Spring Security 系列第0章

最新推荐文章于 2024-05-20 22:57:28 发布
最新推荐文章于 2024-05-20 22:57:28 发布
阅读量72 收藏
点赞数
分类专栏: JAVA 编程 Spring 文章标签: spring servlet java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25905629/article/details/130822182
版权
JAVA 同时被 3 个专栏收录
5 篇文章 1 订阅
订阅专栏
编程
5 篇文章 0 订阅
订阅专栏
Spring
1 篇文章 0 订阅
订阅专栏

个人博客

介绍

Spring Security 是一个安全框架,它提供身份验证授权和针对常见攻击的保护。它支持 ServletReactive 应用的保护。

以上是 Spring 官方的介绍,从开发人员角度来说它就是一串大的 Filter (FilterChain 责任链设计模式),一个接着一个。对于早期 Java Web 开发人员最熟悉不过了。

回顾 Filter

在这里插入图片描述

大多数流行的 Java Web 还是运行在 Tomcat 容器之上,所以还是说 Tomcat 容器为主,Tomcat 是 Servlet 容器规范的一种实现。Servlet 规范中有很多组件,比如 Servlet 组件,Filter 组件等,不同组件有不同功能**。(千万别把规范和组件搞混)**

为了屏蔽 Filter 组件细节,Servlet 规范也提出接口让用户实现,也就是在 Java Web 应用中实现过滤器的 Filter 接口

Filter 是用于修改 HTTP 请求和响应的一条流水线,客户端向服务端发送请求时候先由 Tomcat 转发到 Filter,多个 Filter 在 Tomcat 会创建为 FilterChain 形成一条链。

只要能满足当前的 Filter 就可以通过调用 doFilter 传递给下一个 Filter,否则就直接返回,走不到受保护的业务代码。

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
	// do something before the rest of the application
    chain.doFilter(request, response); // invoke the rest of the application
    // do something after the rest of the application
}

整体架构

通过上述知道 Filter 可以做到检测请求或修改响应,Spring Security 就是实现 Filter 完成的。

在这里插入图片描述

在 Spring Security 的 Filter 实现类为 DelegatingFilterProxy 它作为 Servlet 容器和 Spring 的桥梁,也就是定义在 Spring Bean 的 Filter 也能注册到 Servlet 容器,它另一个好处是它允许延迟加载 Filter 实例。

这是 DelegatingFilterProxy 的伪代码。

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
	// Lazily get Filter that was registered as a Spring Bean
	// For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
	Filter delegate = getFilterBean(someBeanName);
	// delegate work to the Spring Bean
	delegate.doFilter(request, response);
}

DelegatingFilterProxy 里面包含一个 FilterChainPorxy 是一个特殊的 Filter Bean ,它被 Spring 管理。它主要用于根据 HttpServletRequest 内容匹配调用其他 Security FilterSecurity Filter 是扩展更多功能的 Filter。

Security Filters 框架内置实现,不同的 Filter 实现的是身份验证授权和针对常见攻击的保护功能。

  • CasAuthenticationFilter
  • OAuth2LoginAuthenticationFilter
  • Saml2WebSsoAuthenticationFilter
  • UsernamePasswordAuthenticationFilter

Q&A

Q:为什么不用 DelegatingFilterProxy 直接匹配 URL,而是用 FilterChainPoryx?

A: 因为需要清理 SecurityContext 带来的内存。

Q:为什么 Spring Security 有这么多内置过滤器?

A:这些过滤器的实现都是来自业界内定义好的协议实现,就比如 HTTP 协议一样。

参考链接:https://docs.spring.io/spring-security/reference/5.7/servlet/architecture.html

