【Spring Security安全框架 入门及基于微服务单点登录认证】

最新推荐文章于 2024-05-21 20:07:23 发布
最新推荐文章于 2024-05-21 20:07:23 发布
阅读量5.4k 收藏 9
点赞数 1
文章标签: spring 安全 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46652775/article/details/123557385
版权

文章目录

前言

Spring Security是一个当前流行的安全框架,它不仅实现了访问资源(crud)权限的控制,还可以基于它可以实现单点登陆认证业务.
本文主要介绍Spring Security的概念,认证及权限控制原理,以及单点登录的实现.

一、Spring Security的概念

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架(简单说是对访问权限进行控制的一个框架)。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

二、Spring Security的实现原理

Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。通过这些过滤器拦截进入请求,判断是否已经登录认证且具访问对应请求的权限。
Spring Security 执行流程图:
目前的登陆操作,也就是用户的认证操作,其实现主要基于Spring Security框架,其认证简易流程如下:
要完成访问控制,Spring Security至少需要四个拦截器(调度器、认证管理器、权限资源关联器、访问决策器)进行配合完成:
SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。

1.过滤器链的各个进行说明:

  1. WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。

  2. SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将 SecurityContextHolder 中的信息清除,例如在Session中维护一个用户的安全信息就是这个过滤器处理的。

  3. HeaderWriterFilter:用于将头信息加入响应中。

  4. CsrfFilter:用于处理跨站请求伪造。

  5. LogoutFilter:用于处理退出登录。

  6. UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 两个参数的值进行修改。

  7. DefaultLoginPageGeneratingFilter:如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。

  8. BasicAuthenticationFilter:检测和处理 http basic 认证。

  9. RequestCacheAwareFilter:用来处理请求的缓存。

  10. SecurityContextHolderAwareRequestFilter:主要是包装请求对象request。

  11. AnonymousAuthenticationFilter:检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。

  12. SessionManagementFilter:管理 session 的过滤器

  13. ExceptionTranslationFilter:处理 AccessDeniedException 和 AuthenticationException 异常。

  14. FilterSecurityInterceptor:可以看做过滤器链的出口。

  15. RememberMeAuthenticationFilter:当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

2.简易流程概述:

  1. 客户端发起一个请求,进入 Security 过滤器链。
  2. 当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理,如果登出失败则由 ExceptionTranslationFilter ;如果不是登出路径则直接进入下一个过滤器。
  3. 当到 UsernamePasswordAuthenticationFilter*( 该对象是 Authentication 接口的实现类,该类有两个构造器,一个用于封装前端请求传入的未认证的用户信息,一个用于封装认证成功后的用户信息) 的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHandler 登录失败处理器处理,如果登录成功则到 AuthenticationSuccessHandler 登录成功处理器处理,如果不是登录请求则不进入该过滤器。
  4. 当到 FilterSecurityInterceptor 的时候会拿到 uri ,根据 uri 去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权成功则到 Controller 层否则到 AccessDeniedHandler 鉴权失败处理器处理。

3. 具体认证流程

在这里插入图片描述

  1. 用户发起登录请求,通过Security 过滤器链,到达UsernamePasswordAuthenticationFilter 过滤器.

  2. UsernamePasswordAuthenticationFilter过滤器的 attemptAuthentication() 方法将未认证的 Authentication 对象传入ProviderManager 类的 authenticate() 方法进行身份认证。ProviderManager 是 AuthenticationManager 接口的实现类,该接口是认证相关的核心接口,也是认证的入口。在实际开发中,我们可能有多种不同的认证方式,例如:用户名+ 密码、邮箱+密码、手机号+验证码等,而这些认证方式的入口始终只有一个,那就是 AuthenticationManager。

  3. AuthenticationManager接口的常用实现类 ProviderManager 内部会维护一个 List 列表,存放多种认证方式,实际上这是委托者模式 (Delegate)的应用。每种认证方式对应着一个 AuthenticationProvider.

  4. AuthenticationManager 根据认证方式的不同(根据传入的 Authentication 类型判断)委托对应的 AuthenticationProvider(实际上使用的是他的实现类DaoAuthenticationProvider) 进行用户认证。认证时需要UserDetailsService接口的实现类来传递用户信息.

