一.Spring Security入门-认证概述

最新推荐文章于 2023-06-19 19:36:20 发布
最新推荐文章于 2023-06-19 19:36:20 发布
阅读量181 收藏
点赞数
分类专栏: SpringBoot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32115993/article/details/109215837
版权

Spring Security 入门

一.认证授权概述

1.1.什么是认证

认证是对主体/用户身份的确认,在我们的生活中随处可见认证场景,如:小区门禁卡,人脸识别,指纹识别等都是对用户身份的确认,在传统的应用中我们通常使用用户名/用户ID和密码来进行用户的身份确认,即登录,但登录的方式不仅限制于用户名/密码的方式,认证是我们应用的第一道安全门,所以对于整个系统的安全来说显得极其重要。

1.2.什么是授权

控制不同的用户访问不同的权限 ,用户认证成功后,就可以对某些资源进行访问,但是不同的用户有不同的资源访问权利,那么对用户的授权也都不一样。如:公司老板拥有对公司的所有权限,而部门主管只能有对自己管理的部门的权限,所以在程序中授权的过程就是赋予不同用户不同权限的过程。

1.3.什么是RBAC

RBAC是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。

举例:可以把部门的展示,添加,修改,删除等资源或功能打包成角色“部门管理”,然后把“部门管理”这个角色赋予某个用户,那么这个用户就是部门管理员,拥有部门的相关权限。

RBAC 认为授权实际上是Who 、What 、How 三元组之间的关系,也就是Who 对What 进行How 的操作。

主体(Who ) :是权限的拥有者或主体(如:User,Role)。
资源 (what): 是操作或对象,如:页面,菜单,按钮,控制器(controller,hanler)等
权限(how) :具体的权限, 如:张三可以删除员工。 那么删除员工就是一个权限

二.基于session的认证授权

2.1.认证流程
在这里插入图片描述

基于Session的认证方案即当用户认证成功之后将认证信息缓存在session中,主体(用户)在发起资源访问时需要进行是否做过认证校验,即检查session中是否有缓存认证信息。详细的认证流程如下图:

认证流程:
1.客户端(浏览器)提交用户名和密码发起认证请求
2.请求中的认证信息被封装成对象(User),控制层(controller)接收到认证请求
3.Controller调用服务层(Service)的认证逻辑进行认证,传入User
4.Service调用持久层(Dao)根据传入的User中的账号查询数据库中的认证信息(User)
5.Service获取到持久层返回的User和请求传入的User进行密码比对
6.认证成功将认证信息(User)和用户的权限信息通过UserContext存储到(Session中)
7.返回认证结果给客户端

认证检查:
当用户再次发起请求,拦截器会负责检查是否已经完成认证,通过UserContext从Session中获取User对象进行判断,如果没认证就会返回错误信息,如果已经完成认证就直接访问url对应的资源,返回资源给客户端。

2.2.授权流程
授权是约束用户对资源的访问权限,通过系统事先需要对资源做好授权操作,即约定好哪些资源需要什么样的权限才能访问。并且平台的用户需要被分配好其拥有的权限(用户/角色/权限) , 在用户认证成功之后即为用户加载其拥有的权限列表和认证信息一起封装成对象缓存到session中 ,当用户发起资源请求时,除了需要做认证检查还需要做权限检查,即判断当前认证用户所拥有的权限列表中是否拥有当前访问的资源所需要的权限。详细授权流程如下如:

1.认证通过,加载当前用户的权限列表,和认证信息一起封装成对象存储到session中
2.服务端登录检查拦截器,校验是否已经认证(从session获取认证信息)
3.服务端权限检查拦截器,校验是否拥有访问权限(用户的权限列表是否包含资源所需要的权限)

三.基于RBAC实现认证授权

3.1.认证逻辑

代码待补充…

3.3.小结

传统的认证授权方案无疑太麻烦,在企业开发中往往会借助一些三方认证工具进行认证和授权,如:Shiro,SpringSecurity等,这类认证工具在传统的认证授权的基础上进行封装,让认证授权流程更简单,并且提供了一些强大的功能,如会话管理,缓存等。我们接下来要研究的就是背靠Spring家族的安全框架SpringSecurity。

