spring security 认证简介

已于 2022-09-07 09:51:29 修改
阅读量1.6k 收藏 5
点赞数 1
分类专栏: # Spring Security 文章标签: spring spring security java
于 2022-08-05 11:17:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39385118/article/details/126154722
版权

1. 简介

spring security的核心功能:认证和授权,认证就是身份验证(你是谁?),授权就是访问控制(你可以做什么?),同时他还提供很多安全管理的周边功能。在Spring Security的架构设计中,认证(Authentication)和授权(Authorization)是分开的,本篇文章主要涉及认证相关的功能和原理介绍。

2.认证核心组件

2.1 Authentication

当用户登录后,都会对应一个不同的Authentication实例,最常用的实现类是UsernamePasswordAuthenticationToken和RememberMeAuthenticationToken

public interface Authentication extends Principal, Serializable {

    //获取用户权限列表
    Collection<? extends GrantedAuthority> getAuthorities();

    //获取用户凭证,一般来说就是密码,认证成功后密码一般会被删除
    Object getCredentials();

    //获取用户的详细信息,可能是当前请求之类等
    Object getDetails();

    //获取当前用户,例如一个用户名或者一个用户对象
    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

2.2 AuthenticationManager

authenticate方法用来做认证,返回Authentication表示认证成功,抛出异常表示用户输入无效的凭证,返回null表示不能确定

public interface AuthenticationManager {
    Authentication authenticate(Authentication authentication) throws AuthenticationException;
}

2.3 ProviderManager

ProviderManager是AuthenticationManager的实现类,ProviderManager管理众多AuthenticationProvider实例(详见2.4节),AuthenticationProvider会有一个supports方法,用来判断当前AuthenticationProvider是否支持此次认证请求。

ProviderManager的大致认证流程就是遍历众多AuthenticationProvider实例(例如有的是表单登陆,有的是短信验证码登陆)。

//省略部分代码
public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {

    private AuthenticationEventPublisher eventPublisher;

    private List<AuthenticationProvider> providers;

    private AuthenticationManager parent;

    private boolean eraseCredentialsAfterAuthentication;

    public ProviderManager(AuthenticationProvider... providers) {
        this(Arrays.asList(providers), (AuthenticationManager)null);
    }

    public ProviderManager(List<AuthenticationProvider> providers) {
        this(providers, (AuthenticationManager)null);
    }

    public ProviderManager(List<AuthenticationProvider> providers, AuthenticationManager parent) {
    }

    //核心部分,省略部分代码
    public Authentication authenticate(Authentication authentication) throws AuthenticationExceptio {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		int currentPosition = 0;
		int size = this.providers.size();
		for (AuthenticationProvider provider : getProviders()) {
				result = provider.authenticate(authentication);
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
		}
        //如果providers都不能处理,由parent处理
		if (result == null && this.parent != null) {
			// Allow the parent to try.
			try {
				parentResult = this.parent.authenticate(authentication);
				result = parentResult;
			}
			catch (AuthenticationException ex) {
				parentException = ex;
				lastException = ex;
			}
		}
		if (result != null) {
			if (this.eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {
                //擦除密码,发布事件
				((CredentialsContainer) result).eraseCredentials();
			}
			if (parentResult == null) {
				this.eventPublisher.publishAuthenticationSuccess(result);
			}
			return result;
		}
    }
}

2.4 AuthenticationProvider

AuthenticationProvider有点类似AuthenticationManager,但是多了一个supports方法用来判断是否支持给定的Authentication类型
public interface AuthenticationProvider {

    Authentication authenticate(Authentication authentication) throws AuthenticationException;

    boolean supports(Class<?> authentication);
}

2.5 UserDetails

规范开发者自定义用户对象

public interface UserDetails extends Serializable {
    
    //返回当前账户具备的权限
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();
}

 2.6 UserDetailsService

负责提供用户数据源,提供查询用户的方法

public interface UserDetailsService {
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

3. Filter

在Spring Security中,认证和授权都是基于过滤器来完成的,过滤器通过FilterChainProxy来统一代理,然后将FilterChainProxy嵌入到web项目的原生过滤器中。FilterChainProxy本身通过Spring框架提供的DelegatingFilterProxy整合到原生过滤器链中。

