spring security基础概念

最新推荐文章于 2024-04-22 11:03:14 发布
最新推荐文章于 2024-04-22 11:03:14 发布
阅读量538 收藏 4
点赞数 1
分类专栏: 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39188150/article/details/112020145
版权

一、什么是spring security?

1、分为用户认证(Authentication)和用户授权(Authorization)两个部分.

	用户认证指的是验证某个用户是否为系统中的合法主体,
	也就是说用户能否访问该系统。

	用户授权指的是验证某个用户是否有权限执行某个操作。

2、 框架简介

要对Web资源进行保护,最好的办法莫过于Filter
要想对方法调用进行保护,最好的办法莫过于AOP。

springSecurity进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。
在这里插入图片描述

请求经过fifter链:

(1)、SecurityContextPersistenceFilter(获取设置上下文):

	获取SecurityContext(安全上下文),
	并将上下文设置到SecurityContextHolder。

(2)、UsernamePasswordAuthenticationFilter(认证):

	处理来自表单提交的认证,通过用户名和密码,生成认证令牌,
	然后通过authenticManage来进行认证。
	成功或失败后执行AuthenticationSuccessHandler 
	和 AuthenticationFailureHandler接口实现类中的自定义逻辑。

(3)、FilterSecurityInterceptor(授权):

	对request进行权限判断,允许访问或者抛出accessDenied异常。
	也就是授权。

3、框架的核心组件

(1)、SecurityContextHolder:

	提供对SecurityContext(安全上下文,认证信息就存在此处)的访问。


(2)、SecurityContext:	 

	持有Authentication对象和其他可能需要的信息。


(3)、AuthenticationManager

	认证器接口,里面包含多个不同类型的AuthenticationProvider,
	通过Authentication令牌的类型来决定调用哪个Provider来执行
	认证处理。


(4)、 AuthenticationProvider 

	主要用来进行认证操作的类 调用其中的authenticate()方法去
	进行认证操作。


(5)、Authentication:

	Spring Security方式的认证主体。


(6)、GrantedAuthority:

	含当前用户的权限信息,通常使用角色表示。

(7)、UserDetails:

	构建Authentication对象必须的信息,可以自定义,
	可能需要访问DB得到。

(8)、UserDetailsService:

	通过username构建UserDetails对象,
	通过loadUserByUsername根据userName获取UserDetail对象。
  1. 工作流程是怎样的?

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5、基础概念总结:

(1)、spring security分为认证和鉴权两个方面,认证就是根据参数去查询数据库,
     有没有此用户存在。鉴权就是通过用户/角色/权限表以及两张中间表
     (用户角色表/角色权限表),联查查出该用户拥有的访问权限是那些。

(2)、spring security认证和鉴权,实际上就是由一个fifter链组完成的

     <1>、经过SecurityContextPersistenceFilter
          生成一个安全上下文(SecurityContext)。

     <2>、经过UsernamePasswordAuthenticationFilter,
    	  生成一个令牌(AuthenticationToken),
    	  将这个令牌传入到AuthenticationManage(认证器)。

  	 <3>、AuthenticationManage是一个代理接口,
          里面包含了一系列的AuthenticationProvider 。

   	 <4>、通过传入的AuthenticationToken调用不同的
 		  AuthenticationProvider中的方法进行认证,
 		  比如DaoAuthenticationProvider,
          通过重写authenticate方法进行自定义的认证。

      <5>、DaoAuthenticationProvider 在进行认证的时候需要一个 
           UserDetailsService 来获取用户的信息 UserDetails,
           将UserDetails传入UsernamePasswordAuthenticationToken
           生成一个Authentication。

      <6>、认证成功调用AuthenticationSuccessHandler实现类方法,
           认证失败调用AuthenticationFailureHandler。

      <7>、以上认证阶段结束。

      <8>、鉴权是经过FilterSecurityInterceptor进行的,
           通过传来的认证主体(Authentication),
           可以得到UserDetails信息中的权限信息,
           然后和requst中的url进行比对,包含有的就可以访问restApi。

