SpringSecurity系列——授权与认证概述,安全架构day2-2(源于官网5.7.2版本)

已于 2022-07-20 04:42:21 修改
阅读量1.7k 收藏 4
点赞数 1
分类专栏: 笔记 Java学习 # SpringSecurity 文章标签: 安全架构 spring 安全
于 2022-07-20 04:40:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51553982/article/details/125884314
版权
笔记 同时被 3 个专栏收录
334 篇文章 42 订阅
订阅专栏
Java学习
181 篇文章 3 订阅
订阅专栏
SpringSecurity
24 篇文章 31 订阅
订阅专栏

SpringSecurity系列——授权与认证,安全架构day2-2

整体架构

<Spring Security> 的架构设计中,认证<Authentication>和授权<Authorization>是分开的,无论使用什么样的认证方式。都不会影响授权,这是两个独立的存在,这种独立带来的好处之一,就是可以非常方便地整合一些外部的解决方案。
在这里插入图片描述

什么是授权

简单来说就是授予用户某一个权限让用户能够通过这个权限使用某个对应的服务

什么是认证

验证访问系统的用户身份

认证核心类

AuthenticationManager

在Spring Security中认证是由AuthenticationManager接口来负责的,接口定义为:

public interface AuthenticationManager {
    Authentication authenticate(Authentication authentication) throws AuthenticationException;
}

返回Authentication表示认证成功
返回AuthenticationException异常,表示认证失败

AuthenticationManager主要实现类为ProviderManager,ProviderManager中管理了众多AuthenticationProvider实例。在一次完整的认证流程中, Spring Security允许存在多个AuthenticationProvider,用来实现多种认证方式,这些AuthenticationProvider都是由ProviderManager进行统一管理的。

Authentication

认证以及认证成功的信息主要是由Authentication的实现类进行保存的,其接口定义为:
在这里插入图片描述

public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}
  1. getAuthorities:获取用户权限信息
  2. getCredentials:获取用户凭证信息, 一般指密码
  3. getDetails:获取用户详细信息
  4. getPrincipal:获取用户身份信息,用户名、用户对象等
  5. isAuthenticated:用户是否认证成功

SecurityContextHolder

SecurityContextHolder用来获取登录之后用户信息。Spring Security会将登录用户数据保存在Session中。但是,为了使用方便,Spring Security在此基础上还做了-些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后,Spring Security会将登录成功的用户信息保存到SecurityContextHolder中。SecurityContextHolder 中的数据保存默认是通过ThreadLocal来实现的,使用ThreadLocal创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后, Spring Security会将SecurityContextHolder中的数据拿出来保存到Session中,同时将SecurityContexHolder中的数据清空。以后每当有请求到来时,Spring Security就会先从Session中取出用户登录数据,保存到SecurityContextHolder中,方便在该请求的后续处理过程中使用,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session 中,然后将SecuritySecurityContextHolder中的数据清空。这一策略非常方便用户在Controller、Service 层以及任何代码中获取当前登录用户数据。

授权核心类

当完成认证后,接下米就是授权了。在Spring Security的授权体系中,有两个关键接口

AccessDecisionManager

AccessDecisionManager (访问决策管理器),用来决定此次访问是否被允许。
在这里插入图片描述

AccessDecisionVoter

AccessDecisionVoter (访问决定投票器),投票器会检查用户是否具备应有的角色,进而投出赞成、反对或者弃权票。
在这里插入图片描述
AccessDecisionVoter和AccessDecisionManager都有众多的实现类,在
AccessDecisionManager中会换个遍历AccessDecisionVoter, 进而决定是否允许用户访问,因而AccessDecisionVoter和AccessDecisionManager两者的关系类似于AuthenticationProvider和ProviderManager的关系。

