SpringSecurity学习笔记---SpringSecurity简介

最新推荐文章于 2023-05-11 18:56:14 发布
最新推荐文章于 2023-05-11 18:56:14 发布
阅读量297 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39314972/article/details/115355894
版权

SpringSecurity学习笔记—SpringSecurity简介

1.简介

  1. Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。
  2. 它是用于保护基于Spring的应用程序的实际标准。
  3. Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。
  4. 和所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求.

2.SpringSecurity对比Shiro

  1. Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点:
    1. 易于理解的 Java Security API;
    2. 简单的身份认证(登录),支持多种数据源(LDAP,JDBC,Kerberos,ActiveDirectory等);
    3. 对角色的简单的鉴权(访问控制),支持细粒度的鉴权;
    4. 支持一级缓存,以提升应用程序的性能;
    5. 内置的基于 POJO 企业会话管理,适用于 Web 以及非 Web 的环境;
    6. 异构客户端会话访问;
    7. 非常简单的加密 API;
    8. 不跟任何的框架或者容器捆绑,可以独立运行。
  2. Spring Security:除了不能脱离Spring,shiro的功能它都有。而且Spring Security对Oauth、OpenID也有支持,Shiro则需要自己手动实现。Spring Security的权限细粒度更高。

3.SpringSecurity功能

  1. 认证: 用户登录, 解决的是"你是谁?"
  2. 授权: 判断用户拥有什么权限,可以访问什么资源. 解决的是"你能干什么?"
  3. 安全防护,防止跨站请求,session 攻击

4.SpringSecurity认证基本原理

  1. 引入依赖
    <!--添加Spring Security 依赖 --> 
<dependency> 
	<groupId>org.springframework.boot</groupId> 
	<artifactId>spring-boot-starter-security</artifactId> 
</dependency>
  2. 在使用SpringSecurity框架会默认自动地替我们将系统中的资源进行保护,每次访问资源的时候都必须经过一层身份的校验,如果通过了,则重定向到我们输入的url中,否则访问是要被拒绝的。
  3. Spring Security功能的实现主要是由一系列过滤器相互配合完成。也称之为过滤器链

5.SpringSecurity过滤器链(过滤器是一种典型的AOP思想): Spring Security默认加载15个过滤器, 但是随着配置可以增加或者删除一些过滤器.

