SpringSecurity之基本原理

于 2023-07-07 11:35:57 发布
阅读量154 收藏
点赞数
分类专栏: SpringSecurity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35056891/article/details/131591844
版权

目录

核心过滤器

FilterSecurityInterceptor

ExceptionTranslationFilter

UsernamePasswordAuthenticationFilter

BasicAuthenticationFilter

过滤器加载过程

重要接口

UserDetailsService接口

PasswordEncoder接口

springSecurity本质上就是一个过滤器链,由很多个过滤器组成,从启动是可以获取到过滤器链,当执行请求时就会执行相应的过滤器。

 这些过滤器在系统启动时springboot会自动都配置完成

核心过滤器
FilterSecurityInterceptor

是一个方法级的权限过滤器, 基本位于过滤链的最底部

1.继承Filter方法

2.调用invoke方法

3.invoke方法

 super.beforeInvocation(filterInvocation) 表示查看之前的 filter 是否通过。
filterInvocation.getChain().doFilter(filterInvocation.getRequest(), filterInvocation.getResponse());表示真正的调用后台的服务。

ExceptionTranslationFilter

异常过滤器,用来处理在认证授权过程中抛出的异常

核心方法doFilter:

UsernamePasswordAuthenticationFilter

对/login 的 POST 请求做拦截,校验表单中用户名,密码;

找到核心方法attemptAuthentication:

BasicAuthenticationFilter

主要用于处理httpBasic登录

 先检查请求头中是否有basic开头Authentication的信息,如果有,会尝试进行base64解码,然后取出用户名和密码,尝试进行登录;如果没有,就回放过该请求,交给下一个过滤器处理

过滤器加载过程

1.使用SpringSecurty配置过滤器,也就是SpringBoot项目中自动配置的DelegatingFilterProxy

 而在doFilter()方法各种判断过后调用了initDelegate()方法,在该方法里可以获取到FilterChainProxy对象

 2.在FilterChainProxy也会进入doFilter()方法,然后再进行各种判断后,会进入doFilterInternal()方法

 而在doFilterInternal()方法中会将过滤器链中的过滤器加载进来,进行逐个执行

重要接口
UserDetailsService接口

自定义逻辑控制认证逻辑;查询数据库中的用户名和密码

 返回值 UserDetails,这个类是系统默认的用户“主体”;

方法参数 username:表示用户名。此值是客户端表单传递过来的数据。默认情况下必须叫 username,否则无法接收

PasswordEncoder接口

用来数据加密;

 实现类

BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析器。
BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度,默认10

lgcgkCQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity基本原理
11-12
Security基本执行过程的分析和各个环节类执行的分析。
SpringSecurity素材.rar
03-02
1. **SpringSecurity简介**:首先会介绍SpringSecurity的基本概念和架构,包括它如何通过层层过滤器保护Web应用,以及它提供的主要组件如Authentication(认证)和Authorization(授权)。 2. **配置SpringSecurity...
Spring Security的过滤器链
codezhuyc的博客
03-23 2263
一 简介 我们只要学过Spring Sercurity,就知道这个框架其实是靠多个过滤器来实现。过滤器是servlet规范中的一种组件。我刚学的时候,也会想SpringSecurity就是把多个过滤器直接放入了过滤器链吗?还是说做了其他处理? 二 过滤器 首先我们先复习一下servlet中的过滤器,看下在常见的Spring框架下是如何运行的。 ...
spring security 流程分析(1)
qq_40937400的博客
07-21 202
spring security分析
SpringSecurity 总结
最新发布
qq_45525848的博客
06-10 4748
Spring Security 总结
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
业精于勤荒于嬉
08-19 1149
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
7.SpringSecurity-基本原理(过滤器加载过程)
自能生羽翼,何必仰云梯
03-30 696
  使用SpringSecurity配置过滤器DelegatingFilterProxy;   本质上来说DelegatingFilterProxy就是一个Filter,其间接实现了Filter接口,但是在doFilter中其实调用的从Spring 容器中获取到的代理Filter的实现类delegate。 DelegatingFilterProxy原理   DelegatingFilterProxy根据targetBeanName从Spring 容器中获取被注入到Spring 容器的Filter实现类,在
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
Spring Security BCryptPasswordEncoder 密码验证原理详解 Spring Security 中的 BCryptPasswordEncoder 是一种用于密码验证的密码加密器,它可以对密码进行加密和验证。本文将详细介绍 BCryptPasswordEncoder 的...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
狂神Spring Security静态资源
12-30
Spring Security 是一个强大的安全框架,主要...这包括理解Spring Security的工作原理,以及如何通过配置文件或代码来定制安全策略,以满足项目的需求。通过深入学习这些内容,开发者可以更好地保障Web应用的安全性。
springsecurity前端素材.zip
05-19
在本“springsecurity前端素材”中,我们有两个主要的文件夹:templates和static,它们分别代表了前端展示层的不同方面。 **templates** 文件夹通常包含了应用的HTML模板文件,这些文件被用于构建用户界面。在...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity的配套示例源码
05-10
SpringSecurityJava开发中一个强大的安全框架,用于处理应用程序的安全性。它提供了全面的身份验证、授权和会话管理功能,确保应用数据免受恶意访问。本示例源码旨在帮助开发者深入理解并学习如何在实际项目中应用...
Spring Security 资料合集
01-24
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Web应用和企业级应用提供了全面的...通过学习这些文档,开发者可以更好地理解Spring Security的工作原理,从而更有效地实现应用的安全控制。
springsecurity2x.pdf
11-03
在 "springsecurity2x.pdf" 中,主要讨论的是Spring Security 2.x版本的相关内容。 1. **Spring Security简介** - **什么是Spring Security?** 它是一个全面的安全框架,提供了认证(Authentication)和授权...
Spring Security
MoYu's Blog
05-06 251
Spring SecuritySecurity-dome 1.创建项目 创建一个Spring Boot项目,不用加入什么依赖 2.导入依赖 <dependencies> <!--启动器变为 web --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-
Spring Security 安全认证框架
qq_35930739的博客
05-19 743
一、认证流程 UsernamePasswordAuthenticationFilter过滤器用于处理基于表单方式的登录验证,该过滤器默认只有当请求方法为post、请求页面为/login时过滤器才生效,如果想修改默认拦截url,只需在刚才介绍的Spring Security配置类WebSecurityConfig中配置该过滤器的拦截url:.loginProcessingUrl("url")即可; BasicAuthenticationFilter用于处理基于HTTP Basic方式的登录验证.
SpringSecurity常用过滤器介绍
wuxiaopengnihao1的博客
07-29 2376
首当其冲的一个过滤器,非常重要主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续filter建立所需的上下文,SecurityContext中存储了当前用户的认证和权限信息。Csrf又称跨域请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息,如果不包含则报错,起到防止csrf攻击的效果。...
Spring Security系列(二)——过滤器链分析以及创建多个登陆入口
玖涯博客
12-06 2835
写在前面 **本文场景:**希望在网关上实现security统一进行权限认证,后续的服务间交互不再进行权限认证。但是系统有两个类型的账号,一个是普通用户,一个是系统后台管理员,完全是两个类型,希望创建给两个不同的登陆入口分别给两个类型的账号登录使用。 想到的解决方法有两个: 网关上的security想办法创建多个登陆入口(本文描述的方法); 网关上的security只对用户进行权限验证,对管理员的请求放行,管理员在自己的模块上进行权限验证。 **本文思想:**security实现多登陆入口的方法是创建多
springsecurity基本原理
06-09
Spring Security 是一款基于 Spring 框架的安全框架,其基本原理可概括如下: 1. 认证(Authentication):Spring Security 提供了多种认证方式,包括表单认证、HTTP 基本认证、OpenID 认证、LDAP 认证等,可以根据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值