Spring Security的实现原理

最新推荐文章于 2024-04-08 10:21:19 发布
最新推荐文章于 2024-04-08 10:21:19 发布
阅读量480 收藏 2
点赞数
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39481994/article/details/124694704
版权

spring security是基于spring AOP和servlet过滤器的安全框架,在web请求级和方法调用级处理身份确认和授权。

spring security借助了一系列的Servlet Filter,当添加了@EnableWebSecurity注解之后,Spring会创建一个名字为SpringSecurityFilterChain的Bean,其类型为DelegatingFilterProxy,这是一个特殊的ServletFilter,将工作委托给一个javax.servlet.Filter的实现类,这个实现类作为一个Bean注册在Spring的应用的上下文中,这个类保存了那一系列的Filter,也就是说,对于一个请求其处理顺序是:

DelegatingFilterProxy --> FilterChainProxy --> 一系列的Filter --> ...... --> Controller

启用spring security:

        除了添加一个@EnableWebSecurity注解之外,一般都会同时提供一个继承自WebSecurityConfigurerAdapter 的配置类:

@Configuration
@EnableWebSecurity
public class daf extends WebSecurityConfigurerAdapter {

    @Autowired
    private DataSource dataSource;

    /**
     * 请求路径的安全性控制
     * @param httpSecurity
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception{
        httpSecurity.authorizeRequests()
                .antMatchers("/super/**").hasAnyAuthority("roleAuth")   // url带有super的必须具有roleAuth权限且是https请求的
                .antMatchers("/test/**").authenticated()  // url带有test开头的必须登录才能访问
                .anyRequest().permitAll()
                .and()
                .formLogin()
                .and()
                .rememberMe()   // 启用网站常见的记住登录用户的功能
                .and()
                .requiresChannel().antMatchers("/admin/**").requiresSecure();
    }

    /**
     * 基于数据库的权限认证
     * @param authenticationManagerBuilder
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception{
        authenticationManagerBuilder.jdbcAuthentication().dataSource(dataSource);
    }
}

@Secured、@PreAuthorize和@PostAuthorize等可以做到方法级别的控制:

@Secured("roleAuth")   // 必须拥有roleAuth权限才能访问此方法
// @PreAuthorize内接受的是SpEL表达式,可以做到强大灵活的控制,具有roleAuth权限或者传入的username等于当前登录用户的username才能访问方法。
@PreAuthorize("hasAuthority('roleAuth') or #reqVo.sysUser.username == #userDetails.username")

原理:

WebSecurityConfiguration这个类创建了名为springSecurityFilterChain的Bean,在创建这个Bean的过程中,连带创建了那一系列的Filter,通过调试代码我们可以看到,是HttpSecurityBuilder这个接口的实现类负责创建的。

认证过程

  1. 用户使用用户名和密码进行登录
  2. Spring Security 将获取到的用户名和密码封装成一个实现了 Authentication 接口的 UsernamePasswordAuthenticationToken
  3. 将上述产生的 token 对象传递给 AuthenticationManager 进行登录认证
  4. AuthenticationManager 认证成功后将会返回一个封装了用户权限等信息的 Authentication 对象
  5. 通过调用 SecurityContextHolder.getContext().setAuthentication(...) 将 AuthenticationManager 返回的 Authentication 对象赋予给当前的 SecurityContext


