SpringSecurity 核心组件介绍 + 认证流程 +内置拦截器顺序

最新推荐文章于 2024-08-14 18:05:11 发布
最新推荐文章于 2024-08-14 18:05:11 发布
阅读量7.9k 收藏 28
点赞数 11
分类专栏: 面试系列 spring 文章标签: security核心组件 security认证流程 security拦截器顺序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36095679/article/details/92625701
版权

目录

一、SpringSecurity 核心组件介绍

SecurityContextHolder

 SecurityContext

 AuthenticationManager 

ProviderManager

AuthenticationProvider 

Authentication

GrantedAuthority

UserDetails

UserDetailsService

二、认证流程

1、图片流程

2、在SpringBoot中的代码实现

待续写~~~~~~~~~~ 

 三、spring security 内置拦截器顺序及用途

一、SpringSecurity 核心组件介绍

SecurityContextHolder

SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等,这些都被保存

SecurityContextHolder默认使用ThreadLocal 策略来存储认证信息。看到ThreadLocal 也就意味着,这是一种与线程绑定的策略。在web环境下,Spring Security在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息。

 SecurityContext

持有Authentication对象和其他可能需要的信息

 AuthenticationManager 

  AuthenticationManager 其中可以包含多个AuthenticationProvider

ProviderManager

  ProviderManager对象为AuthenticationManager接口的实现类

AuthenticationProvider 

 AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作

Authentication

  Authentication:Spring Security方式的认证主体

鉴权对象,该对象主要包含了用户的详细信息(UserDetails)和用户鉴权时所需要的信息,如用户提交的用户名密码、Remember-me Token,或者digest hash值等,

GrantedAuthority

 GrantedAuthority:对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示

UserDetails

 UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到

这个接口规范了用户详细信息所拥有的字段,譬如用户名、密码、账号是否过期、是否锁定等。在Spring Security中,获取当前登录的用户的信息,一般情况是需要在这个接口上面进行扩展,用来对接自己系统的用户

UserDetailsService

 UserDetailsService:通过username构建UserDetails对象,通过loadUserByUsername根据userName获取UserDetail对象 (可以在这里基于自身业务进行自定义的实现  如通过数据库,xml,缓存获取等)     

通过扩展这个接口来显示获取我们的用户信息,用户登陆时传递的用户名和密码也是通过这里这查找出来的用户名和密码进行校验,但是真正的校验不在这里,而是由AuthenticationManager以及AuthenticationProvider负责的,需要强调的是,如果用户不存在,不应返回NULL,而要抛出异常UsernameNotFoundException

二、认证流程

1、图片流程

整体流程:

(上图来自:https://segmentfault.com/a/1190000016503859   小编在此表示感谢) 

这样理解也行:

认证详细流程:

认证完成后: 

2、在SpringBoot中的代码实现

待续写~~~~~~~~~~ 

 三、spring security 内置拦截器顺序及用途

1、ChannelProcessingFilter,使用它因为我们可能会指向不同的协议(如:Http,Https)

2、SecurityContextPersistenceFilter,负责从SecurityContextRepository 获取或存储 SecurityContext。SecurityContext 代表了用户安全和认证过的session

3、ConcurrentSessionFilter,使用SecurityContextHolder的功能,更新来自“安全对象”不间断的请求,进而更新SessionRegistry

4、认证进行机制,UsernamePasswordAuthenticationFilter,CasAuthenticationFilter,BasicAuthenticationFilter等等--SecurityContextHolder可能会修改含有Authentication这样认证信息的token值

5、SecurityContextHolderAwareRequestFilter,如果你想用它的话,需要初始化spring security中的HttpServletRequestWrapper到你的servlet容器中。

6、JaasApiIntegrationFilter,如果JaasAuthenticationToken在SecurityContextHolder的上下文中,在过滤器链中JaasAuthenticationToken将作为一个对象。

7、RememberMeAuthenticationFilter,如果还没有新的认证程序机制更新SecurityContextHolder,并且请求已经被一个“记住我”的服务替代,那么将会有一个Authentication对象将存放到这(就是 已经作为cookie请求的内容)。

8、AnonymousAuthenticationFilter,如果没有任何认证程序机制更新SecurityContextHolder,一个匿名的对象将存放到这。

9、ExceptionTranslationFilter,为了捕获spring security的错误,所以一个http响应将返回一个Exception或是触发AuthenticationEntryPoint。

10、FilterSecurityInterceptor,当连接被拒绝时,保护web URLS并且抛出异常。

 该部分,参考自博文:https://segmentfault.com/a/1190000012668936   详情请阅读该文。

 

 

 

 

 

 

 

