Security 学习系列

置顶 已于 2022-03-18 20:57:07 修改
阅读量701 收藏
点赞数
分类专栏: security 文章标签: security
于 2022-03-17 09:49:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43654581/article/details/123542465
版权

1、github

https://github.com/yezhimincxvxb/security

2、简介

一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架,核心功能用户认证(Authentication)和用户授权(Authorization)两个部分。

用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

2.1、核心概念

AuthenticationManager

用户认证的管理类,所有的认证请求(比如login)都会通过提交一个token给AuthenticationManager的authenticate()方法来实现。

AuthenticationProvider

认证的具体实现类,一个provider是一种认证方式的实现,比如提交的用户名密码是通过和DB中查出的user记录做比对实现的,那就有一个DaoProvider;如果是通过CAS请求单点登录系统实现,那就有一个CASProvider。
前面讲的AuthenticationManager只是一个代理接口,真正的认证就是由AuthenticationProvider来做的。一个AuthenticationManager可以包含多个Provider,每个provider通过实现一个support方法来表示自己支持那种Token的认证。

UserDetailService

用户认证通过Provider来做,所以Provider需要拿到系统已经保存的认证信息,获取用户信息的接口spring-security抽象成UserDetailService。

AuthenticationToken

所有提交给AuthenticationManager的认证请求都会被封装成一个Token的实现,比如最容易理解的UsernamePasswordAuthenticationToken。

SecurityContext

当用户通过认证之后,就会为这个用户生成一个唯一的SecurityContext,里面包含用户的认证信息Authentication。通过SecurityContext我们可以获取到用户的标识Principle和授权信息GrantedAuthrity。在系统的任何地方只要通过SecurityHolder.getSecruityContext()就可以获取到SecurityContext。

2.2、核心拦截器

HttpSessionContextIntegrationFilter

位于过滤器顶端,第一个起作用的过滤器。
用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供Spring Security的其他部分使用。如果不存在,就创建一个SecurityContext出来,还是放到SecurityContextHolder中,供Spring Security的其他部分使用。
用途二,在所有过滤器执行完毕后,清空SecurityContextHolder, 因为SecurityContextHolder是基于ThreadLocal的,如果在操作完成后清空ThreadLocal,会受到服务器的线程池机制的影响。

LogoutFilter

只处理注销请求,默认为/j_spring_security_logout。用途是在用户发送注销请求时,销毁用户session,清空SecurityContextHolder,然后重定向到注销成功页面。可以与rememberMe之类的机制结合,在注销的同时清空用户cookie。

AuthenticationProcessingFilter

处理form登陆的过滤器,与form登陆有关的所有操作都是在此进行的。默认情况下只处理/j_spring_security_check请求, 这个请求应该是用户使用form登陆后的提交地址此过滤器执行的基本操作时,通过用户名和密码判断用户是否有效,如果登录成功就跳转到成功页面(可能是登陆之前访问的受保护页面,也可能是默认的成功页面),如果登录失败,就跳转到失败页面。

DefaultLoginPageGeneratingFilter

此过滤器用来生成一个默认的登录页面,默认的访问地址为/spring_security_login,这个默认的登录页面虽然支持用户输入用户名,密码,也支持rememberMe功能, 但是因为太难看了,只能是在演示时做个样子,不可能直接用在实际项目中。

BasicProcessingFilter

此过滤器用于进行basic验证,功能与AuthenticationProcessingFilter类似,只是验证的方式不同。

SecurityContextHolderAwareRequestFilter

此过滤器用来包装客户的请求。目的是在原始请求的基础上,为后续程序提供一些额外的数据。比如getRemoteUser()时直接返回当前登陆的用户名之类的。

RememberMeProcessingFilter

此过滤器实现RememberMe功能,当用户cookie中存在rememberMe的标记,此过滤器会根据标记自动实现用户登陆,并创建SecurityContext,授予对应的权限。

AnonymousProcessingFilter

为了保证操作统一性,当用户没有登陆时,默认为用户分配匿名用户的权限。

ExceptionTranslationFilter

此过滤器的作用是处理中FilterSecurityInterceptor抛出的异常,然后将请求重定向到对应页面,或返回对应的响应错误代码

SessionFixationProtectionFilter

防御会话伪造攻击。有关防御会话伪造的详细信息

FilterSecurityInterceptor

用户的权限控制都包含在这个过滤器中。
功能一:如果用户尚未登陆,则抛出AuthenticationCredentialsNotFoundException“尚未认证异常”。
功能二:如果用户已登录,但是没有访问当前资源的权限,则抛出AccessDeniedException“拒绝访问异常”。
功能三:如果用户已登录,也具有访问当前资源的权限,则放行。我们可以通过配置方式来自定义拦截规则

