【Spring Security】安全框架学习(二)

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量344 收藏 1
点赞数
分类专栏: 后端框架学习 文章标签: spring boot java Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38594872/article/details/126555772
版权

2 认证

2.1 登陆校验流程

首先我们看一下security的执行顺序图

在这里插入图片描述

2.2 原理了解

由于安全框架提供了很多默认的设置,添加依赖就能直接运行,但是实际开发中我们只想要得到登陆的结果,就需要修改security提供的默认配置来实现自己的登陆流程。想要知道如何实现自己的登陆流程,就必须要先知道入门案例中的Spring Security的流程。

2.2.1 Spring Security完整流程

Spring Security的原埋其实就是一个过滤器链,内部包含了提供各种功能的过滤器。这里我们可以看看入门案例中的过滤器。

在这里插入图片描述

图中只展示了核心过滤器,其它的非核心过滤器并没有在图中展示。

UsernamePasswordAuthenticatlonFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要由它负责。

ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException。

FilterSecuritylnterceptor:负责权限校验的过滤器。

我们可以通过debug查看当前系统中的Spring Security过滤链中有哪些过滤器以及他们的顺序。

在这里插入图片描述

2.2.2 认证流程解析

在这里插入图片描述

需要注意的是,上图中 5.1 与 5.2 是两种不同的方式,二选一即可。

Authentication接口:它的实现类,表示当前访问系统的用户,封装了用户相关信息。

AuthenticationManager接口:定义了认证Authentication的方法

UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。

UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

悠玄烛远
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
SpringSecurity(基于狂神说Java)
qq_63754844的博客
07-23 132
SpringSecurity
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 3102
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
Spring Security框架详解
m0_71777195的博客
05-12 335
Spring Security是一个基于Spring框架的认证和授权框架,它提供了各种工具和框架来保护基于Spring的应用程序。用户认证和授权保护Web应用免受各种攻击,如跨站点脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)和点击劫持攻击使用基于角色和权限的访问控制来保护应用程序资源带有单点登录(SSO)功能,可以将多个应用程序集成到一个中央身份验证系统与其他Spring框架,如Spring MVC和Spring Boot,提供可定制的集成。
Spring Security总体架构介绍
lifetime_gear的博客
10-21 1537
本文以抽象的方式介绍了 Spring Security 框架整体的运行流程,有助于读者理解 Spring Security 的运行方式并更好的使用 Spring Security 框架
spring security原理_Spring Security工作原理
weixin_39849888的博客
11-26 151
Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。当初始化Spring Security时,会创建一个名为...
SpringSecurity原理剖析与权限系统设计
zdy0_2004的专栏
09-30 467
Spring Secutity和Apache Shiro是Java领域的两大主流开源安全框架,也是权限系统设计的主要技术选型。本文主要介绍Spring Secutity的实现原理,并基于Spring Secutity设计基于RBAC的权限系统。 一、技术选型 为何把Spring Secutity作为权限系统的技术选型,主要考虑了以下几个方面: 数据鉴权的能力:Spring Secutity支...
Spring Security 核心解读(一)整体架构
冰糖的博客
05-28 1177
我们自定义的过滤器基本都是在 Security 这个过滤器链上面的,通过编排不同的顺序,实现想要的功能。在这之前,我们先看看Security默认的过滤器链上有哪些过滤器官方列表这里为了照顾,访问不了官网的,简单截个图。但不是所有过滤器默认都开启了的。上面那个链是,Spring 全局的过滤器链,里面第四个过滤器委托给了下面那个 Security 的过滤器链,在 Security 的过滤器链中,可以看到默认有14个过滤器。
Spring Security oauth2密码模式和主要组成的配置文件流程图
亦碎流年的博客