error0_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity源码解析--SecurityContextPersistenceFilter
程序员劝退师的博客
11-19 282
概述 SecurityContextPersistenceFilter有两个主要任务: 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder; 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回SecurityContextRepository,并清空SecurityContextHolder。 通过SecurityContextPersistenceFilter的这种
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
pre:基于Spring Boot,Spring Security的RBAC权限管理系统,做更简洁的后台管理系统
03-11
系统介绍 预基于Spring Boot,Spring Security,Vue的前预先分离的RBAC权限管理系统,项目支持数据权限管理,支持重定向配置动态路由,第三方社交登录,努力做最简单的后台管理系统。 基于Spring Boot 2.2.2,Spring Security的RBAC权限管理系统 基于Vue UI框架Element-ui 作为Mybatis Plus学习与生产实践 作为Lambda,Stream Api的学习与生产实践 作为Spring Social的学习与生产实践 扫码关注我的公众号和微信技术交流群 扫码添加作者 我的公众号 扫码邀请入群 文档与教程 使用文档 从零构建RBAC权限系统 系统体验 体验地址 账号密码admin/123456 项目源码 初步源码 前端原始码 的GitHub 码云 项目特点 前一级分离架构 代码注释丰富,极其简洁风格,上手快易理解 采用R
spring-jwt:Bom's House Spring-(1)用于Auth0 JWT Library广播的Spring安全性存储库
05-17
Spring House Spring-(1)Spring Security + Auth0 JWT库 早上好。 早上好。 这是Bom的《 House Spring》的第一期。 在本节中,您将学习Spring Security的基本概念并一起阅读参考文档。 我们还将有时间查看内置的默认实现。 另外,学习如何使用Auth0 Java-JWT( )发行和认证JWT。 社交提供者集成也很容易品尝。 谢谢! 广播日记 帐户对象要求 基本用户信息 ID,密码,名称和链接(profileHref) 您想授予用户使用该服务的权限 对于以社交方式登录的用户,社交服务提供的ID代码(而不是登录ID) 身份验证过程中如何处理用户信息 照原样使用用户模型 使用用户详细信息实施 ###今天的任务 实施Kakao登录。 创建一个使用用户的Kakao令牌获取用户信息的逻辑(服务)。 实施可扩展,
6spring boot+security+oauth2 第三方登录1
08-08
1.理解OAuth 2.0http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html2.github第三方登录h
springbootsecurity01.zip
05-30
#功能说明 通过多次扩展WebSecurityConfigurerAdapter实现了一个系统多个登录界面隔离的功能。 1、admin开头地址自动跳转到admin登录界面,否则跳转到默认登录界面 2、根据不同的角色控制系统访问路径,做到权限隔离 ## 关键注意点 1、用户验证实现UserDetailsService接口,注意角色需要ROLE_kaitou 2、扩展WebSecurityConfigurerAdapter,覆盖configure(HttpSecurity http) 第一句必须是http.antMatcher("/portal/**").authorizeRequests(),否则多个不会生效 3、此次版本为5,需要进行加密处理,具体看代码,但是页面输入直接输明文即可。
Spring Security-SecurityContext
kaikai8552的专栏
02-24 6697
  Spring Security在认证成功后,将票据存放在SecurityContext中。SecurityContext是一个接口,从接口的方法可以看出,用户可以通过SecurityContext存放和读取票据信息(Authentication)。      SecurityContext又存放在SecurityContextHolder。SecurityContextHolder定义了Sec
10-SpringSecurity:JWT及无状态服务
Heartsuit的博客
01-13 701
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。 会话管理,是一个比较大的话题,大家熟知的Cookie-Session模式就忽略掉,今天重点介绍无状态会话:基于令牌的JWT(JSON Web Token),适用于微服务架构的会话管理方式;后续会涉及计到Session共享、OAuth2.0等关于分布式集群的会话管理。 JWT简介 关于JWT的介绍,网上资源有很多,可参考:https://jwt.io/introduction,简单来
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
SpringSecurity
qq_27295923的博客
09-05 676
SpringBoot下使用SpringSecurity (一)基本 1.SpringSecurityJWT学习博客 https://blog.csdn.net/larger5/article/details/81047869 https://blog.csdn.net/larger5/article/details/81063438 2.设置不需要登录就能访问接口 在SpringSecurityC...
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 3877
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
SpringBoot(九)——SpringSecurity 响应 json 数据、资源放行问题、登录(自动登录,会话管理、csrf请求攻击和防御)、JWT——有状态登录和无状态登录
qq_41824825的博客
03-02 1545
SpringSecurity 响应 json 数据、登录(自动登录,会话管理、csrf请求攻击和防御)、JWT——有状态登录和无状态登录
SpringSecurity基础(一)自动保护接口
weixin_43189971的博客
07-18 291
1.配置依赖自动保护接口
SecurityContextPersistenceFilter详解
小汤圆
08-11 1588
试想一下,如果我们不使用Spring Security,如果保存用户信息呢,大多数情况下会考虑使用Session对吧?在Spring Security中也是如此,用户在登录过一次之后,后续的访问便是通过sessionId来识别,从而认为用户已经被认证。SecurityContextHolder存放用户信息,认证相关的信息是如何被存放到其中的,便是通过SecurityContextPersistenceFilter。SecurityContextPersistenceFilter的两个主要作用便是请求来临时,
(三)Spring教程——依赖注入与控制反转
05-14 557
Spring有两个重要的接口:BeanFactory和ApplicationContext,所谓的容器就是实现了BeanFactory接口或者是ApplicationContext接口的类的实例,BeanFactory是最顶层、最基本的接口,它描述了容器需要实现的最基本的功能,比如对象的注册、获取等。在编写传统的Java应用代码时,我们一般是直接在对象内部通过new来创建对象,让程序主动去创建依赖对象,这就是一个“谁使用,谁创建”的过程,创建依赖对象的主动权和创建时机都是由自己来把控。
SpringCloud系列(22)--Ribbon默认负载轮询算法原理及源码解析
最新发布
m0_64284147的博客
05-20 381
在上一篇文章中我们介绍了如何去切换Ribbon的负载均衡模式,而本章节内容则是介绍Ribbon默认负载轮询算法的原理。
Spring Security】授权
weixin_43676950的博客
05-20 402
RBAC(Role-Based Access Control,基于角色的访问控制)是一种常用的数据设计方案,它将用户的权限分配和管理与角色相关联。通过对用户角色关联和角色权限关联表进行操作,可以实现灵活的权限管理和访问控制。1、用户表(User table):包含用户的基本信息,例如用户名、密码和其他身份验证信息。5、角色权限关联表(Role-Permission table):将角色与权限关联起来。4、用户角色关联表(User-Role table):将用户与角色关联起来。
spring 循环依赖
weixin_45849726的博客
05-14 439
先创建ABean1.0. 记录正在创建ABean singletonCurrentlyInCreation<1.1.实例化ABean–>得到一个对象–>存入singletonFactories1.2. 填充BBean属性–>去单例池找BBean–>没有就创建1.3. 进行其他依赖注入1.4. 初始化前,初始化1.5. 初始化后1.6. 放入单例池创建BBean2.1. 实例化BBean–>得到一个对象。
java云his系统源码 一站式诊所SaaS系统Java+Spring+Angular+Nginx 云HIS系统八大特点
zmm201453的博客
05-15 1213
HIS系统采用面向技术架构的分析与设计方法,应用多层次应用体系架构设计,运用基于构件技术的系统搭建模式与基于组件模式的系统内核结构。通过建立统一接口标准,实现数据交换和集成共享,通过统一身份认证和授权控制,实现业务集成、界面集成。
spring spring security
08-13
- *1* *2* [Spring整合SpringSecurity(一)](https://blog.csdn.net/qq_45297578/article/details/118998861)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值