  5. 自定义类XxUserDetailService实现UserDetailsService接口和其loadUserByUsername方法,这个方法根据用户输入的用户名,从数据库里面(常用微服务远程访问的方式)获取该用户的所有权限信息(统称用户信息)。MyUserDetailService拿到用户信息后,传给AuthenticationProvider(实际上使用的是他的实现类DaoAuthenticationProvider) 对比用户的密码(即验证用户),如果通过了,那么相当于通过了AuthenticationProcessingFilter拦截器,也就是登录验证通过。

三 、springsecurity使用redis实现单点登录

  1. 创建web安全配置类
    这个类是单体项目中经常使用到的类,但现在登录走的是Oauth2的流程,因此它只需要负责创建一些对象以及配置一下放行和认证规则就行,放行loginController下的所有方法是因为登录不需要被拦截。
/**
 * Security 配置类
 */
@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
   


    // 初始化密码编码器,用BCryptPasswordEncoder加密密码
    @Bean
    public PasswordEncoder passwordEncoder() {
   
        return new BCryptPasswordEncoder();
    }

    // 初始化认证管理对象,密码模式需要
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
   
        return super.authenticationManagerBean();
    }

    // 放行和认证规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        http.csrf().disable()
                .authorizeRequests()
                // 放行的请求
                .antMatchers("/loginController/**").permitAll()
                .and()
                .authorizeRequests()
                // 其他请求必须认证才能访问
                .anyRequest().authenticated
最低0.47元/天 解锁文章
Ustinian -阿正
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2159
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
SpringSecurity + JWT + Redis——实现自定义登录流程
2301_76607156的博客
05-04 363
自定义登录流程是整合 SpringSecurity 开发必不可少的一步。上篇文章我们介绍了整合数据库的登录,本篇文章在此基础上整理了 SpringSecurity + JWT + Redis 的登录流程。参数的接收@Data复制代码controller部分复制代码controller 只是负责匹配路由和返回数据,业务通过 service 的相关方法完成,因此 controller 中没有太多代码service部分@Resource@Resource@Override。
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1409
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
SpringSecurity+jwt+redis基于数据库登录认证
m0_50281408的博客
08-22 1192
本项目主要是一个SpringSecurity+jwt+redis基于数据库登录认证的Demo,其中也涉及到自定义的过滤器和处理器,希望能对大家有帮助,本文中所有代码正常情况下可以直接复制使用。
springboot3微服务下结合springsecurity认证授权实现
最新发布
PleaseBeStrong的博客
05-21 1200
往往是一些字符串类型的关键字,在这里统一定义外部就可以直接调用,方便微服务之间的管理集中式认证管理:通过统一的认证服务器进行登录认证和token的签发刷新,可以简化认证流程,提高安全性和效率。灵活性和可扩展性:各个微服务自行处理权限认证,可以根据各自的业务需求灵活设计权限控制逻辑,便于扩展和维护。适应多种鉴权场景:这种方式可以适应外部应用接入、用户-服务鉴权、服务-服务鉴权等多种鉴权场景。潜在的安全风险:如果各个微服务的权限认证实现不一致或存在缺陷,可能会引入安全风险。性能考虑。
【动力节点】Springsecurity14-18章JWT+Spring Security+redis+mysql 实现认证
f5465245的博客
04-23 328
上一讲里面我们集成了thymeleaf实现在页面链接的动态判断是否显示,那么在实际开发中,我们会遇到有验证码的功能,那么如何处理呢?复制上一个工程springsecurity-13-thymeleaf ,修改名字为springsecurity-14-captcha见《base64及jwt学习文档.doc》
Day47_Spring SecuritySpring Security微服务使用
weixin_45014721的博客
07-13 2683
文章目录一、知识补充1.单点登录:2.认证授权过程分析3.使用token的流程二、分析p21讲了本案例的需求说明p22讲了本案例用到的5张表p24搭建了项目工程p26后没有看· 学习视频:SpringSecurity 一、知识补充 1.单点登录单点登录微服务中有众多模块,你在某一个模块完成登录验证后就不需要在其它模块进行登录验证了 2.认证授权过程分析 (1)基于 Session,如果基于 Session,那么 Spring-security 会对 cookie 里的 sessionid 进行解析,找