参考:
bug绝缘体-知乎
链接:https://zhuanlan.zhihu.com/p/72305502

阅读理解_z
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
Spring Security实现原理
Leon_Jinhai_Sun的博客
05-04 543
Spring Security Reference 虽然开发者只需要引入一个依赖,就可以让 Spring Security 对应用进行保护。Spring Security 又是如何做到的呢? 在 Spring Security 中 认证、授权 等功能都是基于过滤器完成的。 需要注意的是,默认过滤器并不是直接放在 Web 项目的原生过滤器链中,而是通过一个FlterChainProxy 来统一管理。Spring Security 中的过滤器链通过 FilterChainProxy 嵌入到 Web
Spring Security】1.Spring Security介绍 & 功能介绍
最新发布
qq_39921135的博客
04-08 290
*官方文档:**https://docs.spring.io/spring-security/reference/index.html官网解释:Spring Security 是一个提供身份验证授权和针对常见攻击的保护的框架。它为保护命令式和反应式应用程序提供了一流的支持,是保护基于 Spring 的应用程序的事实标准。身份认证(authentication)授权(authorization)防御常见攻击(protection against common attacks)身份认证。
Spring Security的工作原理
热门推荐
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
SpringSecurity实现原理
z318913的博客
03-18 795
SpringSecurity实现原理实现原理Security FiltersSpringBootWebSecurityConfiguration 实现原理Spring Security中认证、授权等功能都是基于过滤器完成的。 需要注意的是,默认过滤器并不是直接放在Web项目的原生过滤器链中,而是通过一个FlterChainProxy来统一管理。Spring Security中的过滤器链通过FilterChainProxy嵌入到Web项目的原生过滤器链中。FilterChainProxy 作为一个顶层
Spring Security原理
qixiang_chen的博客
06-30 1425
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security实现禁止用户重复登陆的配置原理
08-25
主要介绍了Spring Security实现禁止用户重复登陆的配置原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity权限控制实现原理解析
08-24
主要介绍了SpringSecurity权限控制实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security自定义登录原理及实现详解
09-07
主要介绍了Spring Security自定义登录原理及实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security整合Oauth2实现流程详解
09-07
主要介绍了Spring Security整合Oauth2实现流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security的实现
weixin_44488616的博客
11-18 764
目录1. 创建springboot项目,引入maven依赖2. application.properties文件对数据库进行配置3.根据RDBC权限模型设计数据库表3.1 创建权限表szp_permission_test3.2 创建角色权限表szp_role_permission_test3.3 创建角色表szp_role_test3.4 创建用户角色表szp_user_role_test3.5 创建用户表szp_user_test4. 创建java实体类来映射数据库中的表4.1 创建PermissionE
Spring Security内部工作原理
allway2的博客
11-18 580
Spring 安全性是 Spring提供的一个框架,有助于自定义访问和身份验证过程。它在保护应用程序方面起着非常关键的作用。Spring 安全性,主要侧重于身份验证和授权,为 Java 应用程序提供所有好处。它非常有用,并提供了一种在实际项目中应用的简单方法。并且,允许在实际项目中进行自定义修改。
Spring Security五:Spring security原理
xiaxiaomao1981的博客
02-25 316
Spring security可以进行认证和授权,认证和授权需要针对每一个请求,所以这个功能,可以用过滤器来实现,spring security正是通过一系列过滤器来实现认证和授权功能的。 我们来看看其中几个比较重要的过滤器,类和接口。 UserDetails: public interface UserDetails extends Serializable {Coll...
SpringSecurity-简单实现
zl979899的博客
10-14 255
1. 配置文件 spring.security.user.name=admin spring.security.user.password=admin 2. 配置类 @Configuration public class MySecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) .
Spring Security的基本原理及使用
qq_44266569的博客
05-12 604
什么是Spring Security 来看看官网给出的概念 百度翻译一下:springsecurity是一个框架,提供身份验证、授权和针对常见攻击的保护。由于对命令式应用程序和反应式应用程序的一流支持,它是保护基于Spring的应用程序的事实上的标准。 注意两个关键词 身份验证(authentication) 授权(authorization) 这就是这个框架主要帮我们干的活了,所谓身份验证就是看你登录的用户是否合法,数据库有没有记录;授权就是当前访问的用户有什么权限,比如普通用户,管理员,什么样
SpringSecurity基本实现(一)
Meditation_Crazy
12-11 106
前言 如题,按照文档,可以实现基本的功能
spring security最简单易懂的原理介绍,及简单Demo配置示例
Star_Alliance的博客
05-12 342
一、介绍 Spring SecuritySpring 家族中的一个基于AOP和Servlet过滤器的安全管理框架,提供全面的安全性解决方案,同时在Web请求级和方法调用级处理身份确认和授权。 核心功能: 认证----是谁,用户、设备、系统 授权----能干嘛,权限控制 攻击防护----方式伪造身份 Spring Boot 对于 Spring Security 提供了 自动化配置方案,可以零配置使用 Spring Security。在 Spring Boot 或者 Spring Cloud 中
SpringSecurity的实现
简单点的博客
07-29 397
SpringSecurity的实现
spring security实现原理
09-15
2. 然后,请求会被交给SpringSecurity定义的FilterChainProxy。 3. FilterChainProxy会根据配置的规则,依次执行Spring Security用于认证和授权管理的各种Filter。 4. 这些Filter会进行用户认证、权限检查等操作,以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值