对spring security的理解

最新推荐文章于 2023-05-19 14:13:12 发布
最新推荐文章于 2023-05-19 14:13:12 发布
阅读量254 收藏
点赞数
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34637782/article/details/116601340
版权

对spring security的理解

要想搞清楚springsecurity 最好的切入点 是搞清楚 security的认证流程。这才是这个知识的主干。

主要原理

spring security 是基于servlet的filter。

核心类

框架的魅力就在于,它即是方便也是限制。

所以为了能用上它的方便,我们就得接受它的限制。

要想搞清楚认知流程 又得先说说几个核心类。

首先我们得实现一个继承了UserDetail的类,表示用户的一些基本信息,用户名,密码,角色等信息。然后实现一个UserDetailService的接口,主要就是里面的finduserbyname方法,就是能通过用户名找到用户。再就是我们通常要实现WebSecurityConfigurerAdapter 来做一些配置,如加入过滤器,设置一些不需要进行验证的请求 如登录,取消csrf(如果用的是token,就不存在coocie)。还有几个核心类在下面的认证流程中一起介绍

认证历程

那么我们接着说 spring security 凭什么说我们通过了验证。

那就是 SecurityContent里面有通过验证的Authentication对象

为了做到这点 又引出了另外两个核心类 SecurityContentHolder和AuthenticationManager,前者是一个工具类,我们可以通过它拿到SecurityContent,后者是一个管理器,它的作用是传入一个未认证的Authentication对它进行校验 校验通过就返回一个通过了校验的Authentication,没有就会抛出异常。假如校验通过,我们把它放到SecurityContent中,这样整个认真过程就完成了。

认证与过滤器

上面的动作在哪里完成呢?就在我们的过滤器中,或者是登录过程。

最后的重头戏就是配置过滤器,假如我们是基于token,那么我们可以在一个filter里面校验 token 校验通过后,申明一个Authentication放到SecurityContent中,最后记得继续执行过滤链。

或者是在请求登录的时候完成我们上面的认证历程。

完善

为了完善整个过程 通常我们还会自定义认证失败的回调事件等。

题外话

既然提到了servlet 那么servlet与interceptor的区别是什么?

这里只讨论时机。在servlet容器中,

httprequest–filter chain --> servlet–>interceptor --> controller - interceptor -->filter chain–>httpresponse