Spring初学者入门教程 PDF带书签高清版
11-06
8. **Spring Security**:基础的认证与授权知识,如何使用Spring Security保护应用程序的安全,包括登录、权限控制等方面。 9. **Spring测试**:如何编写单元测试和集成测试,利用Spring Test和Mockito等工具进行...
Spring Boot入门与实战_springboot_spring_
10-02
2. **集成安全框架**:Spring Security提供身份验证和授权,保护应用资源。 3. **发送邮件**:使用JavaMailSender发送邮件功能。 4. **日志管理**:集成Logback或Log4j2进行日志记录和分析。 通过上述知识点,...
Spring入门视频教程
06-20
9. **Spring Security**:Spring SecuritySpring提供的安全框架,用于处理认证和授权,保护Web应用免受攻击。 10. **Spring Batch**:Spring Batch是处理批量数据操作的框架,它提供了完整的批处理功能,包括事务...
JAVA中spring入门教程.zipJAVA中spring入门教程.zipJAVA中spring入门教程.zip
03-05
Spring SecuritySpring生态系统中的安全模块,用于处理应用的安全需求,如认证和授权。它可以轻松地实现登录、权限控制等功能。 8. **Spring Batch** Spring Batch是处理批量数据的模块,它提供了批处理作业的...
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring入门经典》源代码
11-07
Spring入门经典》是一本由Mert Caliskan和Kenan Sevindik共同撰写的书籍,主要面向希望深入理解并掌握Spring框架的初学者。Spring是Java领域中最为广泛使用的开源框架,它提供了一个全面的编程和配置模型,旨在...
使用SpringSecurity,Jwt与Redis实现用户认证与授权
blblccc
04-28 3384
核心代码 /** * 登录 * @param user * @return */ @PostMapping("/login") public Result login(@RequestBody User user){ UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.ge
SpringSecurity服务器端配置说明
makaixuan_的博客
08-23 646
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zMldYDBl-1661221320914)(…/AppData/Roaming/Typora/typora-user-images/)]此时登录另一个客户端8082,确认是否也已经授权,免登录了。成功登录自己服务器的首页(user:zhangsan)授权认证成功后跳转到指定客户端的页面。点击登录(成功登录到8081客户端)成功登录到8082,点击登录。登录到8080自己服务器的。到服务器端的认证系统。...
spring security 单点登录 简单实现
热门推荐
zenggenihao的专栏
03-01 12万+
1、基本概念 SSO (Single Sign On) SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 spring security Spring Security 是一个安...
shiro授权和认证(二)
weixin_46403305的博客
10-28 247
1、盐散列次数以及散列关系 public static void main(String[] args){ // Md5Hash md5Hash = new Md5Hash("abc"); // // System.out.println("散列后的结果:"+md5Hash); //为什么要加盐? 给这个密码再添加一层保障 //为了让密码更加安全 更加不容易被破解 Md5Hash md5Hash1 = ne
微服务单点登录系统(Spring Security)
ancartoon的博客
08-31 1033
目录 简介 多点登录系统 单点登录系统​ 快速入门案例 创建认证授权工程 添加项目依赖 构建项目配置文件 添加项目启动类 启动并访问项目 定义登录逻辑 业务描述 定义配置安全类 定义用户信息处理对象 网关中登录路由配置 基于Postman进行访问测试 自定义登录页面 颁发登录成功令牌 构建令牌配置对象 定义认证授权核心配置 配置网关认证的URL Postman访问测试 登录页面方案设计 资源服务器配置 添加依赖 令牌处理器配置 资源服务令牌...
微服务(十一)—— 单点登录
CodAlun的博客
07-27 1616
目录1. 介绍(1)session同步(2)session黏着(放在服务端)(3)将信息存放到cookie客户端(4) SSO单点登录2. 实现过程2.1 思路2.2 实现 1. 介绍 在单服务下,用户通过浏览器登录,通过会话管理保存用户登录信息,Cookie通过在客户端记录信息确定用户身份,Session通过在服务端记录信息确定用户身份。 当浏览器访问服务器时,会创建一个Session对象,同时Session对象里会随机生成一个id值,然后通过response返回给浏览器保存在cookie里,当浏览器下一
Spring Security基于微服务安全
07-15
Spring Security 提供了多种方式来实现基于微服务安全。下面是一些常用的方法: 1. 集中式配置中心:可以使用 Spring Cloud Config 或类似的配置中心来集中管理微服务安全配置。这样可以统一管理认证和授权规则...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值