四 Spring Security 单词汇总

Authorization :授权
Authentication :认证(登录)
WebSecurityConfigurerAdapter : web安全配置类(认证授权配置)
@EnableWebSecurity :开启web安全配置
HttpSecurity : http安全配置
permitAll : 放行
antMatchers : 用来匹配某些url路径
UserDetailsService :用户详情服务(用来加载数据库的用户数据) UserDao
SecurityContext : Security上下文工具,保存得有认证成功之后的用户信息

红旗欧巴
关注
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
最新发布
八尺妖剑的博客
04-20 1457
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
spring security 认证简介
Littlemotor
08-05 1720
spring security的核心功能:认证和授权,认证就是身份验证(你是谁?),授权就是访问控制(你可以做什么?),同时他还提供很多安全管理的周边功能。在Spring Security的架构设计中,认证(Authentication)和授权(Authorization)是分开的,本篇文章主要涉及认证相关的功能和原理介绍。...............
2.使用SpringSecurity进行认证和授权
qq_49451343的博客
05-12 313
认证和授权 环境搭建 导入静态资源 链接:https://pan.baidu.com/s/1j1mx6k9uMfk9JWoV2-sGAA 提取码:john 复制这段内容后打开百度网盘手机App,操作更方便哦 新建Controller,接收web端url请求 package com.boot.controller; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annot
Spring Security3系列
03-01
Spring Security 为基于J2EE企业应用提供全面安全服务。Spring Security3是最新的J2EE安全解决方案。 课程探讨如何对WEB请求做安全控制,内容如下:1.轻松入门:构建基于security的权限控制工程基于用户名和密码的用户验证基于默认、自定义数据库表结构的用户验证开启rember-me功能URL的匿名访问控制自定义的登录页面。 2.深入探讨web请求的安全控制:过滤器链机制默认过滤器的作用自定义的过滤器链。3.,1常见的网站攻击及预防1:SQL注入攻击,用户密码加强保护,XSS漏洞3.2常见的网站攻击及预防2会话劫持、回话固定等攻击预防,机器人登录预防,登录出错次数限制4.简简单单完成CAS单点登录:CAS单点登录的工作原理搭建CAS中央服务器CAS服务端配置搭建CAS客户端服务器CAS客户端配置CAS客户端及服务端交互原理部署及验证。5.登录及特殊访问控制获取当前用户信息标签库的使用带权限、匿名、自动、单一登录控制6.URL访问控制和各种认证:URL安全访问URL匹配规则表单认证Basic认证Digest认证X509认证预先认证7.授权策略和方法访问保护:授权策略投票机制Spring-EL特定请求授权方法保护拦截器视频原创,多年经验总结,精选最具价值实用技法,短小精干。
SpringSecurity一:认证和授权
xiaxiaomao1981的博客
02-21 763
什么是认证认证就是取得合法身份,比如京东需要用户登录以后才能才能下订单,这里的登录就是认证。登录成功以后就具有了合法身份可以继续进行下一步的操作。 常用的认证方式 常用的认证方式有基于session的认证和基于token的认证。 先来看一下基于session的认证: 用户登录成功后服务器会将用户的信息保存在session(当前会话)当中,每个session对应有一个sessionid...
Day91.Spring Security框架: 认证与授权、Spring Session集成--Session共享
a111042555的博客
06-27 1368
Spring Security
spring-3.x-web-app-template:Spring 3.0 MVC 应用程序入门模板
05-30
Spring 3.0 MVC 入门模板】是专为初学者设计的,旨在帮助开发者快速搭建基于Spring框架的Web应用程序。Spring MVC是Spring框架的一部分,它提供了模型-视图-控制器(MVC)架构模式的实现,使得开发Web应用更为简洁...
Spring Security OAuth2 入门
m0_62714732的博客
10-28 9434
1. 概述 2. 引入 Spring Security OAuth2 依赖 3. 配置资源服务器 4. 配置授权服务器 4.1 授权码模式 Spring Security Setting 4.2 密码模式 4.3 简化模式 4.4 客户端模式 4.5 如何选择? 4.6 为什么有 Client 编号和密码 5. 刷新令牌 5.1 获取刷新令牌 5.2 “刷新”访问令牌 5.3 为什么需要有刷新令牌 6. 删除令牌 6.1 删除访问令牌 6.2 删除刷新令牌 6.3 RFC
