springsecurity的认证鉴权,acl,oauth2.0

最新推荐文章于 2024-06-19 19:09:51 发布
最新推荐文章于 2024-06-19 19:09:51 发布
阅读量530 收藏
点赞数
分类专栏: Spring Java 微服务 文章标签: spring java spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31349087/article/details/120061639
版权
Java 同时被 3 个专栏收录
28 篇文章 0 订阅
订阅专栏
Spring
16 篇文章 0 订阅
订阅专栏
微服务
4 篇文章 0 订阅
订阅专栏

主要就是一些拦截器链,@PreAuthorize,@PreFilter,@PostAuthorize和@PostFilter

认证AuthenticationManager

基于列表的ProviderManager实现,每个处理器都有机会处理验证成功或失败

AuthenticationProvider获取适配的处理器

鉴权AccessDecisionManager

基于投票的 AccessDecisionManager 实现,投票决策管理器AccessDecisionVoter

基本实现:

RoleVoter投票ROLE_开头的权限

AuthenticatedVoter用于区分匿名、完全身份验证和记住我身份验证的用户

RoleHierarchyVoter层级角色,允许您配置哪些角色admin(或权限)应该包括其他角色user(或权限)

AfterInvocationManager

调用后处理,修改安全对象调用实际返回的对象的方法

acl(域对象)访问控制列表

可以使用PermissionEvaluator接口 基于表达式的访问控制 hasPermission(target, permission)

boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission);第一种用于访问被控制的域对象已经加载的情况。

boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission);第二个版本用于未加载对象但其标识符已知的情况。

旨在表达式系统和 Spring Security 的 ACL 系统之间架起桥梁,允许您根据抽象权限指定对域对象的授权约束。它对 ACL 模块没有显式依赖,因此您可以根据需要将其替换为替代实现。

在spring-security-acl.jar里有建表语句,可以开箱即用AclService,AclEntryVoter等类

oauth2协议资源服务器和资源授权服务器

有两个项目,spring-security-oauth2和spring-security项目下的oauth2模块,目前spring把功能都迁移到spring-security了,推荐使用spring-security。

spring-security的oauth2.0 客户端支持是通过oauth2Client() DSL(配置,fromLogin那里)方法实现的。资源服务器支持是通过 oauth2ResourceServer() DSL实现的,并且提供了一个OAuth2AuthorizedClientService开箱即用的类。授权服务器目前security还没有集成oauth2.0的,所以只能先用oauth2.0的,使用@EnableAuthorizationServer注解

提供了@RegisteredOAuth2AuthorizedClient注解,将授权的客户端存储在自己的OAuth2AuthorizedClientRepository。

ClientRegistrationRepository来表示客户端,可以通过 Spring Security DSL 提供。或者,这些也可以通过 Spring Boot 进行配置。

可以定义多个

    @Bean
    @Order(Ordered.HIGHEST_PRECEDENCE)
    public SecurityFilterChain systemSecurityFilterChain(HttpSecurity http) throws Exception {
        OAuth2AuthorizationServerConfiguration.applyDefaultSecurity(http);
        http.getConfigurer(OAuth2AuthorizationServerConfigurer.class)
                .authorizationEndpoint(config->{
                    OAuth2AuthorizationEndpointConfigurer configurer = (OAuth2AuthorizationEndpointConfigurer) config;

        });
        return http.build();
    }

    @Bean
    public SecurityFilterChain clientSecurityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .requestMatchers(requestMatchers).permitAll()
                .anyRequest().denyAll().and()
                .formLogin().and();
        return http.build();
    }

