SpringSecurity权限框架学习总结

最新推荐文章于 2023-03-20 13:40:19 发布
最新推荐文章于 2023-03-20 13:40:19 发布
阅读量545 收藏 3
点赞数 1
分类专栏: JavaEE框架 文章标签: java jwt spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41183997/article/details/107631396
版权

1、 Spring Security图解,总的来说就是一堆的过滤器。
在这里插入图片描述
在没有Spring Security的时候,我们直接访问REST APi可以得到结果,但是当我们的应用加入了Spring security之后,相当于加上了过滤器,其实Spring Security本身就是一个过滤器链,所有的请求在访问REST API时都要经过Spring Security的过滤器链,当返回应答的时候,也会走一遍这个过滤器链,然后返回给用户。

2、 Spring Security 核心组件
(1)spring security核心组件有:SecurityContext、SecurityContextHolder、Authentication、Userdetails 和 AuthenticationManager,下面分别介绍。

(2)SecurityContext:安全上下文,用户通过Spring Security 的校验之后,验证信息存储在SecurityContext中。

(3)SecurityContextHolder:SecurityContextHolder看名知义,是一个holder,用来hold住SecurityContext实例的。在典型的web应用程序中,用户登录一次,然后由其会话ID标识。服务器缓存持续时间会话的主体信息。SecurityContextHolder.getContext().setAuthentication(token);其作用就是存储当前认证信息。

(4)Authentication:authentication 直译过来是“认证”的意思,在Spring Security 中Authentication用来表示当前用户是谁,一般来讲你可以理解为authentication就是一组用户名密码信息。因此可以推断其实现类有这4个属性。这几个方法作用如下:
getAuthorities: 获取用户权限,一般情况下获取到的是用户的角色信息。
getCredentials: 获取证明用户认证的信息,通常情况下获取到的是密码等信息。
getDetails: 获取用户的额外信息,(这部分信息可以是我们的用户表中的信息)
getPrincipal: 获取用户身份信息,在未认证的情况下获取到的是用户名,在已认证的情况下获取到的是 UserDetails (UserDetails也是一个接口,里边的方法有getUsername,getPassword等)。
isAuthenticated: 获取当前 Authentication 是否已认证。
setAuthenticated: 设置当前 Authentication 是否已认证(true or false)。

(5)UserDetails:UserDetails,看名知义,是用户信息的意思。
方法含义如下:
getAuthorites:获取用户权限,本质上是用户的角色信息。
getPassword: 获取密码。
getUserName: 获取用户名。
isAccountNonExpired: 账户是否过期。
isAccountNonLocked: 账户是否被锁定。
isCredentialsNonExpired: 密码是否过期。
isEnabled: 账户是否可用。

(6)UserDetailsService
提到了UserDetails就必须得提到UserDetailsService, UserDetailsService也是一个接口,且只有一个方法loadUserByUsername,他可以用来获取UserDetails。通常在spring security应用中,我们会自定义一个CustomUserDetailsService来实现UserDetailsService接口,并实现其public UserDetails loadUserByUsername(final String login);方法

(7)AuthenticationManager
AuthenticationManager 的作用就是校验Authentication,如果验证失败会抛出AuthenticationException 异常。

3、执行流程
登录流程:
(1) 根据用户名密码创建令牌对象JwtAuthenticationToken(尚无权限数据)。
(2) 根据令牌对象执行登录认证,UserDetailsService调用loadUserByUsername方法获取用户权限信息,返回Authentication(认证信息)。
(3) 认证成功后,存储认证信息到上下文。
(4) 根据Authentication(认证信息)生成token,返回给客户端。
请求流程:
(1) 请求携带token,解析token,获取Claims,如果token错误或者过期,则会出现异常。
(2) 根据token获取认证信息,将认证信息存储到上下文。
(3) 访问接口。
说明:菜单按钮权限信息(sys:menu:add)可以存储在token中,每次请求的时候可以不用再查询数据库获取。