3.1 默认的Filter顺序

其次序定义在FilterOrderRegistration类中

次序
DisableEncodeUrlFilter100
ForceEagerSessionCreationFilter200
ChannelProcessingFilter300
WebAsyncManagerIntegrationFilter500
SecurityContextHolderFilter600
SecurityContextPersistenceFilter700
HeaderWriterFilter800
CorsFilter900
CsrfFilter1000
LogoutFilter1100
OAuth2AuthorizationRequestRedirectFilter1200
Saml2WebSsoAuthenticationRequestFilter1300
X509AuthenticationFilter1400
AbstractPreAuthenticatedProcessingFilter1500
CasAuthenticationFilter1600
OAuth2LoginAuthenticationFilter1700
Saml2WebSsoAuthenticationFilter1800
UsernamePasswordAuthenticationFilter1900
DefaultLoginPageGeneratingFilter2100
DefaultLogoutPageGeneratingFilter2200
ConcurrentSessionFilter2300
DigestAuthenticationFilter2400
BearerTokenAuthenticationFilter2500
BasicAuthenticationFilter2600
RequestCacheAwareFilter2700
SecurityContextHolderAwareRequestFilter2800
JaasApiIntegrationFilter2900
RememberMeAuthenticationFilter3000
AnonymousAuthenticationFilter3100
OAuth2AuthorizationCodeGrantFilter3200
SessionManagementFilter3300
ExceptionTranslationFilter3400
FilterSecurityInterceptor3500
AuthorizationFilter3600
SwitchUserFilter3700

4. 获取用户登录信息

如果不使用安全框架,可以通过HttpSession读写用户数据,Spring Security对HttpSession的用户信息进行了封装,开发者获取用户信息的方式有两种:

  • 从SecurityContextHoler中获取
  • 从当前请求对象中获取

4.1 从SecurityContextHoler中获取

@Controller
public class HelloController {

    @RequestMapping(method = RequestMethod.GET, path = "principal")
    @ResponseBody
    public Object principal() {
        SecurityContext context = SecurityContextHolder.getContext();
        Authentication authentication = context.getAuthentication();
        Object principal = authentication.getPrincipal();
        return principal;
    }
}

4.2 从当前请求对象中获取

@RequestMapping("/authentication")
public void authentication(Authentication authentication) {
    System.out.println("authentication = " + authentication);
}
@RequestMapping("/principal")
public void principal(Principal principal, HttpServletRequest req) {
    System.out.println("req.getClass() = " + req.getClass());
    System.out.println("principal = " + principal);
}
@RequestMapping("/info")
public void info(HttpServletRequest req) {
    String remoteUser = req.getRemoteUser();
    Authentication auth = ((Authentication) req.getUserPrincipal());
    boolean admin = req.isUserInRole("admin");
    System.out.println("remoteUser = " + remoteUser);
    System.out.println("auth.getName() = " + auth.getName());
    System.out.println("admin = " + admin);
}

