Spring Security 实战 01 Security核心功能解析

最新推荐文章于 2024-08-16 20:21:37 发布
最新推荐文章于 2024-08-16 20:21:37 发布
阅读量339 收藏
点赞数 1
分类专栏: springCloud Alibaba 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44808472/article/details/126590717
版权

Spring Security 实战 01 Security入门

Spring Security 简介

Spring Security 最早叫 Acegi Security,这个名称并不是说它和 Spring 就没有关系,它依然是为 Spring 框架提供安全支持的。和 Shiro 相比,Spring Security 重量级并且配置烦琐,自从 Spring Boot 推出后,就彻底颠覆了传统了 JavaEE 开发,自动化配置让许多事情变得非常容易,包括 Spring Security 的配置。在一个 Spring Boot 项目中,我们甚至只需要引入一个依赖,不需要任何额外配置,项目的所有接口就会被自动保护起来了。

Spring Security 核心功能

认证 (Authentication)

认证就是身份验证(你是谁?)

Spring Security 支持多种不同的认证方式,Spring Security 提供的认证机制不仅仅包括下面这些,我们还可以通过引入第三方依赖来支持更多的认证方式,同时,如果这些认证方式无法满足我们的需求,我们也可以自定义认证逻辑

  • 表单认证。
  • OAuth2.0 认证。
  • SAML2.0 认证。
  • CAS 认证。
  • RememberMe 自动认证。
  • JAAS 认证。
  • OpenID 去中心化认证。
  • Pre-Authentication Scenarios 认证。
  • X509 认证。
  • HTTP Basic 认证。
  • HTTP Digest 认证。

AuthenticationManager

Spring Security 中的认证工作主要由 AuthenticationManager 接口来负责
AuthenticationManager 的 authenticate 提供了认证的功能

/**
  返回 Authentication 代表成功
  抛出 AuthenticationException 异常,代表用无凭证无效
**/
public interface AuthenticationManager {
    Authentication authenticate(Authentication var1) throws AuthenticationException;
}

Authentication 的实现类
在这里插入图片描述

ProviderManager

ProviderManager 是 AuthenticationManager 最主要的实现类,用于管理 AuthenticationProvider , 而AuthenticationProvider 则是具体的身份认证实现
在一次完整的认证流程中,可能会同时存在多个 AuthenticationProvider(例如,项目同时支持 form 表单登录和短信验证码登录),多个 AuthenticationProvider 统一由 ProviderManager来管理。同时,ProviderManager 具有一个可选的 parent,如果所有的 AuthenticationProvider都认证失败,那么就会调用 parent 进行认证。parent 相当于一个备用认证方式,即各个
AuthenticationProvider 都无法处理认证问题的时候,就由 parent 出场收拾残局。

授权 (Authorization)

授权就是访问控制(你可以做什么?)。

Spring Security 支持基于 URL 的请求授权、支持方法访问授权、支持 SpEL 访问控制、支持域对象安全(ACL),同时也支持动态权限配置、支持 RBAC 权限模型等。

Spring Security 的授权体系中有两个关键接口

  • AccessDecisionManager : 做出最终访问控制(授权)决策,在AccessDecisionManager中会挨个遍历AccessDecisionVoter,进而决定是否允许用户访问
  • AccessDecisionVoter: 指示类负责对授权决策进行投票。投票的协调(即轮询AccessDecision投票者,统计他们的响应,并做出最终授权决定)由AccessDevisionManager执行。

Spring Security 中的过滤器

在 Spring Security 中,认证、授权等功能都是基于过滤器来完成的

FilterChainProxy

默认过滤器并不是直接放在 Web 项目的原生过滤器链中,而是通过一个FilterChainProxy 来统一管理。Spring Security 中的过滤器链通过 FilterChainProxy 实现 Filter 嵌入到 Web项目的原生过滤器链中。FilterChainProxy 维护了List filterChains 保存整个过滤器链

	private static final Log logger = LogFactory.getLog(FilterChainProxy.class);
    private static final String FILTER_APPLIED = FilterChainProxy.class.getName().concat(".APPLIED");
    private List<SecurityFilterChain> filterChains;
    private FilterChainValidator filterChainValidator;
    private HttpFirewall firewall;

过滤器链不仅仅只有一个,可能会有多个,当存在多个过滤器链时,多个过滤器链之间要指定优先级,当请求到达后,会 从
FilterChainProxy 进行分发,先和哪个过滤器链匹配上,就用哪个过滤器链进行处理。当系统中存在多个不同的认证体系时,那么使用多个过滤器链就非常有效。
在这里插入图片描述

Spring Security 中常见的过滤器

在这里插入图片描述

在这里插入图片描述

保存认证数据

Spring Security 也是将登录用户数据保存到 Session 中

SecurityContextHolder

当用户登录成功后,Spring Security 会将登录成功的用户信息保存到 SecurityContextHolder中。SecurityContextHolder 中提供了一些静态方法,用于保存应用程序中当前用户的安全上下文,SecurityContextHolder 中是委托 SecurityContextHolderStrategy 来处理保存的用户数据策略。