方才coding
关注
专栏目录
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
SpringSecurity+JWT认证流程解析
CXY_QIQI的博客
05-14 1286
楔子 本文适合:对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学,对SpringSecurity有兴趣的也可以当作你们的入门教程,示例代码中也有很多注释。 大家在做系统的时候,一般做的第一个模块就是认证与授权模块,因为这是一个系统的入口,也是一个系统最重要最基础的一环,在认证与授权服务设计搭建好了之后,剩下的模块才得以安全访问。 市面上一般做认证授权的框架就是shiro和Spring Security,也有大部分公司选择自己研制。出于之前看过很多Spring .
全局异常拦截和Spring Security认证异常的拦截的顺序
2301_80092713的博客
11-17 751
如果异常是身份验证相关的问题,即需要经过Spring Security进行处理的异常,一般情况下会先被全局异常拦截器捕获,然后再被authenticationEntryPoint拦截器处理。全局异常拦截器可以捕获各种类型的异常,包括身份验证相关的异常。当出现身份验证问题时,异常会首先被全局异常拦截器捕获。然后根据配置,如果请求需要经过Spring Security的身份验证,authenticationEntryPoint拦截器会接管处理这个异常,例如重定向到登录页面或返回身份验证错误信息。
Spring Security详解(一)认证核心组件和服务
热门推荐
Jagger的博客
06-22 1万+
文章目录什么是Spring Security验证?1.核心组件1.1 SecurityContextHolder1.2 Authentication1.3 UserDetails 和 UserDetailsService1.4 UserDetailsService1.5 AuthenticationManager1.6 AuthenticationProvider1.7 总结 什么是Spring Security验证? 让我们考虑一个大家都很熟悉的标准的验证场景。 提示用户输入用户名和密码进行登录。 该
Spring security认证流程
最新发布
qq_38123445的博客
08-14 1085
默认调用DaoAuthenticationProvider类retrieveUser()方法。
spring_security安全框架详解
Benjamin
09-05 1万+
本文是在项目中用到Spring Security3来进行登录验证时才进行学习的,写的比较片面,请大家提出问题。 首先要在web.xml中配置 <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath*:/applicationContext.xml classpath*:/applicationContext-security.xml <!--classpath*:/applicationC
Spring Security 部分详解
RichardGeek的博客
08-01 972
简介: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应...
Spring Security的十一个拦截器
Tec Log
08-25 3100
处理form登录的过滤器,与form登录有关的所有操作都是在这里进行的,登陆时判断用户名密码是否有效,有效的话就跳转到成功页面。
Spring 拦截器流程及多个拦截器顺序
LeZiJie的博客
05-10 648
拦截器Spring MVC 中的组件,它可以在进入请求方法前做一些操作,也可以在请求方法后和渲染视图后做一些事情。 拦截器的定义 SpringMVC 的拦截器只需要实现 HandlerInterceptor 接口,并进行配置即可。HandlerInterceptor 接口的定义如下: public interface HandlerInterceptor { default boolean preHandle(HttpServletRequest r...
一文详解SpringSecurity+JWT的认证流程
Java技术攻略的博客
04-20 329
Bean复制代码这个Bean是不必可少的,在认证操作时会使用我们定义的这个加密器,如果没有则会出现异常。@Bean复制代码这里将自带的声明成Bean,声明它的作用是用它帮我们进行认证操作,调用这个Bean的方法会由自动帮我们做认证
浅析 Spring Security 核心组件
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-08 416
前言近几天在网上找了一个 Spring Security 和JWT 的例子来学习,项目地址是https://github.com/szerhusenBC/jwt-spring-security-demo作为学习Spring Security还是不错的,通过研究该 demo 发现自己对Spring Security一知半解,并没有弄清楚Spring Seurity的流程,...
Springmvc拦截器执行顺序及各方法作用详解
08-27
主要介绍Springmvc的拦截器执行顺序及各方法作用,下面讲实现其接口的写法,先看一下这个接口的三个方法,需要的朋友可以参考下
SpringMVC中的拦截器-拦截器方法的作用和执行顺序.avi
05-29
SpringMVC中的拦截器-拦截器方法的作用和执行顺序.avi
Spring Security的基本组件
weixin_40991408的博客
05-20 624
Spring Security的基本组件
Spring Security框架详解
BASK2311的博客
05-12 179
Spring Security是一个基于Spring框架的认证和授权框架,它提供了各种工具和框架来保护基于Spring的应用程序。用户认证和授权保护Web应用免受各种攻击,如跨站点脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)和点击劫持攻击使用基于角色和权限的访问控制来保护应用程序资源带有单点登录(SSO)功能,可以将多个应用程序集成到一个中央身份验证系统与其他Spring框架,如Spring MVC和Spring Boot,提供可定制的集成。
Spring Security 的主要组件及其作用:
qq_60458298的博客
03-25 242
Authentication:表示用户的身份认证信息,包括用户名、密码、权限等信息。 AuthenticationManager:用于对用户的身份认证进行管理,包括对用户身份进行认证、验证用户的身份信息等。 AccessDecisionManager:用于进行访问决策管理,根据用户的身份信息和访问控制信息,判断用户是否有权限访问该资源。 FilterSecurityInterceptor:用于在请求被处理之前进行安全拦截,根据访问控制信息判断用户是否有权限访问该资源。 AuthenticationE
Spring Security详解三:核心组件
骑个小蜗牛的博客
04-29 3116
核心组件 1.SecurityContextHolder SecurityContextHolder持有安全上下文(security context)的信息,可以通过SecurityContextHolder.getContext静态方法获取。 当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等,这些都被保存在SecurityContextHolder中。 SecurityContextHolder默认使用ThreadLocal 策略来存储认证信息。看到ThreadLocal 也就意味着,这是一
Spring Security 框架详解
m0_71202849的博客
08-25 1472
默认情况下,Spring Security有默认的登录页,输入用户名、密码后,是由Spring Security自动接收登录请求,然后进行处理的,如果登录成功,会自动跳转到此前访问的页面,如果登录失败,会将错误信息提示到默认的登录页上。这不是前后端分离的做法(服务器端处理了登录后,不响应JSON结果)不便于处理细节,例如使用Validation框架验证请求参数的格式。
SpringSecurity+JWT认证实现详解
在理解SpringSecurity+JWT认证流程实现时,首先要清楚SpringSecurity核心机制。SpringSecurity是一个强大的安全框架,主要用于处理Web应用的安全问题,如认证和授权。其工作流程基于Servlet过滤器,通过一系列定制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值