Spring Security原理分析

最新推荐文章于 2023-10-07 22:31:43 发布
最新推荐文章于 2023-10-07 22:31:43 发布
阅读量211 收藏
点赞数
分类专栏: Spring Security Spring Boot 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40183053/article/details/107178844
版权
  • 学习Spring Security原理,分析Spring Security的执行流程

Spring Security过滤器链

Spring Security原理分析

1、Spring Security过滤器链
  • 发起请求
  • 用于身份认证的过滤器
    • 1、UsernamePasswordAuthentication filter用于处理表单登录
    • 2、Basic Authentication filter 用于认证HttpBasic登录
    • 上面的步骤,如果是表单登录那么久出发表单登录过滤器,否则进入Basic过滤器
      • 注意:
        • 实际应用中过滤器链不止几条,其实有很多条,不配置就不会生效
  • ExceptionTranslationFilter 过滤器
  • 根据FilerSecurity Interceptor等过滤器抛出来的异常做相应的处理,(例如没有登录,会跳到用户登录界面)
    • FilerSecurityInterceptor 过滤器
      • 是Spring Security的最后一环
    • 经过Spring Security 到达 REST API
2、Debug断点调试探究Spring Security的执行顺序
  • 将Spring Security配置成为表单登录,访问Web,http://127.0.0.1:8080/user
        import org.springframework.context.annotation.Configuration;
        import org.springframework.security.config.annotation.web.builders.HttpSecurity;
        import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
        
        @Configuration
        public class SecurityConfig extends WebSecurityConfigurerAdapter {
        
            @Override
            protected void configure(HttpSecurity http) throws Exception {
                http.formLogin()
                        .and()
                        .authorizeRequests()
                        .anyRequest()
                        .authenticated();
            }
        }
  • 程序首先进入FilterSecurityInterceptor
    • 程序先进入FilterSecurityInterceptor方法,因为没有携带参数,之前的过滤器都不起作用,在该过滤器中决定能否访问后面的内容,在配置中设置为所有的请求都需要进行登录认证,因此在此处会抛出异常
 InterceptorStatusToken token = super.beforeInvocation(fi);
  • 到达ExceptionTranslationFilter
    • 上一步骤中的异常到达ExceptionTranslationFilter这个拦截器中,在这个拦截器中对异常进行处理,处理实则为重定向,跳到默认的登录页面上
        * SecurityContextHolderAwareRequestFilter
        * FilterChainProxy
        * RequestCacheAwareFilter
        * DefaultLogoutPageGeneratingFilter
        * OncePerRequestFilter
        * AbstractAuthenticationProcessingFilter
        * LogoutFilter
        * HeaderWriterFilter
        * SecurityContextPersistenceFilter
        * ApplicationFilterChain
        * WebAsyncManagerIntegrationFilter
        * ...

  • 经过一些列Filter,页面被重定向到login页
    在这里插入图片描述
    * 输入用户名和密码

  • 到达断点UsernamePasswordAuthenticationFilter

    • 拿到用户名和密码

  • 达到断点FilterSecurityInterceptor
    * 处理完login跳转到之前/user的请求
    * 自定义处理完成后,前端拿到请求的内容

