Spring Security 01.两个功能

已于 2024-08-13 21:33:34 修改
阅读量378 收藏 9
点赞数 5
分类专栏: 安全框架 文章标签: java
于 2024-08-11 22:13:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38757863/article/details/141113054
版权

在这里插入图片描述

在 Spring Security 的架构设计中,认证(Authentication)和授权(Authorization)是分开
的,在本书后面的章节中读者可以看到,无论使用什么样的认证方式,都不会影响授权,这是
两个独立的存在,这种独立带来的好处之一,就是 Spring Security 可以非常方便地整合一些外
部的认证方案。

02.认证

2.1 用户信息存储地方

在 Spring Security 中,用户的认证信息主要由 Authentication 的实现类来保存,
Authentication 接口定义如下:

public interface Authentication extends Principal, Serializable {

	 Collection<? extends GrantedAuthority> getAuthorities();
	 
	 Object getCredentials();
	 
	 Object getDetails();
	 
	 Object getPrincipal();
	 
	 boolean isAuthenticated();
	 
	 void setAuthenticated(boolean isAuthenticated);
	 
}

在这里插入图片描述
当用户使用用户名/密码登录或使用 Remember-me 登录时,都会对应一个不同的Authentication 实例。

2.2

Spring Security 中的认证工作主要由 AuthenticationManager 接口来负责,下面来看一下该接口的定义:

public interface AuthenticationManager {
 Authentication authenticate(Authentication authentication)
 throws AuthenticationException;
}

在这里插入图片描述
AuthenticationManager 最主要的实现类是 ProviderManager,ProviderManager 管理了众多
的 AuthenticationProvider 实例,AuthenticationProvider 有点类似于 AuthenticationManager,但
是它多了一个 supports 方法用来判断是否支持给定的 Authentication 类型。

public interface AuthenticationProvider {
 Authentication authenticate(Authentication authentication)
 throws AuthenticationException;
 boolean supports(Class<?> authentication);
}

由 于 Authentication 拥 有 众 多 不 同 的 实 现 类 , 这 些 不同的实现类 又 由 不 同 的
AuthenticationProvider 来处理,所以 AuthenticationProvider 会有一个 supports 方法,用来判断
当前的 Authentication Provider 是否支持对应的 Authentication。

在一次完整的认证流程中,可能会同时存在多个 AuthenticationProvider(例如,项目同时
支持 form 表单登录和短信验证码登录),多个 AuthenticationProvider 统一由 ProviderManager
来管理。同时,ProviderManager 具有一个可选的 parent,如果所有的 AuthenticationProvider
都认证失败,那么就会调用 parent 进行认证。parent 相当于一个备用认证方式,即各个
AuthenticationProvider 都无法处理认证问题的时候,就由 parent 出场收拾残局。

2.3
当完成认证后,接下来就是授权了。在 Spring Security 的授权体系中,有两个关键接口:

AccessDecisionManager
AccessDecisionVoter

AccessDecisionVoter 是一个投票器,投票器会检查用户是否具备应有的角色,进而投出赞成、反对或者弃权票;AccessDecisionManager 则是一个决策器,来决定此次访问是否被允许。
AccessDecisionVoter 和 AccessDecisionManager 都有众多的实现类,在 AccessDecisionManager中会挨个遍历 AccessDecisionVoter,进而决定是否允许用户访问,因而 AccessDecisionVoter和 AccessDecisionManager 两者的关系类似于 AuthenticationProvider 和 ProviderManager 的关系。