ConfigAttribute

ConfigAttribute,用来保存授权时的角色信息

在这里插入图片描述
在Spring Security中,用户请求一个资源(通常是一个接口或者一 个Java方法)需要的角色会被封装成一个CnfigAttribute对象,在ConfigAttribute中只有一个getAttribute方法,该方法返回一个String 字符串,就是角色的名称。一般来说,角色名称都带有一个ROLE_前缀,投票器AccessDecisionVoter所做的事情,其实就是比较用户所具各的角色和请求某个资源所需的ConfigAtuibute之间的关系。

流程

在这里插入图片描述

安全架构

每个部分都会有一个解释概括,如果感觉内容很长,你可以直接看我的解释概括和截取的官方图片进行理解

委托过滤器代理

Spring 提供了一个名为 DelegatingFilterProxy 的过滤器实现,它允许在 Servlet 容器的生命周期和 Spring 的 ApplicationContext 之间进行桥接。 Servlet 容器允许使用自己的标准注册过滤器,但它不知道 Spring 定义的 Bean。 DelegatingFilterProxy 可以通过标准的 Servlet 容器机制注册,但将所有工作委托给实现 Filter 的 Spring Bean。

以下 DelegatingFilterProxy 如何适应过滤器和过滤器链的图片

在这里插入图片描述

解释概括

SpringSecurity没有改变原始的JavaWeb的过滤器生态,而是在过滤器链中的第二个过滤器替换为了DelegatingFilterProxy,他的作用就是当程序进行到该过滤器是进行一个代理转接到SpringSecurity的过滤器处理中去进行相关业务的实现,完成该业务之后需要我们进行放行,回到原始过滤器链中继续执行

过滤器链代理

Spring Security 的 Servlet 支持包含在 FilterChainProxy 中,FilterChainProxy 是 Spring Security 提供的一个特殊 Filter,它允许通过 SecurityFilterChain 委托给多个 Filter 实例。 由于 FilterChainProxy 是一个 Bean,它通常被包装在一个 DelegatingFilterProxy 中。
在这里插入图片描述

解释概括

这里相当于对单个的过滤器做了增强,采用DelegatingFilterProxy代理到SpringFIlterChain这样的安全过滤链完成一系列的过滤操作流程

安全过滤链

FilterChainProxy 使用 SecurityFilterChain 来确定应该为此请求调用哪些 Spring Security Filters。
在这里插入图片描述
SecurityFilterChain 中的安全过滤器通常是 Bean,但它们是使用 FilterChainProxy 而不是 DelegatingFilterProxy 注册的。 FilterChainProxy 为直接注册到 Servlet 容器或 DelegatingFilterProxy 提供了许多优势。 首先,它为 Spring Security 的所有 Servlet 支持提供了一个起点。 出于这个原因,如果您尝试对 Spring Security 的 Servlet 支持进行故障排除,在 FilterChainProxy 中添加调试点是一个很好的起点。

其次,由于 FilterChainProxy 是 Spring Security 使用的核心,它可以执行不被视为可选的任务。 例如,它清除 SecurityContext 以避免内存泄漏。 它还应用 Spring Security 的 HttpFirewall 来保护应用程序免受某些类型的攻击。

此外,它在确定何时应调用 SecurityFilterChain 时提供了更大的灵活性。 在 Servlet 容器中,仅根据 URL 调用过滤器。 但是,FilterChainProxy 可以通过利用 RequestMatcher 接口根据 HttpServletRequest 中的任何内容确定调用。

实际上,FilterChainProxy 可以用来确定应该使用哪个SecurityFilterChain。 这允许为应用程序的不同部分提供完全独立的配置。
在这里插入图片描述
在 Multiple SecurityFilterChain 图中,FilterChainProxy 决定应该使用哪个 SecurityFilterChain。 只有第一个匹配的 SecurityFilterChain 才会被调用。 如果请求 /api/messages/ 的 URL,它将首先匹配 SecurityFilterChain0 的 /api/** 模式,因此即使在 SecurityFilterChainn 上也匹配,也只会调用 SecurityFilterChain0。 如果请求 /messages/ 的 URL,它将与 SecurityFilterChain0 的 /api/** 模式不匹配,因此 FilterChainProxy 将继续尝试每个 SecurityFilterChain。 假设没有其他,SecurityFilterChain 实例匹配 SecurityFilterChainn 将被调用。

