SpringSecurity学习之路6-基本原理{基于表单的验证}

最新推荐文章于 2024-05-15 03:25:41 发布
最新推荐文章于 2024-05-15 03:25:41 发布
阅读量146 收藏
点赞数
分类专栏: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41256709/article/details/90173247
版权

在之前的所有程序中,只要知道了访问地址就可以对其进行访问。接下来使用SpringSecurity来为程序添加保护。主要学习到的有:身份认证(你是谁)、授权(你能做什么)和攻击保护(防止伪造身份)。

先看看SpringSecurity的基本原理:通过Filter过滤器链来实现安全验证,执行逻辑如下图:

首先会判断请求体中是否包含用户名、密码信息,如果有那就会被第一个绿色Filter处理。否则,就会再判断是否包含Basic,将其交给第二个绿色Filter处理。绿色的FIlter是可以被我们自定义的,其他颜色的过滤器是不能被更改、自定义的。

之后请求会进入到黄色的FilterSecurityInterceptor中,这是最后一道关卡。它将会验证该请求是否已经通过了UsernamePassword或Basic验证,如果没有通过,就会抛出相应的异常信息,异常信息会被蓝色的ExceptionTranslationFilter所处理,将请求打回到验证界面。验证通过后就可以调用Rest服务。

接下来通过查看源码,打断点运行,访问程序来实际看下SpringSecurity的运行流程。

FilterSecurityInterceptor类:

用来验证的主要是第124行代码,我们为其打上断点。

ExceptionTranslationFilter类:

这个类的主要代码都在catch块里面

我们在第123行打上断点,看其捕获的异常是啥。

UsernamePasswordAuthenticationFilter类:

可以看到这个类只处理以post方式提交的/login请求。

主要来进行验证的部分代码如下

 接下来运行程序,输入地址栏之后由于请求体中不存在username、password或basic,所以会直接进入到黄色FilterSecurityInterceptor之中

由于未通过验证,所以我们的请求体不能通过最后一道关卡,黄色部分会抛出异常。F6接着执行后便会进入到蓝色的ExceptionTranslationFilter中

 当它捕获到异常之后便会根据异常信息做相应处理,由于我在这里开启的是form验证,所以在浏览器端会显示如下页面:

 输入user/默认密码(见控制台)后,会进入到UsernamePasswordAuthenticationFilter之中,

接着运行,会再次进入到黄色FilterSecurityInterceptor中,因为已经通过了UsernamePasswordAuthenticationFilter的验证,所以可以通过最后一道关卡,进入到Result API中,

 至此,关于SpringSecurity的运行流程全部结束。

 

 

 