万zp
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列(5)—— Servlet 认证体系结构介绍
gmHappy
11-25 1万+
安全上下文持有者,存储当前认证用户的。:安全上下文,包含当期认证用户的(认证信息),从中获取。:认证信息,用户提供的用于身份认证的凭据的输入。:授予主体的权限(即角色、作用域等)。:认证管理器,是一个接口,定义过滤器执行身份认证的API。:提供者管理器,是的默认实现。: 认证提供者,由选择,用于执行特定类型的身份认证。: 认证入口点,处理认证过程中的认证异常,比如:重定向登录页面:抽象认证处理过滤器,一个Filter抽象类,是身份验证的基础。
Spring Security 6.x 系列【3】源码篇之基于过滤器的基本原理
记录知识、锤炼自我
03-27 2989
对Servlet的支持是基于过滤器的,在请求到达Servlet之前,通过过滤器进行认证授权校验,用户合法且有权限,放行通过,反之会跳转到登录页或拒绝访问。所以本篇文档主要介绍中过滤器的相关知识。类比JAVA Web中的过滤器中的过滤器进行了各种代理和增强,可以简单理解Security中的过滤器请求到(代理过滤器)调用(过滤器链代理)根据请求,调用匹配的Security中的过滤器链)中的多个有序的Security过滤器对请求进行处理,检验是否登录、是否授权… 并做出相应处理。
Spring Security 6.x 系列【45】微服务篇之搭建统一认证服务
记录知识、锤炼自我
05-26 3398
在上篇文档中,我们学习了在微服务架构下,如何搭建统一身份认证,并推荐使用Session管理会话,接下来我们搭建一个微服务项目,并实现分布式环境下的认证功能
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 7961
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Spring Security 6.x 系列(7)—— SecurityBuilder 继承链源码分析
gmHappy
11-30 1万+
`WebSecurity`、`HttpSecurity`、`AuthenticationManagerBuilder` 都是框架中的构建者,把他们放到一起看看他们的共同特点: 可以看出他们都有这样一条相同的继承链: ```bash |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造
记录知识、锤炼自我
07-12 7794
除了认证授权外功能外,还提供了安全防护功能,比如跨站点请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网站,并运行一些操作,比如发消息、转账、购买商品等。
Spring Security】基本功能介绍
m0_45406092的博客
03-24 5435
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired VerifyCodeFilter verifyCodeFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(verifyCode
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序(AuthenticationProvider)以适应不同的业务需求。本文将详细介绍...
spring security 5.x实现兼容多种密码的加密方式
08-28
Spring Security 是一个强大的安全框架,用于保护基于 Java 的应用程序,包括 Web 应用。在 Spring Security 5.x 版本中,它提供了对多种密码加密方式的兼容性,以适应不同场景下的安全性需求。本文将深入探讨如何在...
spring_security.zip
09-07
两个概念在现代Web开发中扮演着至关重要的角色。 Spring Security 基础知识点: 1. **认证**:Spring Security 提供了多种认证机制,如基于表单的认证、HTTP Basic 认证、JWT(JSON Web Token)认证等。用户可以...
Spring Security.pdf
05-25
Spring Security利用了Servlet过滤器、Spring的依赖注入(IOC)和面向切面编程(AOP)技术,它能够处理身份认证(Authentication)和授权(Authorization)两大安全核心问题。 身份认证是确认用户身份的过程,即...
狂神-spring-security素材.rar
04-16
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在Spring生态中,它被广泛应用于构建安全的Web应用程序。本资料“狂神-spring-security素材”可能包含了关于...
JAVA进阶补充
最新发布
2301_80150315的博客
08-15 548
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
进程间通信 ---共享内存
BUG制造机的博客
08-14 872
在这篇文章中向大家介绍了共享内存的原理以及常用的指令函数,希望大家有所收获!😁。
SpringBoot快速入门(手动创建)
m0_74124657的博客
08-11 538
代码如下//引导类项目的入口//注解添加导入进来你可以浏览器中查看自己编写的代码,看是否正确localhost:你命名的端口号(默认是8080。后面你也可以在配置文件修改)
Java Spring|day3.SpringBoot
weixin_60364343的博客
08-15 246
告诉Spring boot需要什么功能,它就能引入需要的依赖库起步依赖就是特殊的Maven依赖,利用了传递依赖解析,把常用库聚合在一起,组成几个为特定功能而定制的依赖。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值