6、总结

(1)、认证流程开始,首先通过SecurityContextPersistenceFilter
     生成一个SecurityContext(安全上下文),
     之后的fifter之间的信息传递全靠这个来实现。

(2)、前台传来的userName和password,
     通过UsernamePasswordAuthenticationFilter,
     生成一个令牌(AuthenticationToken)

(3)、按照令牌(AuthenticationToken)类型的不同,
    调用不同的接口实现类中的认证方法,
    比如令牌类型是读数据库类型,
  	就调用程序员自己写的DaoAuthenticationProvider
    接口实现类中的authenticate方法进行认证。
  
     
(4)、 DaoAuthenticationProvider 在进行认证的时候需要一个 
      UserDetailsService 来获取用户的信息 UserDetails,
      这个UserDetailsService由程序员自己实现,
      从数据库查出用户信息,封装成UserDetails对象返回即可。

(5)、 将UserDetails传入UsernamePasswordAuthenticationToken方法,
  	  生成一个Authentication。

(6)、Authentication和通过前台传来的
  	 userName和password生成的Authentication		 				
     如果认证成功调用AuthenticationSuccessHandler实现类方法,
     如果认证失败调用AuthenticationFailureHandler实现类方法。

(7)、以上认证阶段结束,开始授权阶段,
    通过FilterSecurityInterceptor过滤器来比对:

