快速上手spring security的三篇文章一:JWT登录认证原理分析

最新推荐文章于 2023-06-10 21:16:18 发布
置顶 最新推荐文章于 2023-06-10 21:16:18 发布
阅读量416 收藏
点赞数 3
分类专栏: spring security 文章标签: spring jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41498815/article/details/114896522
版权

Spring Security做JWT登录认证

此篇文章分析了security在登录认证的时候一些核心模块的主要功能,后面也针对security登录进行代码实现,代码实现可参考下一篇文章,点击查看代码实现

Spring Security 核心架构
  • AuthenticationManager,用户认证的管理类,所有请求都会通过一个token给AuthenticationManager的authenticate()方法来实现。当然事情肯定不是由它来做的,而是AuthenticationManager将具体请求转发给具体的实现类去校验。根据实现类反馈的结果,再调用具体的Handler来给用户反馈。
  • AuthenticationProvider,认证的具体实现类,一个Provider是一种认证方式的实现,比如登录的用户名和密码是通过db查询所得到的结果进行比对,那就有一个DaoProvider;如果是通过cas单点登录系统实现,就有一个CasProvider。前面说到的AuthenticationManager只是一个代理接口,真正的认证是由AuthenticationProvider来实现。一个AuthenticationManager可以包含多个Provider,每个provider通过实现一个support方法来表示自己支持那种Token的认证。AuthenticationManager默认的实现类是ProviderManager。
  • UserDetailService,用户认证通过provider来做,所以Provider需要拿到系统已经保存好了的认证信息,获取用户信息接口spring-security抽象成UserDetailService。虽然叫service,但更像是一个UserDao。
  • AuthenticationToken,所有提交给AuthenticationManager的请求都会被封装 成一个token的实现,比如最容易理解的UsernamePasswordAuthenticationToken。
  • SecurityContext,当用户认证通过后,就会给用户分配一个唯一的SecurityContext,里面包含用户的认证信息Authentication。通过SecurityContext我们可以获取到用户的唯一表示principle和授权信息
    GrantedAuthrity。在系统的任何地方,只要通过SecurityHolder.getSecurityContext()就可以获取到SecurityContext。
  • spring-security核心流程
    在这里插入图片描述
    在这里插入图片描述
对Web系统的支持

对于web系统来说进入认证的最佳入口就是Filter了。spring security不仅实现了认证的逻辑,还通过filter实现了常见的web攻击的防护。

常用filter

下面按照request请求顺序列举一下常用的filter:

  • SecurityContextPersistenceFilter,用户将securityContext放入Session的filter

  • UsernamePasswordAuthenticationFilter,登录认证的filter,类似的还有CasAuthenticationfilter,BasicAuthenticationFilter等等。在这些filter中,生成用于认证的token,提交到AuthenticationManager,如果认证失败直接返回。

  • RememberMeAuthenticationFilter,通过cookie实现记住我的功能。

  • AnonymousAuthenticationFilter,如果一个请求在到达这个filter之前SecurityContext没有初始化,则这个filter会默认生成一个匿名SecurityContext。这在支持匿名用户的系统中非常有用。

  • ExceptionTranslationFilter,捕获spring security抛出的异常,并决定处理方式。

  • FirstSecurityInterceptor,权限校验的拦截器,访问的url权限不足会抛出异常。

JWT认证实现
  • 支持用户通过用户名和密码登录
  • 登录后,将token传回给客户端,每次请求,客户端需通过header将token带回,用于权限校验
  • 服务端负责token的定期刷新
登录认证流程

Filter
对于用户登录行为,security通过定义一个filter来拦截/login来实现的。spring security默认支持 form登录,所以用于json形式登录的情况我们自定义一个filter,这个filter直接从AbstractAuthenticationProcessingFilter继承,只需要实现两部分,一个是RequestMatcher,指明拦截的Request类型;另外就是json body中提取出username和password提交给AuthenticationManager。

Provider
前面流程图中说到,封装后的token交由provider来处理。对于登录的provider,spring security提供了默认的provider,DaoAuthenticationProvider,我们可以直接使用,这个类继承了AbstractUserDetailsAuthenticationProvider。

UserDetailService
provider在验证用户信息的时候,用户获取用到了UserDetailService类的loadUserByUsername(String username)方法。这个是一个只有一个方法的接口,所以我们自己要做的,就是将自己的UserDetailsService实现类配置成一个Bean,自定义获取用户方法。

认证结果处理
filter将token交给provider做校验,校验的结果无非就两种,成功或者失败。对于这两种结果,我们只需要实现两个Handler接口,set到filter里面,filter在收到Provider的处理结果后会回调这两个Handler方法。