3、环境准备

3.1 示例代码之父工程

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.5.0</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

    <groupId>com.yzm</groupId>
    <artifactId>security</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <packaging>pom</packaging>
    <name>security</name>
    <description>Demo project for Spring Boot</description>

    <modules>
        <module>common</module>
        <module>security01</module>
        <module>security02</module>
        <module>security03</module>
        <module>security04</module>
        <module>security05</module>
        <module>security06</module>
        <module>security07</module>
        <module>security08</module>
        <module>security09</module>
    </modules>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <!-- mysql -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <!-- mybatis-plus -->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.3.2</version>
        </dependency>
        <!-- 代码自动生成器 -->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-generator</artifactId>
            <version>3.3.2</version>
        </dependency>
        <!-- freemarker模板 -->
        <dependency>
            <groupId>org.freemarker</groupId>
            <artifactId>freemarker</artifactId>
            <version>2.3.30</version>
        </dependency>

        <!-- spring security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!-- Lombok -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

        <!-- commons -->
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
        </dependency>

        <!-- Fastjson -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.62</version>
        </dependency>

        <!-- thymeleaf -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <!-- 注意: 因为我们不需要父工程是一个可运行的项目,所以修改原来的打包方式为maven打包方式 -->
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <configuration>
                    <source>${java.version}</source>
                    <target>${java.version}</target>
                    <encoding>${project.build.sourceEncoding}</encoding>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>

3.2 common 子工程 请看这里

3.3 SQL语句

CREATE TABLE `user` (
    `id` int NOT NULL AUTO_INCREMENT,
    `username` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT '' COMMENT '用户名称',
    `password` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT '' COMMENT '用户密码',
    `r_ids` varchar(255) COLLATE utf8mb4_general_ci DEFAULT '',
    PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci COMMENT='用户表';

CREATE TABLE `role` (
    `r_id` int NOT NULL AUTO_INCREMENT,
    `r_name` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT '' COMMENT '角色名称',
    `r_desc` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT '' COMMENT '角色描述',
    `p_ids` varchar(255)  COLLATE utf8mb4_general_ci DEFAULT '',
    PRIMARY KEY (`r_id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci COMMENT='角色表';

CREATE TABLE `permissions` (
   `p_id` int NOT NULL AUTO_INCREMENT,
   `p_name` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT '' COMMENT '权限名称',
   `p_desc` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci DEFAULT '' COMMENT '权限描述',
   PRIMARY KEY (`p_id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_general_ci COMMENT='权限表';

相关链接

Security学习系列之基础篇
Security学习系列之入门篇
Security学习系列之注解篇
Security学习系列之记住我篇
Security学习系列之自定义处理程序篇
Security学习系列之会话篇
Security学习系列之认证流程篇
Security学习系列之授权流程篇
Security学习系列之短信登录篇
Security学习系列之整合JWT篇
Security学习系列之验证码篇