  	Authentication(通过数据库查询出来的认证信息)里面的权限列表
    和requst中的url

    如果匹配得到,那可以通过,否则就不能访问。
miller.zc
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security认证过程
weixin_38927257的博客
11-08 4378
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
spring security解析--认证
Dream - to be coder
04-01 1233
spring security用户认证 主要涉及到的对象是AuthenticationManager,ProviderManager, AuthenticationProvirder, DaoAuthenticationProvider, UserDetailsService,UserDetials
SpringSecurity认证流程详解和代码实现
热门推荐
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
知识点系列 SpringSecurity 基础
最新发布
weixin_62868720的博客
04-22 646
如果我们想指定系统的访问用户名及密码, 可以通过配置的形式声明 , 声明一个 UserDetailsService 类型的Bean。@EnableWebSecurity//开启web安全设置生效/*** 构建认证服务,并将对象注入spring IOC容器,用户登录时,会调用该服务进行用户合法信息认证* @return*/@Bean//构建用户。
Spring Security 认证流程
m0_59448100的博客
10-04 694
Spring Security 认证流程
谷粒学院SpringSecurity认证流程详解
小鲁蛋的博客
03-19 1197
CSRF攻击依靠的是Cookie中所携带的认证信息,但是在前后端分离的项目中我们的认证信息其实是token,而token并不是存储中Cookie中,并且需要前端代码去把token设置到请求头中才可以,所以CSRF攻击也就不用担心了。:提供核心用户信息。如果在对用户信息,密码验证的过程中抛出异常,此时会判断用户信息是否从缓存中得到,考虑到数据是不实时的,重新通过retrieveUser方法去取出用户信息,再次重复进行检查验证。我们系统中会有许多用户,确认当前是哪个用户正在使用我们系统就是登录认证的最终目的。
Spring Security in Action
11-22
SecurityContext 是 Spring Security 中的一个重要概念,表示当前用户的安全上下文。SecurityContext 中包含用户的身份信息、权限信息等。SecurityContext 是通过 SecurityContextHolder 实现的。 五、Spring ...
SpringSecurity素材.rar
03-02
1. **SpringSecurity简介**:首先会介绍SpringSecurity的基本概念和架构,包括它如何通过层层过滤器保护Web应用,以及它提供的主要组件如Authentication(认证)和Authorization(授权)。 2. **配置SpringSecurity...
springboot+ spring security实现登录认证
05-04
首先,我们需要理解Spring Security的基本工作流程:当一个请求到达时,Spring Security会检查该请求是否经过了认证。如果没有,它会引导用户进行登录。一旦用户成功登录,Security会根据授权规则判断用户是否有权限...
SpringSecurity安全框架基础Demo
01-02
综上所述,"SpringSecurity安全框架基础Demo"涵盖了Spring Security基础概念和关键功能,是学习和实践Spring Security的宝贵资源。通过这个Demo,开发者可以了解如何在实际项目中应用Spring Security,以确保应用...
springsecurity
07-23
Spring Security 提供了多种认证机制,如基于表单的登录、HTTP基本认证、OAuth2等。用户信息通常存储在内存、数据库或其他安全令牌中。 3. **Authorization**:授权是决定用户是否有权访问特定资源或执行特定操作的...
Spring Security认证流程分
l688899886的博客
08-05 495
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:转存失败重新上传取消图 3-3图中显示的流程是一个通用的架构。AbstractAuthenticationProcessingFilter作为一个抽象类,如果使用用户名/密码的方式登录, 那么它对应的实现类是。...
【详解】Spring SecuritySecurityContext
dieqiuxie4160的博客
01-20 755
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
两张图疏通Spring Security认证流程
HHH的博客
07-19 426
我们都知道实现一套Spring Security 的认证流程, 需要设计很多和类来回切换,等等, 这些类名又非常的长, 所以导致我们在写的时候,思绪混乱,不知道下一步应该写什么 ,所以今天我们就通过两张图来搞明白这个认证编码的流程Tip:最好自己是已经跟着文档或者视频做过一次Spring Security认证流程可以看看我的上一篇博客更加优雅的认证授权——Spring Security_Hzq958的博客-CSDN博客所以我们的编码流程自顶向下的方式是非常合理, 避免了反复频繁的切换类。
spring security 多认证方式的配置,自定义认证方式
qq_31983635的博客
09-30 2717
背景: 项目中已经有了登录界面,通过账号密码登录的方式登录系统,之前别人搞的, 新需求: 需要与其他系统集成,相当于单点登录,也不需要去认证服务器验证,默认认为他们传过来的就是正确的(话说这样真的挺危险的), 经过讨论,加一点加密措施,使用了 JWT进行加密传输, 所以需要在保留现有登录界面登录方式的基础上, 添加新的登录方式,点击链接直接登录(链接中带上加密后的JWT串) 过程: 接到了需求后,就去网上搜了一遍, 毕竟面向百度编程时代, 看了看怎么集成, 帖子也不少,写的比较好的如下 https:.
Spring Security 认证的三种方式及简单的授权
我的博客
04-07 418
SecurityConfig配置类内重写configue(HttpSecurity http)方法,如果用户没有访问某页面的权限,会出现403页面错误,该错误页面提示可以根据自己的项目进行修改。在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录。在做好了认证方式后,想要指定不同的权限访问不同的页面,即自定义访问控制,则需要再进行一些设置。测试,登录时用数据库内存储的用户信息。
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4484
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
Spring Security-SecurityContext
kaikai8552的专栏
02-24 6711
  Spring Security在认证成功后,将票据存放在SecurityContext中。SecurityContext是一个接口,从接口的方法可以看出,用户可以通过SecurityContext存放和读取票据信息(Authentication)。      SecurityContext又存放在SecurityContextHolder。SecurityContextHolder定义了Sec
java security 详解_java中Spring Security的实例详解
weixin_39875675的博客
02-13 684
java中Spring Security的实例详解spring security是一个多方面的安全认证框架,提供了基于JavaEE规范的完整的安全认证解决方案。并且可以很好与目前主流的认证框架(如CAS,中央授权系统)集成。使用spring security的初衷是解决不同用户登录不同应用程序的权限问题,说到权限包括两部分:认证和授权。认证是告诉系统你是谁,授权是指知道你是谁后是否有权限访问系统(...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值