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1057
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
SpringBoot集成Spring Security——认证流程
qq_37497275的博客
05-26 886
文章目录一、认证流程二、多个请求共享认证信息三、获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Security认证流程,这样才能理解为什么要这样写...
springboot+springSecurity+vue+百度云AI实现人脸登录(客户端)
qq_36715887的博客
09-14 1030
1、在登录界面中新加人脸登录按钮 <el-button type="primary" style="width: 150px" @click="faceLogin" >人脸登录</el-button> http://localhost:8080/#/faceLogin faceLogin(){ this.$router.push('/faceLogin'); }, { path: '/facelogin', nam.
中控考勤机BS版本server端开发 集成到自己的CRM 或者OA里面集成考勤机
陕西小伙伴网络科技有限公司-技术博客
01-04 8777
1  借助push sdk自己去实现一个push server端,但是这个太麻烦了。 2  可以借助中控的 zktime 来实现,zktime是中控的一个server考勤软件,我们通过这个考勤软件来实现自己的功能,但是考勤数据分析需要自己做。 3  如果你想借助中控zktime 而不知道如何去做,我可以提供实例 java版本,理论上其他的语言 只要能链接数据库和redis的都可以搞定。 4
springboot+springSecurity+vue+百度云AI实现人脸登录(服务端)
qq_36715887的博客
09-13 1997
一、实现思路 根据前端落地页拍摄的面部头像进行登录,拿到图片第一步去后端请求校验,看抓取的照片是否有人脸,如果有,再进行第二步人脸比对,如果比对有结果,且相似度大于设置的分值,则认为比对成功,跳转到自己的系统。 二、服务端接口: 1.人脸注册 既然要人脸登录,肯定系统中要存在登录人的人脸数据信息,如果没有,直接就无法登录。 所以首先要人脸注册。 2.人脸检测 如果上传的人脸照片没有头像信息,则无不对必要,直接登陆失败。 3.人...
spring security动态配置url权限认证
Purpletaro的专栏
10-24 3249
本文介绍的spring security动态配置url权限认证基于的是spring-boot-2.0.0、spring-security 5.X来编写的。 笔者浏览完spring security官方文档之后,发现并没有详细的介绍说明如何动态的配置我们的url权限认证spring security默认的权限配置确只会在启动工程的时候初始化一次url权限配置。但是实际情况我们项目的权限会随时动态的更改,这样我们就需要重新启动项目以便新配置的权限生效。这样的处理显然不合理。当然spring是具有非常好的拓展
Spring Security教程(3)---- 自定义登录页面
z69183787的专栏
03-13 6901
在项目中我们肯定不能使用Spring自己生成的登录页面,而要用我们自己的登录页面,下面讲一下如何自定义登录页面,先看下配置 [html] view plaincopy sec:http auto-config="true">              sec:intercept-url pattern="/app.jsp" access="R
Spring Security——【认证、授权、注销及权限控制】
龍弟-idea的博客
10-10 5784
认证,授权(vip1,vip2,vip3) ·功能权限 访问权限·菜单权限 . ...拦截器,过滤器:大量的原生代码~冗余
Spring Security 认证与授权
快乐的小三菊的博客
12-15 2137
springSecurity认证和授权
一.SpringSecurity基础-认证和授权概述
墨家巨子@俏如来
08-27 2884
1.认证授权概述 为了给学习SpringSecurity打下基础,我们来回顾一下传统的认证授权流程 1.1.什么是认证 认证是对主体/用户身份的确认,在我们的生活中随处可见认证场景,如:小区门禁卡,人脸识别,指纹识别等都是对用户身份的确认,在传统的应用中我们通常使用用户名/用户ID和密码来进行用户的身份确认,即登录,但登录的方式不仅限制于用户名/密码的方式,认证是我们应用的第一道安全门,所以对于整个系统的安全来说显得极其重要。 1.2.什么是授权 控制不同的用户访问不同的权限 ,用户认证成功后,就可以对某些
Spring Security 3.0.x入门与配置指南
Spring Security 3.0.x Reference Documentation 是一本深入介绍Spring Security框架的英文文档,由Ben Alex和Luke Taylor编写。该文档针对Spring Security 3.0.0.RC1版本,提供了全面的参考指南,帮助开发者理解和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值