  1. org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter根据请求封装获取WebAsyncManager,从WebAsyncManager获取/注册的安全上下文可调用处理拦截器
  2. org.springframework.security.web.context.SecurityContextPersistenceFilter
    SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续fifilter建立所需的上下文。SecurityContext中存储了当前用户的认证以及权限信息。
  3. org.springframework.security.web.header.HeaderWriterFilter
    向请求的Header中添加相应的信息,可在http标签内部使用security:headers来控制
  4. org.springframework.security.web.csrf.CsrfFilter
    csrf又称跨域请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息,如果不包含,则报错。起到防止csrf攻击的效果。
  5. org.springframework.security.web.authentication.logout.LogoutFilter
    匹配URL为/logout的请求,实现用户退出,清除认证信息。
  6. org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
    表单认证操作全靠这个过滤器,默认匹配URL为/login且必须为POST请求。
  7. org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
    如果没有在配置文件中指定认证页面,则由该过滤器生成一个默认认证页面。
  8. org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
    由此过滤器可以生产一个默认的退出登录页面
  9. org.springframework.security.web.authentication.www.BasicAuthenticationFilter
    此过滤器会自动解析HTTP请求中头部名字为Authentication,且以Basic开头的头信息。
  10. org.springframework.security.web.savedrequest.RequestCacheAwareFilter
    通过HttpSessionRequestCache内部维护了一个RequestCache,用于缓存HttpServletRequest
  11. org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
    针对ServletRequest进行了一次包装,使得request具有更加丰富的API
  12. org.springframework.security.web.authentication.AnonymousAuthenticationFilter
    当SecurityContextHolder中认证信息为空,则会创建一个匿名用户存入到SecurityContextHolder中。spring security为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。
  13. org.springframework.security.web.session.SessionManagementFilter
    securityContextRepository限制同一用户开启多个会话的数量
  14. org.springframework.security.web.access.ExceptionTranslationFilter
    异常转换过滤器位于整个springSecurityFilterChain的后方,用来转换整个链路中出现的异常
  15. org.springframework.security.web.access.intercept.FilterSecurityInterceptor
    获取所配置资源访问的授权信息,根据SecurityContextHolder中存储的用户信息来决定其是否有权限。
馒头太帅了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
聊一聊Spring Security的那些事
IT小辉同学
06-05 1465
田野里有一只会飞的蒲公英......
Spring Secutiry安全框架
xpf_123的博客
10-19 759
Spring Secutiry安全框架 一、Spring Secutury 的解释: 1. Spring Secutury 是一个能够为基于Spring的企业应用系统提供声明的访问控制解决方案的安全框架,它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了SpringIoc,DI和AOP功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。...
初识spring security
qq_21134059的博客
12-28 561
这里写目录标题1.前言2.简介2.1 什么是 spring security 1.前言 我们在日常的项目开发过程中经常会开发登录认证,授权等基础功能。这些功能看上去简单,实际上也简单,但是它却在我们项目中有着举足轻重的地位,是一切业务的根本。为了统一解决这一根本问题,软件行业的巨头公司出了一些框架, 如: apache shiro, spring security, Sa-Token。那么今天我们就来聊聊 spring security。 2.简介 2.1 什么是 spring security sprin
Spring SecuritySpring Security框架详解
DreamSun的博客
05-11 1160
Spring Security是一款基于Spring框架的认证和授权框架,提供了一系列控制访问和保护应用程序的功能,同时也支持基于角色和权限的访问控制,加密密码,CSRF防范,会话管理等多种功能。Spring Security可以轻松地与其他Spring框架,如Spring Boot和Spring MVC进行集成使用。
SpringSecurity安全框架---概念以及入门代码
qq_32923295的博客
04-19 223
前言 SpringSecurity说起来真的很重,在SSM中整合需要配置的项太多,但是流程比较清晰。在springboot中却很简单,但是流程又不太清晰,所以近期研究学习spring boot 整合SpringSecurity并且梳理流程 SpringSecurity是什么? Spring Security一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了Spring IoC,DI(控制
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity笔记2-SpringSecurity命名空间
03-29
在"SpringSecurity笔记2-SpringSecurity命名空间"的学习中,还会涉及到如何自定义过滤器链,以及如何通过`<custom-filter>`元素插入自定义的SpringSecurity过滤器。同时,理解`<access-denied-handler>`和`...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话...通过深入学习和实践,我们可以更好地掌握SpringSecurity,为我们的应用构建坚固的安全防线。
top-spring-security-architecture:Spring安全架构
05-13
标签专案安全Spring安全了解Spring安全性目录本指南是Spring Security的入门,它提供了对该框架的设计和基本构建块的见解。 我们仅介绍应用程序安全性的最基础知识。 但是,这样做可以消除使用Spring Security的开发...
spring security的知识摘要
qq_45550098的博客
04-01 207
spring security的知识摘要 1.首先spring security特点的主要操作可能是两个操作 第一个被称为“认证”,是为用户建立一个他所声明的主体。主体一般是指用户,设备或可以在系统中执行动作的其他系统。** 第二个叫“授权”,指的是一个用户能否在应用中执行某个操作,在到达授权判断之前,身份的主体已经由身份验证过程建立。 这些概念是通用的,不是Spring Security特有的。 2.对身份认证支持各种验证模式,有自己的,但大多数都是第三方提供的 其中有一个叫JA-SIG Central
6、Spring Security介绍
Java__EE小白成长之路
09-15 958
帮你选择Spring Security、Apache Shiro
Spring security详解——学习笔记
m0_61943950的博客
05-09 324
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。用户认证就是判断用于身份是否合法的过程授权: 授权是用户认证通过后,根据用户的权限来控制用户访问资源的过程。拥有资源的访问权限则正常访问,没有权限则拒绝访问。Spring Security一个能够为基于Spring的企业应用系统声明式(注解)安全访问控制解决方案的安全框架。
管理员后端spring(day11)
shortcutsuccess的博客
09-05 224
关于查询的字段列表,id、username、phone、email、enable;
SpringSecurity
眼泪落在琴弦的博客
06-22 572
SpringSecurity Spring SecuritySpring 家族中的一个安全管理框架,提供了一整套web应用安全性完整 地解决方案,Web应用安全性主要是用户认证和授权,这两个也是SpringSecurity核心功能。 在springboot,springcloud出来之前,权限框架一直是shiro的天下,直到springboot出来后,security才得到广泛地应用。 最合适的推荐组合: SSM+shiro springboot+security SpringSecurit
SpringSecurity框架介绍
星海IT学习之路
12-25 509
文章目录1、概要2、历史3、同款产品对比1、Spring Security2、Shiro4、模块划分 1、概要 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(A
Spring Security(一)- SpringSecurity 框架简介
及时当勉励,岁月不待人
09-19 1461
Spring Security(一)- SpringSecurity 框架简介
Spring Boot开发 - 简单的包结构 - Spring Security -记录log日志 - 常用注解介绍
nethub2的专栏
10-08 311
面看下本篇记录Spring Boot的几个知识点:    (一)一个Maven+Spring Boot项目基本的包结构形式  (二)一个简单的在Spring Boot项目集成安全控制  (二)如何在Spring Boot中记录log日志  (四)Spring Boot中几个常用注解介绍  (一)先看下,官网给出的一个简单的包结构组成:  com    +- example   ...
springsecurity笔记
最新发布
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值