LiangLliu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security角色继承分析
08-25
今天,我们将深入探讨 Spring Security 角色继承分析原理和实现方式。 Spring Security 角色继承分析的需求背景是,许多公司的组织结构都是金字塔形的,上司可能具备下属的部分甚至所有权限。这一现实场景,反映...
SpringSecurity基本原理
11-12
Security基本执行过程的分析和各个环节类执行的分析
Spring Security的工作原理
热门推荐
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
SpringSecurity原理分析
Feverasa的博客
12-05 6446
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity原理SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity的基本原理 1、基本流程 ​ SpringSecurity的基本原理就是应用了Tomcat容
用户名/密码认证
呜呼哈
04-05 8446
表单登录 让我们来看看基于表单的登录在 Spring Security 中是如何工作的。首先,我们看到如何将用户重定向到登录表单。 该图构建了我们的 SecurityFilterChain 图。 首先,用户向未授权的资源/私有发出未经身份验证的请求。 Spring Security 的 FilterSecurityInterceptor 通过抛出 AccessDeniedException 表示拒绝未经身份验证的请求。 由于用户没有经过身份验证,ExceptionTranslationFilter 启
Spring Security原理
qixiang_chen的博客
06-30 1442
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
SpringSecurity原理和机制
weixin_45984552的博客
07-24 2144
以后每当有请求到来时,SpringSecurity就会先从Session中取出⽤户登录数据,保存到SecurityContextHolder中,⽅便在该请求的后续处理过程中使⽤,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后将SecuritySecurityContextHolder中的数据清空。身份认证,就是判断⼀个⽤户是否为合法⽤户的处理过程。在的架构设计中,认证和授权是分开的,⽆论使⽤什么样的认证⽅式。...
SpringSecurity框架原理.png
09-08
该图是作者在分析SpringSecurity框架源代码之后梳理出来的Spring Security框架得启动原理图,即SpringSecurity是如何获取过滤器参数配置并调用相应的过滤器的;
Spring security如何实现记录用户登录时间功能
08-24
一、原理分析 Spring Security 提供了一个接口 `AuthenticationSuccessHandler`,该接口中只有一个方法 `onAuthenticationSuccess`,用来进行登录成功后的操作。我们可以通过实现该接口来自定义登录成功后的操作,...
Spring Security 3 源码分析文档
11-02
通过阅读《Spring Security3.pdf》和《spring security3 源码分析.pdf》这两份文档,你可以对Spring Security 3的内部工作机制有更深入的理解,从而更好地在项目中运用这个强大的安全框架。同时,这也会帮助你在面临...
全面解析Spring Security 过滤器链的机制和特性
08-18
主要介绍了Spring Security 过滤器链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity源码学习一:过滤器执行原理
最新发布
qq_27586963的博客
10-07 870
在 上图中,一个请求进来会进入web容器中,从上到下按顺序执行过滤器。当执行到DelegatingFilterProxy过滤器中,会代理到FilterChainProxy类中。FilterChainProxy 决定应该使用哪个 SecurityFilterChain。只有第一个匹配的 SecurityFilterChain 被调用。
Spring Security源码解析(四)—— 过滤器
demon7552003的小本本
07-15 726
WebSecurity的performBuild()方法,会构造一个FilterChainProxy实例。参数类型为List<SecurityFilterChain>。 FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains); if (httpFirewall != null) { filterChainProxy.setFirewall(httpFirewall); }
SpringSecurity之基本原理——过滤器链
ybb_ymm的专栏
04-12 574
前面我们讲解了入门案例,很多小伙伴看完之后,应该也不知道他是如何实现的拦截。接下来,我们看一下SpringSecurity的基本原理之过滤器链
Spring Security的基本原理及使用
qq_44266569的博客
05-12 611
什么是Spring Security 来看看官网给出的概念 百度翻译一下:springsecurity是一个框架,提供身份验证、授权和针对常见攻击的保护。由于对命令式应用程序和反应式应用程序的一流支持,它是保护基于Spring的应用程序的事实上的标准。 注意两个关键词 身份验证(authentication) 授权(authorization) 这就是这个框架主要帮我们干的活了,所谓身份验证就是看你登录的用户是否合法,数据库有没有记录;授权就是当前访问的用户有什么权限,比如普通用户,管理员,什么样
Spring Security的过滤链工作原理
u013828625的博客
05-23 4139
上一篇文章中提到了名为springSecurityFilterChain的bean在Spring容器中的注册过程。它所代表的类即为org.springframework.security.web.FilterChainProxy. 所以所有的url请求实际上都会经过这个过滤器代理。让我们查看一下他的doFilter方法 public void doFilter(ServletReque
spring security 过滤器链嵌入原理
全场梦游c的博客
04-01 752
spring security 是如何将自己的过滤器加到了tomcat的过滤器链中的? 原理也就是这样: 1.当过滤器链执行到DelegatingFilterProxy的doFilter方法时,DelegatingFilterProxy委托给了FilterChainProxy去处理。(这里是用来委托模式) 2.FilterChainProxy将自己的过滤器链拿过来然后执行doFilter方法。 FilterChainProxy的doFilterInternal方法源码: private vo
SpringSecurity的基本原理(一)
ZhuPengWei_
12-20 7807
SpringSecurity基本原理 SpringSecurity 最核心的东西 其实是一个过滤器链,一组Filter 所有发送的请求都会经过Filter链,同样响应也会经过Filter链,在系统启动的时候springboot会自动的把他们配置进去(Springboot只是一种框架,只是方便了使用,其核心还是一样的)UsernamePasswordAuthticationFilter 表单登陆
Spring Security 核心过滤器链分析
weixin_33725515的博客
12-27 872
前言: 在熟悉Spring Security的使用和基本操作后,有时根据项目需求,我们需要在security原有的过滤器链中,添加符合我们自己的过滤器来实现功能时,我们就必须得先了解security的核心过滤链的流程和每个过滤器的各自功能,以此,我们才可以在特点的过滤器前后加入属于我们项目需求的过滤器。 一、Filter Chain 图解 在配置了spring security了之后,会在运行...
spring security原理
07-28
- *1* *2* [SpringSecurity原理分析](https://blog.csdn.net/qq_25179481/article/details/121729209)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值