain> filterChains;

ps: 自定义过滤器通过下面加入

 

 

轮到FilterChainProxy过滤器执行的时候:

调用私有方法 doFilterInternal,里面创建FilterChainProxy 静态内部类,并手动调用内部类的doFilter方法,进行 一系列过滤器 的执行

 

 

各个过滤器作用:

WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。

SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将 SecurityContextHolder 中的信息清除,例如在Session中维护一个用户的安全信息就是这个过滤器处理的。

HeaderWriterFilter:用于将头信息加入响应中。

CsrfFilter:用于处理跨站请求伪造。

LogoutFilter:用于处理退出登录。

 

OAuth2AuthenticationProcessingFilter:  从request中获取Authorization, 并创建Authentication认证对象,并把认证对象设置进当前线程SecurityContextHolder.getContext().setAuthentication(authentication) 

ps: 如果先执行自定义tokenfilter 认证,存入securitycontextholder,

再轮到OAuth2AuthenticationProcessingFilter执行,那么之前的认证对象,将被覆盖

 

 

 

UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 两个参数的值进行修改。

DefaultLoginPageGeneratingFilter:如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。

BasicAuthenticationFilter:检测和处理 http basic 认证。

RequestCacheAwareFilter:用来处理请求的缓存。

SecurityContextHolderAwareRequestFilter:主要是包装请求对象request。

AnonymousAuthenticationFilter:检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。

SessionManagementFilter:管理 session 的过滤器

ExceptionTranslationFilter:处理 AccessDeniedException 和 AuthenticationException 异常。

FilterSecurityInterceptor:可以看做过滤器链的出口。

RememberMeAuthenticationFilter:当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

 

流程图:

640?wx_fmt=png

 

 

参考链接:

https://my.oschina.net/u/2277392/blog/3082390

 

 

 

超Sir丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程SpringSecurity系统启动流程 SpringSecurity调用流程
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 1984
Spring Security配置流程剖析
SpringSecurity
最新发布
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
SpringSecurity源码分析(一) SpringBoot集成SpringSecuritySpring安全框架的加载过程
xl649138628的专栏
02-19 1369
SpringSecurity源码学习,本文主要讲述Spring安全框架的加载过程
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
Spring security认证授权
11-30
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它提供了全面的安全解决方案,包括用户认证、权限授权、会话管理、CSRF防护以及基于HTTP的访问控制。在这个例子中,我们将...
Spring Security整合Oauth2实现流程详解
09-07
Spring Security 是一个强大的安全框架,它为Java应用程序提供了全面的安全管理解决方案。而OAuth2则是一种开放标准,用于授权第三方应用访问用户的数据。在前后端分离的架构中,OAuth2常常用于处理用户登录验证,...
Spring Security 3应用的11个步骤.doc
08-30
1. Spring Security 11个步骤为应用程序添加安全防护 2. 历史与现状 自2003年出现的Spring扩展插件Acegi Security发展而来。 目前最新 版本为3.x,已成为Spring的一部分。 为J2EE企业应用程序提供可靠的安全性服务。
spring security 启动报错
云智禅师的专栏
12-19 1577
十二月 19, 2017 1:43:55 上午 org.apache.tomcat.util.digester.SetPropertiesRule begin 警告: [SetPropertiesRule]{Server/Service/Engine/Host/Context} Setting property 'source' to 'org.eclipse.jst.jee.server:se
springSecurity 认证流程
yuzheh521的博客
01-01 523
认证流程是在UsernamePasswordAuthenticationFilter过滤器中处理的,具体流程如下所示: UsernamePasswordAuthenticationFilter源码 当前端提交的是一个 POST 方式的登录表单请求,就会被该过滤器拦截,并进行身份认证。该过滤器的 doFilter() 方法实现在其抽象父类 AbstractAuthenticationProcessingFilter中,查看相关源码: *** 上述的 第二 过程调用了UsernamePassword
spring security执行流程
m0_38105216的博客
01-25 4350
启动的时候把userRespository注入进来 执行流程 首先我们配置SecurityConfiguration它继承WebSecurityConfiguraterAdpter 并且实现 configure是释放静态资源 还实现了configure(HttpSecurity http)主要是对于url请求资源的拦截处理 主要是通过UsernamePasswordAuthe...
spring security运行流程
u011511684的专栏
06-16 1万+
spring security流程
Spring-Security框架的实现流程
凌晨12点,说出你的知心话
05-27 370
Spring-Security实现流程 spring-security入口 DelegatingFilterProxy(Spring-Web) ->FilterChainProxy `(Spring-Security)-> 这里看出Spring是通过DelegatingFilterProxy来整合Spring-Security的 一般这个类在我们的web.xml配置中使用的,当我们定义的filter为DelegatingFilterProxy 此时呢,所有的请求filter,都会去容器中找一
SpringBoot集成Spring Security(7)——认证流程
Jitwxs
12-02 6万+
文章目录一、认证流程二、多个请求共享认证信息三、获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Security 的认证流程,这样才能理解为什么要这样写代码,也方便后续的扩展。 一、认证流程 上图是 Spring Security 认证流程的一部分,下面的讲解以上图为依据。 (1) 用户发起表单登...
Spring Security用户认证流程源码详解
不清不慎的博客
04-21 1万+
上篇文章讲解了Spring Security的基本原理以及如何自定义用户认证逻辑,这篇文章将在上篇的基础上解读Spring Security的源码更清楚的了解它的认证逻辑流程。 本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一、用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求来的时...
Spring Security流程
09-08
Spring Security是一个开源的安全框架,用于在Java应用程序中提供身份验证和授权功能。它通过一系列的过滤器和处理器来实现安全认证和授权的流程。 首先,当请求到来时,Spring Security会通过一系列的过滤器来完成身份验证。其中一个重要的过滤器是UserNamePassWordAuthenticationFilter,它用于处理基于用户名和密码的身份认证。 在认证过程中,请求会经过securityContextpersistenceFilter,该过滤器的作用是判断会话中是否存在SecurityContext对象。如果存在,它会将SecurityContext对象放入当前线程的安全上下文中,以便在后续的过滤器中进行访问控制和授权处理。 在认证流程中,Spring Security还涉及其他重要的过滤器,如AuthenticationFilter、AuthorizationFilter等。这些过滤器会根据配置的安全规则对请求进行身份验证和授权处理,以确保只有经过认证和授权的用户能够访问受保护的资源。 总的来说,Spring Security流程包括请求到来、通过过滤器完成身份认证和授权处理、将安全上下文放入当前线程中,最终决定是否允许用户访问受保护的资源。<span class="em">1</span><span class="em">2</span><span class="em">3</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值