请注意,SecurityFilterChain0 仅配置了三个安全过滤器实例。 但是,SecurityFilterChainn 配置了四个安全过滤器。 需要注意的是,每个 SecurityFilterChain 都可以是唯一的并且可以单独配置。 事实上,如果应用程序希望 Spring Security 忽略某些请求,SecurityFilterChain 可能具有零安全过滤器。

解释概括

这里是列举了过滤器的特性

  1. FilterChainProxy 使用 SecurityFilterChain 来确定应该为此请求调用哪些 Spring Security Filters
  2. SecurityFilterChain 中的安全过滤器通常是 Bean实例,使用 FilterChainProxy 而不是 DelegatingFilterProxy 注册
  3. FilterChainProxy必须执行,且有诸多安全保护的特性帮助你保护程序
  4. FilterChainProxy通过RequestMatcher 接口根据 HttpServletRequest中的内容可以具体的调用某个SecurityFilterChain
  5. SecurityFilterChain可以有多个,每个实现的功能可以不同甚至不实现,每一个都是单独进行配置的,互不干扰
  6. 每次其实第一个匹配的 SecurityFilterChain 才会被调用,匹配不上才会换下一个SecurityFilterChain

安全过滤器

使用 SecurityFilterChain API 将安全过滤器插入到 FilterChainProxy 中。 过滤器的顺序很重要。 通常不需要知道 Spring Security 的过滤器的顺序。 但是,有时知道排序是有益的

  1. ForceEagerSessionCreationFilter
  2. ChannelProcessingFilter
  3. WebAsyncManagerIntegrationFilter
  4. SecurityContextPersistenceFilter
  5. HeaderWriterFilter
  6. CorsFilter
  7. CsrfFilter
  8. LogoutFilter
  9. OAuth2AuthorizationRequestRedirectFilter
  10. Saml2WebSsoAuthenticationRequestFilter
  11. X509AuthenticationFilter
  12. AbstractPreAuthenticatedProcessingFilter
  13. CasAuthenticationFilter
  14. OAuth2LoginAuthenticationFilter
  15. Saml2WebSsoAuthenticationFilter
  16. UsernamePasswordAuthenticationFilter
  17. OpenIDAuthenticationFilter
  18. DefaultLoginPageGeneratingFilter
  19. DefaultLogoutPageGeneratingFilter
  20. ConcurrentSessionFilter
  21. DigestAuthenticationFilter
  22. BearerTokenAuthenticationFilter
  23. BasicAuthenticationFilter
  24. RequestCacheAwareFilter
  25. SecurityContextHolderAwareRequestFilter
  26. JaasApiIntegrationFilter
  27. RememberMeAuthenticationFilter
  28. AnonymousAuthenticationFilter
  29. OAuth2AuthorizationCodeGrantFilter
  30. SessionManagementFilter
  31. ExceptionTranslationFilter
  32. FilterSecurityInterceptor
  33. SwitchUserFilter

安全异常处理

首先,ExceptionTranslationFilter 调用 FilterChain.doFilter(request, response) 来调用应用程序的其余部分。

如果用户未通过身份验证或者是 AuthenticationException,则开始身份验证。

SecurityContextHolder 被清除
HttpServletRequest 保存在 RequestCache 中。 当用户成功认证后,RequestCache 用于重放原始请求。
AuthenticationEntryPoint 用于从客户端请求凭据。 例如,它可能重定向到登录页面或发送 WWW-Authenticate 标头。