kevin_sakura
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Springboot +spring security,认证方式---Form表单认证的实现(二)
weixin_40991408的博客
05-29 879
Springboot +spring security,认证方式---Form表单认证的实现(二)
spring security 3 auto-config=“true”
04-21 1135
SecurityContextPersistenceFilter LogoutFilter UsernamePasswordAuthenticationFilter BasicAuthenticationFilter RequestCacheAwareFilter SecurityContextHolderAwareRequestFilter Anonymous
阿里出品的Spring-Security神仙级教程(思维导图+源代码+笔记+项目)
最新发布
2401_84584873的博客
05-15 932
由于篇幅限制,小编在此截出几张知识讲解的图解本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)收录**需要这份系统化的资料的朋友,可以点击这里获取。
一文带你读懂Spring Security 6.0的实现原理
m0_71777195的博客
07-28 593
本文重点分析了Spring Security的源码和架构,帮助读者理解其实现原理。由于篇幅有限,本文只覆盖了身份认证和鉴权模块的核心逻辑,很多特性没有涉及,包括Session管理,Remember Me服务,异常分支和错误处理等等,不过有了上述的基础知识,读者完全可以自己分析源码并深入理解这些特性。
SpringSecurity6--认证和授权的原理
qq_22610595的博客
07-24 817
Spring Security是一个基于Spring框架的安全解决方案,提供了认证和授权等安全方面的大服务,包括身份认证和权限处理两大服务。Spring Security的实现依赖于大量的过滤器,采用责任链模式对请求请求不同的过滤处理。在日常使用中,Spring Security已经实现了基于表单的登录认证和授权模式,只需简单的配置,即可做到拿来即用。当然Spring Security也提供了灵活的其他认证入口,通过实现其暴漏出来的接口即可自定义自己的登录认证和授权方法。
Spring Security基本原理
花&败
07-17 3379
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
SpringSecurity基本原理
Java追求者的博客
05-24 524
1. SpringSecurity 本质 SpringSecurity 本质是一个过滤器链; 从启动是可以获取到(加载)过滤器链,当执行请求时就会执行相应的过滤器: org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter org.springframework.security.web.context.SecurityContextPersistenceFilter org.spring
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 999
Spring Security是解决安全访问控制的问题,就是认证和授权。Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
Spring Security学习之路
02-06
在"Spring Security学习之路"这个主题中,我们将深入探讨如何使用这个框架来实现登录界面和其他安全相关的功能。 首先,Spring Security的核心是为应用程序提供认证(Authentication)和授权(Authorization)服务...
阐述Spring security实现用户认证授权的原理----基于session实现认证的方式
weixin_45856470的博客
05-18 566
fa
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1082
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
BCryptPasswordEncoder加密、验证策略
热门推荐
kevin
05-15 3万+
通过查看源码,了解PasswordEncoder加密以及验证密码(数据库存储的加密密码与用户输入的密码比较)的流程、方式。 加密: BCryptPasswordEncoder类有三个构造方法,影响了盐的生成,如果在生成BCryptPasswordEncoder对象的时候没有指定任何参数(或只指定了一个参数),BCrypt会提供默认值,最终都会调用BCrypt.gensalt(streng...
SpringSecurity学习之路3-异常处理,APP与浏览器端的不同
kevin
05-02 725
SpringSecurity学习之路1 SpringSecurity学习之路2-处理创建请求,数据校验 本篇将会介绍到的有:SpringBoot关于异常处理的介绍,其中包括SpringBoot异常处理原理(浏览器与APP的不同)、自定义异常处理方式。 看以下代码,我直接抛出了一个运行时异常: 启动之后,通过浏览器访问时会显示以下错误信息: 通过APP访问该地址时(Restlet...
SpringSecurity学习之路1
kevin
04-30 718
项目结构: 自上而下分别为: ①父模块,主要负责项目管理、版本控制; ②后期为springSecurity加入手机验证登录等功能时使用; ③面向浏览器所做的配置,如集群中session的处理; ④security核心文件都在这里存放; ⑤具体业务。引入了③的配置,刚开始学,先从面向浏览器③开始。 在引入了相关依赖和插件之后,在⑤中写一个hello spring security...
SpringSecurity学习之路12-完成短信验证码的开发
kevin
06-16 609
目的:在验证码的重构完成之后,已经实现了发送验证码的功能,接下来要做的就是将短信验证码登录的逻辑添加就如程序里。使用户可以以账号、密码或手机号加验证码的方式登录。 下图是短信验证码的实现逻辑: 当用户以用户名+密码的形式登录时,经过UsernamepasswordAuthenticationFilter,将用户信息封装为一个token。然后AuthenticationManager是会根据...
SpringSecurity学习之路4-利用多线程提高Restful服务性能
kevin
05-11 571
知识点一:使用Runnerable异步处理Restful服务 知识点二:使用DeferredRestful异步处理Restful服务 同步处理逻辑如下: 假如要处理创建订单的请求,如上图所示,采用同步方式时,吞吐率无疑很低。 异步处理逻辑如下: 通过主线程调用副(子)线程的方式,能够提高系统的吞吐率。这种方式很直观,也很简单。实现代码如下: 执行后控制台输出结果 通过控...
SpringSecurity学习之路8-重构用户登录
kevin
05-30 446
目的:在没有提供自定义登录页面的情况下,系统提供默认的登录页面。 ①:application.properties 里写明 默认的登录页面 在以下路径中新建三个类: 先看SecurityProperties类,代码如下: 它是一个properties的配置类,后面主要是通过它来调用值。prefix的值是根据application.properties里定义的名字来的,是一个前...
SpringSecurity学习之路10-图片验证码与手机验证码的重构
kevin
06-10 283
为了达到可重用、可配置的目的,使用到了自定义properties类,可以读取在application.properties中的配置信息。这些配置的优先级是:请求参数配置 > application.properties配置 > 自定义properties类配置。 自定义properties的方法如下: 省略get/set方法 注意:以prefix的imooc.securit...
springsecurity基本原理
06-09
Spring Security 是一款基于 Spring 框架的安全框架,其基本原理可概括如下: 1. 认证(Authentication):Spring Security 提供了多种认证方式,包括表单认证、HTTP 基本认证、OpenID 认证、LDAP 认证等,可以根据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值