05-18 897
实战可以参考 Spring Security OAuth2--密码模式 实战_爱撸铁的程序猿的博客-CSDN博客_oauth2密码模式用户登录
Spring Security 从入门到精通之架构理解(一)
GalenGao
05-13 874
文章目录1、权限管理1.1 权限管理的定义1.2 身份认证1.3 资源授权1.4 Java常见权限管理解决方案2. Spring Security 整体架构2.1 认证2.1.1 AuthenticationManager2.1.2 ProviderManager2.1.2 AuthenticationProvider2.1.3 Authentication2.1.4 SecurityContextHolder2.2 授权2.2.1 AccessDecisionManager2.2.2 AccessDeci
springsecurity学习流程
weixin_43795939的博客
01-11 642
目录1.1 入门程序1.2 自定义登陆逻辑1.3 自定义登陆界面1.4 自定义错误界面1.5 为什么只能用Username和password这两个name1.6 前后端分离怎么办?2.1 antMatchers2.2 regexMatchers2.3 mvcMatchers2.4 security有几种访问控制的方法3.1 角色权限判断3.2 角色判断3.3 判断IP3.4 自定义403处理4.1 基于表达式的访问控制access4.2 注解4.3 RememberMe功能5.1 退出5.2 CSRF6 J
springSecurity配置详解
andyaqu的专栏
07-25 484
SpringSide 3的官方文档中,说安全框架使用的是Spring Security 2.0。乍一看,吓了我一跳,以为Acegi这么快就被淘汰了呢。上搜索引擎一搜,发现原来Spring Security 2.0就是Acegi 2.0。悬着的心放下来了。虽然SpringSide 3中关于Acegi的配置文件看起来很不熟悉,但是读了Acegi 2.0的官方文档后,一切都释然了。 先来谈一谈A...
Spring Security - Spring Security Architecture(Spring安全框架的体系结构)
swadian2008的博客
08-06 445
目录1. Introduction(简介)2. Authentication(认证) & Access Control(访问控制)2.1 Authentication(认证)2.2 Customizing Authentication Managers(自定义认证管理器)2.3 Authorization or Access Control(授权或访问控制)3. Web Security(Web安全)3.1 Web Security基本组件3.2 Creating and Customizing Filte
SpringSecurity过滤器链涉及组件绘图总结(十五)
欢谷悠扬
07-16 677
1.请求到SpringSecurity过滤器流程汇总图 1.请求发送到服务器端口,被tomcat监听到并转化为request,response 2.请求在tomcat中进入过滤器链ApplicationFilterChain 3.进入过滤器DelegatingFilterProxy(SpringSecurity创建并注入到过滤器链) 4.通过DelegatingFilterProxy持有的bean名称,从Spring容器中获取FilterChainProxy 5.FilterChainProxy 持有多条过
Spring Security体系结构
qq_27890899的博客
05-31 297
Spring Security的过滤器链加载与执行原理。
spring security 微服务权限认证架构图(jwt版和jwt+redis版)
应学欣的博客
06-23 2711
标题一,jwt版,代码比较简洁,但是不能控制jwt失效 标题,jwt+redis版,服务端能用reids控制jwt失效
Spring Security相关图形
aiwokache的博客
03-24 1479
一、需求调研、需求分析(即应用场景) spring security 是基于 spring安全框架,它提供全面的安全性解决方案。 框架的设计思想 认证(你是谁,用户/设备/系统,是否合法)。 验证(你有干什么的权限,也叫权限控制/授权,允许执行的操作)。ds:这个验证可以控制到方法的级别,验证用户能做什么。 三、工作原理、运行流程 文:基于 Filter , Servlet, AOP 实现身份认证和权限验证。 四、详细设计:实现方法(技术) spring secur...
Spring Security: 整体架构
架构大数据双料架构师的博客
10-29 334
如果需要添加自定义的 filter,例如:添加一个校验 tenantId 的 filter:@Overridereturn;添加 filter 时,可以指定 filter 位于某个给定的 filter 的前或者后。从而保证 filter 的执行顺序。需要注意的是,在定义 Filter 时,不要将 filter 定义为 Spring Bean。
Spring Security3 安全框架中文教程
Spring Security是一个强大的、高度可定制的安全框架,专为Java应用程序设计,尤其在Web应用中广泛使用。Spring Security3作为其旧版本,尽管现在已经被更新的版本取代,但依然具有丰富的功能和广泛的适用性。本学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值