little-motor
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
spring-security
migo_的专栏
02-25 1234
Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。Spring SecuritySpring采用 `AOP`思想,基于 `servlet过滤器`实现的安全框架。它提供了完善的认证机制和方法级的授权功能。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。
详解 Spring Security:全面保护 Java 应用程序的安全框架
最新发布
微笑听雨
06-13 1525
Spring Security 是一个功能强大且高度可定制的框架,用于保护基于 Java 的应用程序。它为身份验证、授权、防止跨站点请求伪造 (CSRF) 等安全需求提供了解决方案
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4491
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
SpringSecurity认证流程详解和代码实现
热门推荐
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
Spring Security 认证
一个想交朋友的陌生人
06-25 147
1.security认证流程 Security通过一系列的过滤器来完成认证,其中最重要的过滤器是UsernamePasswordAuthenticationFilter,这个过滤器会调用AuthenticationManager来对当前登录的用户信息进行认证,而AuthenticationManager本身不具备认证功能的,它管理了一系列的AuthenticationProvider,每个AuthenticationProvider的认证方式均不相同 ,但只要有其中任何一个认证通过,那么就表示认证成功,认
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
spring security 认证授权实现
10-14
总的来说,这个项目提供了一个现成的Spring Security认证授权框架,结合了JWT、Redis集群和MyBatis-Plus技术,使得开发者能够快速构建安全的、有权限控制的Web应用,同时省去了复杂的配置和实现步骤。然而,对于...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程是 SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring SecurityJava世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
详解最简单易懂的Spring Security 身份认证流程讲解
08-26
主要介绍了详解最简单易懂的Spring Security 身份认证流程讲解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security解析--认证
Dream - to be coder
04-01 1234
spring security用户认证 主要涉及到的对象是AuthenticationManager,ProviderManager, AuthenticationProvirder, DaoAuthenticationProvider, UserDetailsService,UserDetials
判断用户角色
weixin_41925461的博客
09-06 443
在Admin实体类POJO中 @ApiModelProperty(value = "角色权限") @TableField(exist = false) private List<Role> roles; @Override public Collection<? extends GrantedAuthority> getAuthorities() { List<SimpleGrantedAuthority> au
Spring Security(五) 访问控制 url 匹配及 内置访问控制方法介绍
奥迪的博客
09-28 6892
一、 访问控制 url 匹配制 在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests()也支持连缀写法,总体公式为: url 匹配规则. 权限控制方法 通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。 在所有匹...
SpringSecurity认证详解,保姆级教学_springsecurity认证流程(1)
2401_83974087的博客
04-18 757
PreAuthorize(“hasAnyAuthority(‘ADMIN’)”) //当前登录用户必须拥有ADMIN权限否则会抛出异常。//将认证结果保存到Security上下文中 让Security框架记住登录状态。.authorities(“权限”) //授权,授予当前登录用户有什么权限。.credentialsExpired(false)//登录凭证是否过去。//通过认证管理器启动Security认证流程 返回认证结果对象。//当前登录对象 从Security得到当前登录的用户信息。
一.Spring Security入门-认证概述
qq_32115993的博客
10-22 146
Spring Security 入门 一.认证授权概述 1.1.什么是认证 认证是对主体/用户身份的确认,在我们的生活中随处可见认证场景,如:小区门禁卡,人脸识别,指纹识别等都是对用户身份的确认,在传统的应用中我们通常使用用户名/用户ID和密码来进行用户的身份确认,即登录,但登录的方式不仅限制于用户名/密码的方式,认证是我们应用的第一道安全门,所以对于整个系统的安全来说显得极其重要。 1.2.什么是授权 控制不同的用户访问不同的权限 ,用户认证成功后,就可以对某些资源进行访问,但是不同的用户有不同的资源访问
spring security认证方式的配置,自定义认证方式
qq_31983635的博客
09-30 2721
背景: 项目中已经有了登录界面,通过账号密码登录的方式登录系统,之前别人搞的, 新需求: 需要与其他系统集成,相当于单点登录,也不需要去认证服务器验证,默认认为他们传过来的就是正确的(话说这样真的挺危险的), 经过讨论,加一点加密措施,使用了 JWT进行加密传输, 所以需要在保留现有登录界面登录方式的基础上, 添加新的登录方式,点击链接直接登录(链接中带上加密后的JWT串) 过程: 接到了需求后,就去网上搜了一遍, 毕竟面向百度编程时代, 看了看怎么集成, 帖子也不少,写的比较好的如下 https:.
Spring Security 认证的三种方式及简单的授权
我的博客
04-07 418
SecurityConfig配置类内重写configue(HttpSecurity http)方法,如果用户没有访问某页面的权限,会出现403页面错误,该错误页面提示可以根据自己的项目进行修改。在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录。在做好了认证方式后,想要指定不同的权限访问不同的页面,即自定义访问控制,则需要再进行一些设置。测试,登录时用数据库内存储的用户信息。
spring security 认证
07-28
Spring Security认证是通过认证管理器(Authentication Manager)来实现的。认证管理器是Spring Security中的核心组件之一,它负责验证用户身份。在认证过程中,认证管理器会调用相应的UserDetailsService实现来获取用户详细信息,并进行身份验证。如果身份验证成功,认证管理器将生成一个认证令牌(Authentication Token)并返回给Spring Security认证令牌包含有关用户身份的信息,并与用户的会话关联。Spring Security将保存认证令牌,以便后续的授权操作。因此,Spring Security认证机制是通过认证管理器和认证令牌来实现的。\[1\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [spring security认证授权流程](https://blog.csdn.net/weixin_47618391/article/details/130898504)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值