先来看成功的情况,针对jwt认证的业务场景,登录成功需要返回给客户端一个token。所以成功的handler的实现类中需要包含这个逻辑。

再来看失败的情况,登录失败,将失败异常原因返回给客户端。

天天发梦的梦想哥
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springSecurityjwt机制及应用详解
2401_84092666的博客
05-04 701
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!这种格式是OAuth2附带token的一种规范格式至于什么是OAuth2,那是另一个话题了这样一来,服务器就能够收到这个令牌了,通过对令牌的验证,即可知道该令牌是否有效。它们的完整交互流程是非常简单清晰的:令牌的组成为了保证令牌的安全性,jwt令牌由三个部分组成,分别是:header:令牌头部,记录了整个令牌的类型和签名算法payload:令牌负荷,记录了保存的主体信息,比如你要保存的用户信息就可以放到这里s
学习笔记七-AuthenticationProvider
热门推荐
云智禅师的专栏
12-13 3万+
AuthenticationProvider 认证是由 AuthenticationManager 来管理的,但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider。AuthenticationManager 中可以定义有多个 AuthenticationProvider。当我们使用 authentication-provid
SpringSecurity 用户名和密码的校验过程及自定义密码验证
z69183787的专栏
02-06 1万+
1、源码执行过程 1.执行 AuthenticationManager 认证方法 authenticate(UsernamePasswordAuthenticationToken) 2.ProviderManager 实现了 authenticate(UsernamePasswordAuthenticationToken) 3.ProviderManager 是通过自身管理的n个AuthenticationProvider认证提供者去进行认证 4.AuthenticationProvider认证提供
Springboot+Security(一)自定义验证
weixin_43606226的博客
12-19 1034
Springboot+Security验证授权,访问资源鉴权1.数据库表:2.验证授权2.1 实体类User.Java2.2 Dao层PermissionMapper.javaPermissionMapper.xml2.3 实现UserDetailsService接口,返回用户数据给自定义AuthenticationProvider来对用户验证授权MyUserDetailsService(实现Us...
authenticationProvider和userDetailsService之间的区别
qq_18973609的博客
11-29 1264
当你想要在 Spring Security 中进行自定义身份验证时,您可以实现自定义AuthenticationProvider或自定义UserDetailsService. AuthenticationProvider: 在 AuthenticationProvider 中,可以检查用户名和密码,并在其中返回Authentication自定义对象。 UserDetailsService: 在UserDetailsService您只获得用户名时,当您返回自定义 UserDeata...
SpringSecurity学习第一讲(自定义配置类,登录逻辑)
JavaSupeMan的博客
12-24 2218
入门 相关pom <!--springsecurity相关依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency
Security自定义全局AuthenticationManager
程序三两行
07-20 3108
security 自定义全局AuthenticationManager
spring-security-jwt-guide:从零入门 !Spring Security With JWT(含权限验证)后端部分代码
04-30
但是 Spring Security 相比于其他一些技术比如 JPA 来说更难上手,很多人初学的时候很难通过看视频或者文档发就很快能独立写一个 Demo 出来,于是后面可能就放弃了学习这个东西。 刚来公司的时候的入职培训实战项目...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
最新发布
04-11
Spring SecurityJWT的集成中,通常会有一个TokenProvider组件负责生成和验证JWT。这个组件会使用一个密钥(secret key)对JWT进行签名,确保token没有被篡改。同时,JWT还可以设置过期时间,以增加安全性。 在...
spring-cloud-securitySpring中实现的分布式应用程序的安全性问题
01-30
Spring生态系统中,Spring Cloud Security是一个关键组件,它专注于为微服务架构提供安全解决方案。本文将深入探讨Spring Cloud Security在处理分布式应用程序安全性方面所涉及的关键知识点。 首先,Spring Boot...
Spring Security OAuth 2.0
03-03
Spring Security OAuth 2.0 是 Spring Security 的一个子项目,提供了一个快速的 OAuth 2.0 实现方案。使用 Spring Security OAuth 2.0,可以快速构建 OAuth 2.0 验证和授权系统。 首先,需要创建一个 Spring Boot ...
基于SpringBoot,Spring SecurityJWT,Vue & Element 的前后端分离权限管理系统.rar
10-20
3. **JWT(JSON Web Tokens)**:JWT是一种轻量级的身份验证标准,它允许服务端签发一个JSON对象,这个对象包含了用户的信息并且经过签名,使得这个令牌在客户端和服务器之间安全地传递。JWT在本系统中用于用户登录...
SpringSecurity 总结
qq_45525848的博客
06-10 4751
Spring Security 总结
SpringSecurity认证流程学习(一)
臆想的一只猫
04-14 131
<!--SpringSecurity依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> - SpringSecurity默认环境中,拦截所有请求,要求必须认证登录)后才能访问。 - 默认环境.
Spring Security】加载动态数据进行登录与授权
qq_42980244的博客
08-24 281
我们知道如果我们不希望用户、角色、权限信息写死在配置里面。我们应该实现UserDetails与UserDetailsService接口,从而从数据库或者其他的存储上动态的加载这些信息。 要知道UserDetails和UserDetailsService 实体类User实现UserDetails /** * @ClassName User * @Description TODO * @Author Administrator * @Date 2020/8/13 15:07 * @Versi
Spring Security 个人理解
MK2832070704的博客
08-31 558
SpringSecurity学习心得
Spring Security认证登录用户数据获取
大后生大大大的博客
11-17 3232
AuthenticationSecurityContext、SecurityContextHolder
Spring Security】安全框架学习(八)
Jerry‘s word
09-02 2321
在上面的代码中,我们可以看到一个泛型 SimpleGrantedAuthority ,它是由Spring提供的,但是我们在存储进redis中的时候,为了安全考虑,默认情况下是不会把SimpleGrantedAuthority进行序列化存入的,如果不做操作的话,java会报异常。所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须基于所需权限才能进行相应的操作。这我们项目中主要采用的方式是基于注解的。的,前后端分离项目很少使用,所以我们可以使用注解去指定访问对应的资源所需的权限。
Springsecurity结合boot,jwt,Redis,图片验证码实现登录认证权限功能(完整版)
xiangguang_fight的博客
01-20 2329
我们先简单了解一下security过滤链执行的大致流程: 注意一下过滤器链的执行顺序~~~~~~ 流程说明: 客户端发起一个请求,进入 Security 过滤器链。 当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理。如果不是登出路径则直接进入下一个过滤器。 当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,.
SpringBoot实战:集成Spring Security实现单点登录JWT权限管理
本文档主要介绍了如何在SpringBoot项目中集成Spring Security,这是一个广泛使用的Java身份验证和访问控制框架,旨在提供强大的认证机制和细致的授权功能,从而确保系统的安全性。文章的重点在于实现单点登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值