@一往无前
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
SpringSecurity 笔记
爱折腾的技术人
10-25 2003
SpringSecurity 笔记...
SpringSecurity整合JWT权限验证实现前后端分离,配合使用 Redis实现token超时的刷新机制
fenyudelushang的博客
10-21 1921
项目使用SpringSecurity整合JWT实现权限验登陆,下面简单描述下整个流程。 1.登陆成功后生成JWT token 返回给前端,前端再次访问时携带这个jwttoken,服务端收到后解析这个token,判断这个token是否超过最大有效期,如没有超过最大有效期但这个token过期了,就返回刷新后的jwt给前端,但超过了最大有效期就要用户重新登陆了,下面是具体的代码实现,有 不足之处多多指导哦。 1.配置验证过期以及刷新JWT的过滤器 @Component public class JwtC.
Spring Security
m0_45209551的博客
05-19 1467
目录 04、Spring Security从数据库中读取信息 pom依赖 application.properties User 1.每个实体类的属性名都不一样,怎么知道你哪个字段表示用户名,那个字段表示密码,Spring Security提供了统一的方法实现UserDetails 接口 2.先重写方法,再实现get和set方法 3.重写了自动的,记得删掉get方法 UserService 当用户登录的时候,会自动调用到这个方法 UserMapper UserMapper.xml ..
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 4014
springboot整合SpringSecurity实现登录和自定义权限认证
SpringSecurity安全框架基础Demo
01-02
综上所述,"SpringSecurity安全框架基础Demo"涵盖了Spring Security的基础概念和关键功能,是学习和实践Spring Security的宝贵资源。通过这个Demo,开发者可以了解如何在实际项目中应用Spring Security,以确保应用...
java学习SpringSecurity配置了登录链接无权限
最新发布
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
spring security权限控制
10-15
通过分析"springsecuritydemo4"项目,我们可以学习到如何在实际应用中设置和配置Spring Security,以及如何处理各种权限控制场景。这有助于我们创建一个安全、健壮的Web应用程序。在实践中,不断调试和调整Spring ...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
spring security安全框架学习
08-01
在"spring security安全框架学习"这个主题中,我们将深入探讨如何利用Spring Security来实现权限管理和全局管理数据库表结构的设计。 在Spring Security 3版本中,它引入了许多改进和新特性,比如更简洁的配置API,...
聊聊spring security的账户锁定
weixin_34064653的博客
12-21 1128
序 对于登录功能来说,为了防止暴力破解密码,一般会对登录失败次数进行限定,在一定时间窗口超过一定次数,则锁定账户,来确保系统安全。本文主要讲述一下spring security的账户锁定。 UserDetails spring-security-core-4.2.3.RELEASE-sources.jar!/org/springframework/security/core/userdetails...
在spring security手动 自定义 用户认证 SecurityContextHolder
热门推荐
lemonzone2010的专栏
05-23 2万+
manually set an authenticated user in Spring Security 在spring security手动 自定义 用户认证 SecurityContextHolder //存放authentication到SecurityContextHolder SecurityContextHolder.getContext().setAuthentication(authentication); HttpSession session = request.getSession
权限管理系统(Security)
Qbit编程学习笔记
03-20 1870
本系统设计的一个重要目标就是将权限的管理从业务系统中完全抽离出来。对于后端服务而言,他接受到的请求就一定是合法的,不单操作是合法的,包括操作中间的参数,也应该是符合权限管控的要求。权限相关的配置,例如角色配置,用户与角色的绑定都由权限管理系统完成。业务服务与权限系统尽可能少的交互仅限于用户添加租户添加的少数情况。
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2573
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
Spring Security 用户帐号已被锁定 问题
珍惜
05-09 1万+
Spring Security 用户帐号已被锁定 问题1、问题描述2、问题分析3、问题解决4、总结 1、问题描述 主要就是org.springframework.security.authentication.LockedException: 用户帐号已被锁定这个异常,完整异常如下: [2020-05-09 16:07:00 下午]:DEBUG org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationP
SecurityContextHolder.getContext().getAuthentication()去值为null
奥翔在海洋中~~
01-14 6766
需要用Java代码在SpringSecurity中取到用户名称,在Action或其他地方(filer中)用方法SecurityContextHolder.getContext().getAuthentication()取值为null,但是在页面使用<security:authentication property="principal" var="loggedUser"/>还是可以取到的很少疑
浅谈SpringSecurity权限管理框架
Welcome,Everyone.
07-20 525
使用SpringSecurity框架实现权限管理一、SpringSecurity框架用法简介二、权限管理过程中的相关概念1、主体2、认证3、授权三、权限管理的主流框架1、SpringSecurity2、Shiro四、3、编写好登录页面以及登录后的主页面和其他要用到的页面4、创建包 com.herz.security.controller 并编写对应的 Controller5、在该工程基础上加入SpringSecurity5.1、在pom.xml中导入SpringSecurity 依赖5.2、在web.xm
SpringSecurity中执行表单登录认证时无法执行loadUserByUsername方法
qq_43820896的博客
05-13 3360
项目场景: 执行表单登录认证时配置了loginProcessUrl和loginPage。但是执行登录认证时并不执行UserDetailsService接口的loadByUsername方法。导致认证失败。 问题描述: 1. 表单登录页面 2. 配置类 3. loadUserByUsername方法 所有都配置好了,但是进行登录认证的时候还是认证失败跳回登录页。并且控制台未打印loadUserByUsername方法中的日志。 原因分析: 因此判断是loginProcessUrl方法的问题。进入lo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值