SecurityContextHolderStrategy

Spring0 Security 中提供的三种实现
在这里插入图片描述

  • MODE_THREADLOCAL (ThreadLocalSecurityContextHolderStrategy):将SecurityContext放在ThreadLocal中,开启子线程,子线程获取不到用户数据。
  • MODE_INHERITABLETHREADLOCAL (InheritableThreadLocalSecurityContextHolderStrategy):多线程环境,子线程也能获取到用户数据。
  • MODE_GLOBAL (GlobalSecurityContextHolderStrategy): SecurityContextHolderStrategy的基于静态字段的实现。
    这意味着JVM中的所有实例共享相同的SecurityContext。这对于富客户端(如Swing)通常很有用。
1999
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Security简介
p354262的博客
02-28 345
然后通过PasswordEncoder对比UserDtails中的密码是否正确,如果正确就把UserDetails中的权限信息设置到Authentication对象中,并返回Authentication对象,时,security会将用户名和密码封装到Authentication对象中,并将对象传递给AuthenticationManager对象,调用Authentica方法进行认证,这个方法会调用DaoAuthenticationProvider对象的authticate方法,可验证同一时间重复登录。
Spring Security实战
rhwayfun专栏
08-20 3472
spring security是一个多方面的安全认证框架,提供了基于JavaEE规范的完整的安全认证解决方案。并且可以很好与目前主流的认证框架(如CAS,中央授权系统)集成。使用spring security的初衷是解决不同用户登录不同应用程序的权限问题,说到权限包括两部分:认证和授权。认证是告诉系统你是谁,授权是指知道你是谁后是否有权限访问系统(授权后一般会在服务端创建一个token,之后用这个t
Security 详解—原理(1)
myli92的博客
06-18 2590
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
Security笔记
Doudou_4174的博客
03-29 879
概述 ​ Security是一个安全框架,主要作用为认证和授权 认证:登录功能,验证用户身份 授权:给用户授予特定权限,并设置权限所能访问的页面 添加pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 添加
Spring Security】基本功能介绍
m0_45406092的博客
03-24 5435
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired VerifyCodeFilter verifyCodeFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(verifyCode
Spring Security实战--(一)简单Security应用
Double____C的博客
03-03 280
123 一、Spring Security简介 应用程序的安全性通常体现在两个方面:认证和授权 认证是确认某主题在某系统中是否合法、可用的过程。这里的主题既可以是登录系统的用户,也可以是接入的设备或者其他系统 授权是指当主体通过认证后,是否允许其执行某项操作的过程,认证和授权是应用安全的基本关注点 ...
SpringSecurity深度解析与实践(3)
12-23
Spring Security深度解析与实践(3)》 在这一部分,我们将深入探讨Spring Security这一强大的安全框架,它为Java企业级应用提供了全面的安全管理解决方案。Spring Security不仅支持身份验证和授权,还具备防止...
分布式架构单点登录+授权认证实战 CAS+SpringSecurity视频
11-13
在"19.SpringSecurity集成CAS.avi"中,会讲解如何将CAS与SpringSecurity整合,利用SpringSecurity的强大功能来实现更精细的权限控制和访问决策。 综上所述,本套视频教程通过实践操作,系统地介绍了分布式架构下SSO...
spring-security-jwt-demo.zip
11-19
Spring Security与JWT整合实战详解》 在现代Web应用程序中,安全性和用户认证是至关重要的。Spring Security作为Java领域中最受欢迎的安全框架,为开发者提供了强大的安全解决方案。而JSON Web Token(JWT)则是...
java+spring-boot-jwt + spring security集成实战项目.zip
08-17
在本项目中,我们主要探讨的是如何将JavaSpring Boot框架相结合,利用JWT(JSON Web Token)和Spring Security来构建一个安全的Web应用程序。这个实战项目涵盖了从基础概念到实际应用的完整流程,旨在帮助开发者...
Spring Security OAuth2.0
06-19
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用程序和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。Spring Security OAuth2.0...
SpringSecurity学习与实战
hc312455392的博客
04-09 93
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。Spring Security 主要实现了Authentication(认证,解决who are you?) 和 AccessControl(访问控制,也就是what are you allowed to do?,也称为Authorization)。SpringSecurity在架构上将认证与授权分离,并提供了扩展点。FROM 《Spring Security 官网》
Spring Security认证流程分析(6)
weixin_43831002的博客
08-04 1572
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:图 3-3图中显示的流程是一个通用的架构。...
Spring Security(1)
xbcai1的博客
04-23 1043
Spring Security,AuthenticationManager,AuthenticationManagerBuilder,userDetailsService,ProviderManager
SpringSpring Security 账号密码登录的认证流程源码解析
高远的博客
05-20 1207
Spring Security 简述 认证是通过 AuthenticationManager 来管理的,即认证管理器; public interface AuthenticationManager { Authentication authenticate(Authentication var1) throws AuthenticationException; } 认证完成,authenticate() 会返回一个完整的 Authentication 对象,包含主体 (principal) 和凭证
Spring Security 源码解读 :认证总览
weixin_41866717的博客
02-03 737
spring security 认证总览
【无标题】AuthenticationManager初始化流程
qq_44414610的博客
04-08 405
记录一次开发中遇到的问题,自定义了多个AuthenticationProvider,调试过程中居然找不到,发现ProviderManager的providers属性值中没有注入。经过排查,最终找到了原因,问题就出在AuthenticationManager的初始化上。自定义了多个AuthenticationProvider后,AuthenticationManager初始化出现了问题。
spring揭秘06-Autowired自动绑定依赖及组件自动扫描
最新发布
PacosonSWJTU的博客
08-16 531
Resource注解可以替代 @Autowired 与 @Qualilfier这2个注解结合的功能,即根据beanName到spring容器中查找匹配的bean,并注入依赖关系到当前bean(如Jsr250AnnotationBookAppService);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1999

每人一点点,明天会更好

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值