假如是spring mvc框架 那么它只有一个dispatchservlet 。

量子玫瑰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security中文版
11-22
即使用一个基于Spring3的web工程作为基础,以理解使用Spring Security3使其保证安全的概念和策略。 不管你是不是已经使用Spring Security还是只是对这个软件有兴趣,就都会在本书中得到有用的信息。 在本节的内容中,你...
SpringSecurity详解
m0_71012114的博客
10-19 4887
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
SpringSecurity理解
亚鹏的博客
05-11 137
SpringSecurity理解特点SpringSecurity的Hello项目创建一个项目运行这个项目SpringSecurity的本质SpringSecurity的本质就是过滤器链过滤器是如何加载的?SpringSecurity设置登录的用户名和密码1、用过配置文件2、3、自定义实现类设置 SpringSecurity的重要核心功能是:用户授权、用户认证 特点 和Spring无缝整合 全面的权限控制 专门为Web开发而设计 旧版本不能脱离Web 新版本对整个框架进行了分层抽取,分成了核心模块和Web
spring security 简单理解
最新发布
weixin_40991408的博客
05-19 503
spring security 简单理解
Spring Security详解
每天進步一點點
05-09 1255
在Web开发中,我们在设计之初就需要考虑系统安全的方面,而不是把功能全部实现完成后,再去考虑。那样的话就会造成两难的境地:一方面,应用会存在严重的漏洞,无法满足用户需求,并可能造成用户信息被攻击者窃取;另一方面,应用的基本架构已经确定,想要修复安全漏洞,可能需要对系统做出较大的调整,因此,耗费大量的人力和物力,因此,我们应该从系统开始做的第一天就应该把安全策略考虑进去,并贯穿在整个应用开发过程中。
今日谈谈我对Springsecurity理解
qq_40783525的博客
05-10 1043
Springsecurity主要作用是安全访问控制,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 其中核心功能有:应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分 如果您当前系统是一个单体应用开发且需要用户认证、和权限管理,Springsecurity简单配置就可以完成,大大的减少编码量。 基本概念: 1.什么是认证? 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝等,下边拿微信来
Spring Security 将用户数据存入数据库
09-07
主要介绍了Spring Security 如何将用户数据存入数据库,帮助大家更好的理解和学习Spring Security,感兴趣的朋友可以了解下
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现角色继承 适合小白,刚刚接触security权限框架的小白,或者开发人员,可以加深对security理解
Spring Security OAuth2.0学习笔记.zip
10-27
理解Spring Security的工作原理,Spring Security结构总览,认证流程和授权,中间涉及到哪些组件,这些组件分 别处理什么,如何自定义这些组件满足个性需求。 OAuth2.0认证的四种模式?它们的大体流程是什么? ...
top-spring-security-architecture:Spring安全架构
05-13
标签专案安全Spring安全了解Spring安全性目录本指南是Spring Security的入门,它提供了对该框架的设计和基本构建块的见解。 我们仅介绍应用程序安全性的最基础知识。 但是,这样做可以消除使用Spring Security的开发...
Spring Security简单理解
cssweb_sh的博客
05-02 1672
最近在学习Spring Security,于是就写了这篇Spring Security的博客来记录自己的学习中的一些总结,本文主要是一些简单的原理分析,没有涉及很深的源码分析。 1. Spring Security初体验 未引入Spring Security前请求接口情况,接口可以随意定义一个controller测试 引入Spring Security后,接口的请求情况 如果使用浏览器模拟访问更加明显,会跳到一个登录页面,效果如下: 然后输入默认的用户名和密码,默认的...
Spring Security 详解
qq_22075913的博客
06-06 10万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
SpringSecurity--工作原理详解
吴声子夜歌的博客
03-30 3682
结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。 当初始化Spring ...
SpringBoot对SpringSecurity的支持
架构之路
11-22 6348
SpringBoot针对SpringSecurity的自动配置在org.springframework.boot.autoconfigure.security包中,主要通过SecurityAutoConfiguration和SecurityProperties来完成配置。SecuritAutoConfiguration导入了SpringBootWebSecurityConfiguration中的配置
Spring Security理解
qq_39522549的博客
06-28 311
理论模型 系统边界 客户端——>安全系统——>服务提供者 核心实体概念 Authonization:用户(账户)信息,包括基本信息、状态信息、权限信息。 Authority:权限信息,鉴权时关联用户与资源的实体。可以使用角色(实现时就用角色名),也可以只是权限标识。 资源:需要鉴权的内容,如页面资源、静态文件资源、服务接口资源等,一般用url表示。在鉴权系统中,资源需要关联权限(或角色)。 核心步骤(流程) 认证 :用户名/密码登录、令牌认证。认证确定客户端身份,获取对应身份的信息。
spring security详解
wumingdu1234的博客
07-15 6930
1.概要 Spring是非常流行和成功的Java应用开发框架,SpringSecurity正是Spring家族中的成员。SpringSecurity基于Spring框架,提供了一套Web应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity重要核心功能。 (1)用户认证指的是:验证某个用户是否为系统
认识Spring Security
m0_62943203的博客
10-31 543
WebSecurityConfigurerAdapter被横线划到,并不是不可以使用,只是idea现在的版本不建议使用但是你可以使用。这里我们定义/user可以访问资源。
SpringSecurity理解
03-30
Spring Security是一个基于Spring框架的安全框架,提供了一组开箱即用的安全功能,包括身份验证、授权、攻击防护等。它可以与Spring应用程序无缝集成,并提供了大量的配置选项,让开发者可以根据自己的需求来定制安全策略。 Spring Security的核心是安全过滤器链,它由多个过滤器组成,每个过滤器负责不同的安全功能,如身份验证、授权、会话管理等。开发者可以通过配置文件或Java代码来定义安全过滤器链,以满足不同的安全需求。 Spring Security的身份验证机制支持多种认证方式,如表单认证、基本认证、OAuth2认证等。开发者可以选择适合自己应用的认证方式,并且可以自定义认证逻辑,以满足特定的认证需求。 Spring Security还提供了授权机制,可以根据用户的角色或权限来限制访问资源的权限。同时,它还提供了攻击防护功能,如CSRF、XSS、点击劫持等,保障应用的安全性。 总的来说,Spring Security是一个功能强大的安全框架,可以帮助开发者快速构建安全可靠的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值