根据matches请求走不同的过滤器链,

mml_慢慢来
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
spring security5.x Oauth2 获取当前客户端授权信息
路过君的博客
11-05 1767
官方文档 @RegisteredOAuth2AuthorizedClient Spring Security allows resolving an access token using @RegisteredOAuth2AuthorizedClient. [Note] A working example can be found in OAuth 2.0 WebClient WebFlux sample. After configuring Spring Security for OAuth2 Login
Spring SecurityOAuth2 客户端认证和授权
深圳市多克创新科技有限公司
10-30 596
Spring SecurityOAuth2 客户端认证
spring-authorization-server系列--Oauth2.1自定义模式
最新发布
qq_16033193的博客
06-19 706
前面几篇文章分析,找到Oauth2.1支持的自定义入口OAuth2AuthorizationServerConfigurer中的tokenEndpoint方法,通过这个入口我们可以将自定义的模式注入到Oauth2.1框架中。/***/
7. Spring Security 5.1之OAuth 2.0 Client
热门推荐
极客星云-CSDN博客
04-14 1万+
Spring Security 5.1之OAuth 2.0 Client
Spring Boot登录选项快速指南
最佳 Java 编程
06-12 224
“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 在本文中,您将研究使用Spring Boot 2.1实现登录功能的各种选项。 您将从最简单的基本身份验证开始,除了内部后端工具之外,您可能永远不想使用它,然后转到简单的基于表单的身份验证页面。 接下来,您将通过覆盖一些默...
Spring Boot 2.x实战85 - Spring Security 9 - OAuth 2.0之Client
ywb201314的专栏
09-19 1565
使用Chrome访问http://127.0.0.1:8083/forAdminCan1,这是一个受保护的资源,地址会自动打向Authorization Server的登陆页面:http://localhost:8080/login。我们点击Authorize,地址会自动打向刚开始访问的http://127.0.0.1:8083/forAdminCan1地址,当我们在Authorization Server上登陆授权后,我们就可以获得访问Resource Server的服务了。
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
spring security oauth2.0 (讲义+代码)
03-10
总而言之,通过学习Spring Security OAuth2.0,开发者能够掌握一套完整的认证授权解决方案,从而为Web应用和API提供安全的访问控制。这个讲义结合代码的实践学习将帮助你深入理解并熟练运用这些概念。
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
SpringBoot 如何使用 ACL 进行访问控制
u013749113的博客
06-23 1520
ACL(Access Control List)是一种常见的访问控制机制。ACL 可以控制用户对资源的访问权限。它是一种灵活、可扩展的访问控制机制,可以适应不同的应用场景。ACL 通常由两个部分组成:访问主体和资源。访问主体可以是用户、角色、组织等,资源可以是文件、数据库表、API 接口等。ACL 可以定义哪些访问主体有权访问哪些资源,并可以设置不同的访问权限,例如读取、修改、删除等。
spring-security--基础--5.1--ACL--介绍
zhou920786312的博客
09-18 303
ACL(访问控制列表):是附加到对象的权限列表ACL:指定在给定对象上授予哪些标识哪些操作是支持域对象安全性的Spring组件。可以为单个域对象上的特定用户/角色定义权限,而不是在典型的每个操作级别上全面定义权限。
Spring Authorization Server实现Oauth2
Glory丶笨小孩
06-07 1230
Spring Authorization Server 实现Oauth2认证
单点登录系统-Oauth2
清风半夜鸣蛙
07-06 732
一、单点登录系统-Oauth2 (1)创建一个关于Spring-Security的Maven项目(下面以来为pom.xml文件中的内容,关于JDK版本,以及打包成jar或者war,插件可根据自己的需求进行添加) <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactI
Spring Authorization Server 的一些核心组件和内置 Filter
小水牛的博客
05-06 3079
Spring Authorization Server 的一些核心组件和内置 Filter
第 23 章 Spring Security中的ACL
weixin_34223655的博客
07-13 554
第23章Spring Security中的ACL ACL即访问控制列表(Access Controller List),它是用来做细粒度权限控制所用的一种权限模型。对ACL最简单的描述就是两个业务员,每个人只能查看操作自己签的合同,而不能看到对方的合同信息。 下面我们会介绍Spring Security中是如何实现ACL的。 23....
SpringCloud搭建微服务之OAuth2.1认证和授权
liu320yj的博客
10-10 6433
Spring Boot新版本已经不在支持Spring Security OAuth,而是将资源服务和客户端集成到Spring Security 5.2.x版本中,认证服务单独成一个项目为Spring Authorization Server
SpringSecurityOAuth已停更,来看一看进化版本Spring Authorization Server
Hanko的专栏
06-05 1583
Spring Authorization Server是Spring Security OAuth的进化版本,Spring Security OAuth官方已经宣布“End of Life”了。Spring Security OAuth使用的是OAuth2.0标准而Spring Authorization Serve引入了对OAuth 2.1和OpenID Connect 1.0规范的支持,并提供了更多功能和改进。它提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
spring security+jwt+oauth2.0 pdf
07-13
Spring Security是一个功能强大的安全框架,用于在Java应用程序中实现身份验证和授权。JWT(JSON Web Token)是一种轻量级的身份验证和授权机制,其中包含了验证用户身份的加密信息。OAuth 2.0是一种开放标准的授权协议,它允许用户授权第三方应用程序访问受保护的资源。 Spring Security可以与JWT和OAuth 2.0结合使用,以提供更强大的身份验证和授权功能。使用JWT作为身份验证机制,可以在用户登录成功后生成一个JWT令牌,并将其加入到HTTP请求的Header中。服务端可以使用JWT中的信息,如用户名和权限,对请求进行验证,确保用户的身份是有效的。而OAuth 2.0允许用户通过授权服务器颁发的token来访问受保护的资源,Spring Security可以集成OAuth 2.0来实现授权验证的逻辑。 通过使用Spring Security结合JWT和OAuth 2.0,可以轻松实现可伸缩、安全的身份验证和授权机制。开发人员可以使用Spring Security提供的各种功能,如用户认证、角色授权和访问控制,来保护应用程序中的敏感操作和数据。此外,使用JWT和OAuth 2.0,可以实现无状态的API身份验证和授权,提高系统的可扩展性和性能。 总之,Spring Security与JWT和OAuth 2.0的结合为应用程序提供了安全、可靠的身份验证和授权机制。开发人员可以根据具体的需求配置和使用这些功能,以保护应用程序的安全和数据的机密性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值