否则,如果是 AccessDeniedException,则拒绝访问。 调用 AccessDeniedHandler 来处理拒绝访问。

简明编程
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SNMP安装包-net-snmp-utils-5.7.2-49.el7_9.2.x86_64
07-25
SNMP安装包-net-snmp-utils-5.7.2-49.el7_9.2.x86_64
net-snmp-agent-libs-5.7.2-49.el7_9.1.x86_64.rpm
01-30
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
详解spring security 配置多个AuthenticationProvider
08-30
主要介绍了详解spring security 配置多个AuthenticationProvider ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity系列——简单配置上手day4-3(源于官网5.7.2版本
qq_51553982的博客
07-23 1043
本片开启SpringSecurity入门上手实例,基于官方5.7.2的最新稳定版,springboot2.7.2版,jdk17,我对官方实例进行了一定程度上的修改,增加了其他一些实例代码。
SpringBoot整合SpringSercurity5完整实现例子
最新发布
Spell a的博客
05-01 482
super(msg);super(msg);return msg;@Component@OverrideString jsonString = JSONObject.toJSONString(ResponseResult.error(401, "您没有访问权限,请重新登录!"));
Spring Security默认数据库模型的认证授权
qq_45880043的博客
10-04 619
spring security认证授权
spring security url动态授权
weixin_43931625的博客
09-18 490
spring security url动态授权
spring security(一)
jianghongbo518的博客
01-06 176
同类产品对比 Shiro:Apache 旗下的轻量级权限控制框架。 特点: 1)轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。 2)通用性。好处:不局限于 Web 环境,可以脱离 Web 环境使用。缺陷:在 Web 环境下一些特定的需求需要手动编写代码定制。 一般来说,常见的安全管理技术栈的组合是这样的: • SSM + Shiro • Spring Boot/Spring Cloud + Spring Security 以上只是一个推荐的组合而已,.
net-snmp-libs-5.7.2-49.el7.x86_64.rpm
01-10
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
net-snmp-libs-5.7.2-49.el7_9.1.x86_64.rpm
01-10
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
net-snmp-libs-5.7.2-49.el7.i686.rpm
01-10
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
SpringSecurity系列——认证Authentication架构day2-3(源于官网5.7.2版本
qq_51553982的博客
07-20 849
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档AbstractAuthenticationProcessingFilter用作验证用户凭据的基本过滤器。从HttpServletRequest创建一个身份验证以进行身份​​验证。创建的Authentication类型取决于。...
SpringSecurity5.7从入门到精通全套教程-入门篇
weixin_46040278的博客
04-26 2825
本文章主要概述SpringSecurity的使用,从入门到精通一站式学习
Spring Security 入门 权限表达式控制URL权限
SheTing'Blog
04-17 470
配置资源授权,默认是不需要授权。现在访问/say是要有权限aa的 @Configuration public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protecte
SpringSecurity认证功能的快速上手
qq_53324833的博客
01-07 1094
简介 SpringSecuritySpring家族中的一个安全管理框架。相比于另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型项目都是使用SpringSecurity来做安全框架,小项目用Shiro的比较多,因为相比于SpringSecurity,Shiro的上手更加简单。 一般web的应用需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪一个用户。 授权:经过认证后判断当前用户是否有权限进行某个操作。 而认证授权也是Sp
springsecurity密码认证流程
WHJwhj552200的博客
04-23 342
参考博客: (25条消息) springsecurity密码验证原理概括_艾萨克三毛的博客-CSDN博客_springsecurity密码验证
Spring Security(3) 动态url权限控制
热门推荐
郑清
10-19 1万+
一、前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一) https:...
学习 SpringSecurity 这一篇就够了
Laptoy的博客
05-10 936
SpringSecurity详解
SpringSecurity系列——身份验证事件:自定义成功、失败day5-2(源于官网5.7.2版本
qq_51553982的博客
07-25 1312
技术版本jdk175.7.2SpringBoot2.7.2需要注册为组件(@Component)使用注解实现事件监听}}}
libmysqlclient.so.18()(64bit) is needed by (installed) net-snmp-agent-libs-1:5.7.2-49.el7_9.2.x86_64
03-07
这是一个关于 Linux 系统中缺少 libmysqlclient.so.18()(64bit) 库的问题,需要安装该库才能使用 net-snmp-agent-libs-1:5.7.2-49.el7_9.2.x86_64。可以通过在终端中使用命令 sudo yum install mysql-libs 来安装该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值