springsecurity(一)

最新推荐文章于 2022-07-25 10:51:22 发布
最新推荐文章于 2022-07-25 10:51:22 发布
阅读量94 收藏
点赞数
分类专栏: 后端 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34172041/article/details/114387455
版权

spring security

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。
提供了完整的安全性解决方案,能够在web请求级别(servlet)和方法调用级别(spring AOP)处理身份证验证和授权。
springsecurity手册:https://www.springcloud.cc/spring-security-zhcn.html

核心功能

认证 (你是谁)
授权 (你能干什么)
攻击防护 (防止伪造身份)

其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。

原理

Spring Security是Java web的一个认证(Authentication)/授权(Authorisation)框架,基于Servlet的Filter技术。

  • servelet

    Servlet技术是Java web开发的底层使能性技术,Struts的
ActionServlet和Spring MVC的DispatcherServlet等web开发框架
都是建立在servlet基础之上的。servlet是web请求的基本单元,
filter围绕着servlet,用于在web请求被处理之前或之后对web请
求(Request)和应答(Response)修改。参考图见:
https://www.jianshu.com/p/a41a8f09b811

要使Spring Security生效,需要有一个Spring Security的Filter能够被Servlet容器(比如Tomcat、Jetty等)感知到,这个Filter便是DelegatingFilterProxy,该Filter不受Spring IoC容器的管理,也不是Spring Security引入的,而是Spring Framework中的一个通用的Filter。在Servlet容器眼中,DelegatingFilterProxy只是一个Filter而已,跟其他的Servlet Filter没什么区别。
DelegatingFilterProxy本身不在IoC容器中,它却能够访问到IoC容器中的其他对象。

  • 注意:

    Spring Boot会自动将实现了javax.servlet.Filter的Filter自动注册进Servelt容器
    此时可以通过以下方式来禁止自动注册:

     @Bean(name = "authenticationFilterRegistration")
 public FilterRegistrationBean myAuthenticationFilterRegistration(final MyAuthenticationFilter filter) {
  final FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
  filterRegistrationBean.setFilter(filter);
  filterRegistrationBean.setEnabled(false);
  return filterRegistrationBean;
}

DelegatingFilterProxy只是起代理作用,将真正的逻辑代理给其他的被Spring IoC容器管理的对象。
DelegatingFilterProxy会将名字springSecurityFilterChain赋值给targetBeanName字段,然后从IoC容器中找到名字为targetBeanName值(此时也springSecurityFilterChain)的bean,并将逻辑代理给该bean。
Spring Security默认会自动创建名字为springSecurityFilterChain的bean,该Bean为一个FilterChainProxy类型的对象,该对象其实也只是起代理作用
FilterChainProxy维护了多个SecurityFilterChain,每一个SecurityFilterChain只会对特定的Request起作用(比如特定的URL),FilterChainProxy在接收到Request时,会从SecurityFilterChain列表中选出能够处理该Request的那个SecurityFilterChain对象,然后将逻辑代理给该对象。
SecurityFilterChain其实也不是最终完成Spring Security认证逻辑的对象,而是维护了多个Filter bean,这些Filter bean才是真正处理认证逻辑的对象。
有些Filter bean在Spring Security中是必须的,Spring Security会自动为我们创建并配置这些bean,比如用于鉴权的FilterSecurityInterceptor,另外,我们也可以将自己的Filter bean加入Filter bean列表中,比如完成基于Token的认证机制。