yzm4399
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
仿牛客项目SpringSecurity学习
秃头计划2.0
09-07 309
AuthenticationManager(接口)是认证相关的核心接口,也是发起认证的出发点,因为在实际需求中,我们可能会允许用户使用用户名+密码登录,同时允许用户使用邮箱+密码,手机号码+密码登录,甚至,可能允许用户使用指纹登录(还有这样的操作?对于权限的控制是比较靠前的。getPrincipal(),最重要的身份信息,大部分情况下返回的是UserDetails接口的实现类,也是框架中的常用接口之一。由这个顶级接口,我们可以得到用户拥有的权限信息列表,密码,用户细节信息,用户身份信息,认证信息。
springsecurity学习笔记
12-13
以上只是Spring Security学习过程中的一部分要点,实际上,这个框架非常深奥,包含了许多高级特性,如频道安全、密码存储、国际化的错误消息等。在学习时,建议结合实际项目实践,这样能更好地理解和掌握其工作原理...
Spring Security 保姆级教程!40000字!
最新发布
竹林幽深
05-06 278
我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
学习SpringSecurity这一篇就够了
怪咖@的博客
05-25 7058
Spring Security 是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
Security之入门篇
qq_43654581的博客
10-22 911
1.查询数据库,获取用户信息,赋予用户角色交给Security管理 2.自定义登录页面、无权访问跳转页面
学习security(一)
青春正在燃烧的博客
03-08 1082
一.security是什么? Spring Security 是基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码...
springSecurity.zip
06-23
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的Web应用程序。...在深入学习Spring Security时,理解其核心组件和工作流程是至关重要的,这将帮助你更好地设计和实施安全策略。
Spring Security 示例项目
11-29
3. **过滤器链(Filter Chain)**: Spring Security 使用一系列过滤器来处理HTTP请求,包括登录、权限检查等。默认的过滤器链包含了如`HttpSessionAuthenticationFilter`、`UsernamePasswordAuthenticationFilter`等...
spring-security-learning:security学习
05-17
10. **Web 应用安全最佳实践**:通过学习 Spring Security,开发者可以了解和实施一系列 Web 应用安全的最佳实践,包括输入验证、错误处理、日志记录等,提升整体安全性。 "Spring Security Learning"项目将帮助...
spring security安全框架学习
08-01
- Spring Security的核心是其内置的一系列过滤器,如`DelegatingFilterProxy`, `UsernamePasswordAuthenticationFilter`, `RememberMeAuthenticationFilter`等,它们构成了过滤器链,处理HTTP请求的每一个阶段。...
Spring Security 学习
LinDongTian
08-25 950
一、简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架,应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 ...
Spring Security原理学习--简介与示例(一)
井底之蛙
10-14 3867
Spring Security原理学习--核心过滤器Filter(二) Spring Security原理学习--用户名和密码认证(三) 一、简介 中文介绍:https://springcloud.cc/spring-security-zhcn.html Spring Security 提供了基于javaEE的企业应有个你软件全面的安全服务。这里特别强调支持使用SPring框架构件的项目,...
Spring Security 学习-环境搭建(一)
程序员小奎的博客
07-09 1402
快速搭建Spring Security 的hello word 环境
使用Tomcat j_security_check实现用户登录、注销功能
热门推荐
登高必自卑 行远必自迩
04-20 1万+
本文使用Tomcat容器自身的访问控制机制实现简单用户身份认证和访问授权。
学Spring security ,从零开始,这一篇就够了!!
南孚
06-10 1112
Spring security 从零开始Spring security的简单介绍是什么为什么怎么样Spring security在使用前必须了解的知识框架的基本设计模式框架处理流程框架核心类之间的关系:上手使用该框架 Spring security的简单介绍 是什么 官方解答(摘自某百科):Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转
[SpringSecurity] 入门简介
Konaji
08-17 725
前言 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,...
springSecurity系列之 SecurityContextHolder与SecurityContext
weixin_39802680的博客
03-27 1498
SecurityContextHolder SecurityContextHolder 是spring security 的基础工具类。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。将给定SecurityContext与当前执行线程关联。 官网介绍英文官网 SecurityContextHolder.getContext() 获取安全上下文SecurityContext。 安全上下文 SecurityContext SecurityContext 可以理
Spring Security 入门
Bbb的博客
07-08 2130
Spring Security 入门1、Spring Security 简介        Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injectio...
springSecurity 学习
05-05
Spring Security 是一款基于 Spring 框架的安全框架,提供了一系列的安全解决方案,例如身份验证、授权、攻击防护等。在使用 Spring Security 时,可以很方便地集成到 Spring 应用程序中,提供安全保护。 下面是 Spring Security 的一些学习资源: 1. 官方文档:Spring Security 官方文档提供了详细的使用说明和示例代码,是学习 Spring Security 的不二之选。 2. Spring Security 中文文档:中文翻译的 Spring Security 官方文档,对于英文不好的同学来说是个不错的选择。 3. Spring Security 实战:这是一本由 Spring Security 的核心开发人员编写的书籍,详细介绍了 Spring Security 的使用和实践。 4. Spring Security 视频教程:这是一套由尚硅谷提供的 Spring Security 视频教程,包含了 Spring Security 的基础和高级应用。 5. Spring Security 源码解析:这是一篇由阿里巴巴技术专家写的 Spring Security 源码解析文章,对 Spring Security 的实现原理进行了深入分析。 除了以上资源之外,还可以通过实践来学习 Spring Security,例如通过搭建一个简单的 Spring Security 应用程序,逐步深入了解 Spring Security 的使用和原理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值