  • 关键filter

    ChannelProcessingFilter-用于将HTTP请求重定向到HTTPS页面
SecurityContextPersistenceFilter-保存用户的登录状态
UsernamePasswordAuthenticationFilter-用于处理基于Form登录的认证,认证成功重定向到指定页面,认证失败向用户重新返回登录界面并提示错误。
UsernamePasswordAuthenticationFilter继承自AbstractAuthenticationProcessingFilter
AbstractAuthenticationProcessingFilter并不完成认证逻辑,而是将其交给AuthenticationManager,
AuthenticationManager进而代理给AuthenticationProvider,
AuthenticationProvider验证用户提供的凭证是否正确
ExceptionTranslationFilter和FilterSecurityInterceptor-这两个Filter通常是结合在一起用的,前者负责处理后者所抛出的异常并做相应的处理,后者主要用于鉴权。
一叶烬秋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security(1)快速入门
愤怒的菜鸟博客
02-23 243
基本介绍 Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。 是一个比较常用的权限框架,主要的功能是认证和授权。同时对oauth2 也有很好的支持; 认证:认证是否是本系统的用户 授权:判断已经认证了的用户是否有某个操作的权限 官网文档: https://docs.spring.io/spring-security/reference/servlet/getting-started.html 中文文档: https
springSecurity-1
qq_41617261的博客
02-07 109
Spring Security前身是Acegi Security,是Spring项目组中用来提供安全服务的框架 两个主要操作 认证:用户建立一个他所声明的主体。主体一般是指用户,设备或可以在你系统中执行动作的其他系统。可以使用xml配置文件认证或者使用数据库认证 授权:指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主体已经有身份验证过程建立了。 基础入门 1–导入依赖 <dependency> <groupId>org.springframework.se
SpringSecurity(一)
攻城狮
10-15 152
先来体验下SpringSecurity 建立Maven工程,引入相关依赖: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0...
SpringSecurity(1)
qq_44194174的博客
11-22 239
Spring Security httpBasic模式 Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 项目的搭建 1.新建maven项目 2.pom文件 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-b
SpringSecurity-01-security简介和快速入门
苍煜
07-25 236
ApacheShiro是一个强大且易用的Java安全框架。可以实现身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API。您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Authentication认证验证是哪个用户登录Authorization授权决定当前登录用户是否有权限去访问受保护的资源通过加密算法保护数据安全。当用户使用你的应用是自身携带的数据。虽然Shiro是设计用来确保任何基于JVM的应用,但是很多时候是用来保护Web应用。......
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
Spring Security模块
09-03
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,主要用于构建安全的 Java Web 应用程序。它提供了一套全面的安全解决方案,包括身份验证、授权、会话管理以及跨站请求伪造(CSRF)防护等功能。...
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
spring-security--基础--01--概念和理论
zhou920786312的博客
10-26 259
参考手册 https://www.springcloud.cc/spring-security-zhcn.html 一、概念和理论 是一款控制基于SpringAOP或者Servlet过滤器的安全框架。 责任链的设计模式 1.1、核心功能 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 一组过滤器链,项目启动后将会自动配置。 1.2、 身份认证的过程 用户名和密码被过滤器获取到,封装成Authentication,通常情况下是UsernamePasswordAuthenti
Spring Security(1)
xbcai1的博客
04-23 1042
Spring Security,AuthenticationManager,AuthenticationManagerBuilder,userDetailsService,ProviderManager
spring-security进阶1---第三方登陆原理1【从常理出发来思考一下oauth2协议】
nrsc
07-27 2129
1.从常理出发来想这个问题 大家肯定都知道什么是第三方登陆,以CSDN来说,当我们需要进行登陆时会进入到如下页面 以使用QQ登陆为例,当我们点击小企鹅图标时,会进入到下面的登陆认证页面 ...
SpringBoot集成Spring Security(1)——入门程序
热门推荐
Jitwxs
05-09 7万+
因为项目需要,第一次接触Spring Security,早就听闻Spring Security强大但上手困难,今天学习了一天,翻遍了全网资料,才仅仅出入门道,特整理这篇文章来让后来者少踩一点坑(本文附带实例程序,请放心食用) 预警: 如果你仅仅是学习一个安全框架,不推荐使用Spring Security!!!!推荐学习Apache Shiro,配置简单易上手,该有功能它都有,可以...
SpringSecurity(1)---认证+授权代码实现
weixin_44096353的博客
08-08 1016
安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 市面上存在比
java缓存机制
qq_34172041的博客
05-13 1760
Java缓存机制 缓存是什么? 凡是位于速度相差较大的两种硬件/软件之间的,用于协调两者数据传输速度差异的结构,均可称之为 Cache;缓存是空间换时间的方案 缓存分类 操作系统磁盘缓存-减少磁盘机械操作 操作系统会把经常访问到的文件内容放入到内存当中,由文件系统来管理;特殊的应用程序会自己实现disk cache 数据库缓存-减少文件系统I/O 数据库至关重要,保存数据量十分大,查询操作十分频繁,有时还很复杂,导致数据库性能低下 data buffer是数据库数据在内存中的容器,命中率决定数据库性能,越
springframework
qq_34172041的博客
03-04 1008
springframework Spring Framework 是一个开源的应用程序框架和控制反转容器实现。 Spring 是面向 Bean 的编程。 组成 主要有20个模块组成,这些模块主要组成Core Container、Data Access/Integration、Web、AOP、Instrumentation、Message和Test几部分 IOC(控制反转) 的实现包 spring-beans 和 AOP(依赖注入) 的实现包 spring-aop 也是整个框架的基础,而 spring-cor
Java高阶知识
qq_34172041的博客
03-18 408
面向对象(OOP) 概述 OOP将数据放在第一位,然后考虑操作数据的算法。 oop更适用于解决规模较大的问题。 类是构造对象的模板或蓝图。由类构造对象的过程称为创建类的实例。 对象中的数据称为实例域,操纵数据的过程称为方法。 实现封装的关键在于绝对不能让类中的方法直接地访问其他类的实例域。 程序仅通过对象的方法与对象数据进行交互。 可以通过扩展一个类来建立另外一个新类。 Java中所有类都源自一个超类——Object 对象三特性:行为、状态、标识 对象的状态并不能完全描述一个对象。每个对象都有一个唯一的身
Spring Security入门:从Acegi到Spring Security的转变
"Spring Security学习总结一" Spring SecuritySpring生态系统中的一个强大且全面的安全框架,源自Acegi Security,自2007年底被纳入Spring Portfolio并更名。它旨在为基于Spring的应用提供声明式安全访问控制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值