SpringSecurity认证鉴权流程

最新推荐文章于 2024-08-19 11:28:02 发布
最新推荐文章于 2024-08-19 11:28:02 发布
阅读量655 收藏 19
点赞数 18
文章标签: 服务器 java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57828911/article/details/141318347
版权

SpringSecurity认证鉴权流程

  • SpringSecurity的认证流程

    • 用户请求

      • 用户向应用程序发起请求,通常是访问受保护的资源(例如,一个需要登录的页面)。

    • 检查是否需要认证

      • Spring Security会检查请求的URL是否需要认证。这个检查是基于配置的访问控制规则来决定的。配置类要继承WebSecurityConfigurerAdapter

    • 触发认证

      • 如果请求的资源需要认证,Spring Security会将用户重定向到登录页面(如果未认证),或者直接处理认证(如果用户已经在认证上下文中)。

    • 认证请求

      • 用户在登录表单中输入凭据(如用户名和密码),这些凭据会被提交到Spring Security的认证处理器。

    • 处理认证

      • Spring Security的认证处理器(UsernamePasswordAuthenticationFilter 是默认的处理器),UsernamePasswordAuthenticationFilter会创建一个Authentication接口的实现类对象(UsernamePasswordAuthenticationToken)来接收到用户提交的凭据。
      • 处理器会使用认证管理器(AuthenticationManager)来验证凭据。认证管理器会将请求传递给配置的认证提供者(AuthenticationProvider–可以在配置类中启用我们自己的认证提供者)。

    • 认证提供者验证

      • 认证提供者(如DaoAuthenticationProvider)会从UsernamePasswordAuthenticationToken中拿到并验证用户提交的凭据。这通常涉及查找用户的记录,并检查密码是否匹配。
      • 认证提供者通过用户详细信息服务(UserDetailsService)加载用户的详细信息,然后进行密码验证。

    • 返回认证结果

      • 如果凭据有效,认证提供者会返回一个包含用户认证信息的Authentication(其实就是实现了Authentication接口的UsernamePasswordAuthenticationToken对象)对象。
      • 如果凭据无效,认证提供者会抛出一个认证异常(例如BadCredentialsException)。

    • 更新安全上下文

      • 认证管理器会将返回的Authentication对象存储在Spring Security的SecurityContext中。
      • SecurityContext存储在SecurityContextHolder中,以便在整个请求的生命周期内可以访问到认证信息。

    • 处理认证后的请求

      • 如果认证成功,用户会被重定向到他们最初请求的页面,或者根据配置被重定向到一个默认的成功页面/处理器。
      • 如果认证失败,用户会被重定向到登录页面/处理器,并显示适当的错误消息。

    • 权限检查

    • 认证成功后,Spring Security还会基于配置的权限规则来检查用户是否有权限访问请求的资源。这通常发生在请求被处理的阶段。

  • SpringSecurity的鉴权流程

    • 权限检查阶段
      • FilterSecurityInterceptor: 这是负责进行授权检查的主要过滤器。它会从 SecurityContext 中获取当前用户的 Authentication 对象,并使用其中的权限集合(即 getAuthorities 方法返回的集合)来决定是否允许访问特定资源。
      • AccessDecisionManager: FilterSecurityInterceptor 使用 AccessDecisionManager 来做出最终的访问决策。AccessDecisionManager 会将用户的权限集合与配置的访问控制规则进行比较,决定是否允许访问。
    • 权限投票
      • AccessDecisionVoter: 这个组件对用户是否有访问权限进行投票。它会检查用户的权限集合来决定是否允许访问请求的资源。AccessDecisionVoter 可以是基于角色、权限或自定义逻辑的投票器。
    • 访问决策
      • AccessDecisionManager 会根据所有 AccessDecisionVoter 的投票结果来做出最终的决策。如果所有投票者都允许访问,则用户可以访问请求的资源;否则,访问会被拒绝。

  • 将用户交给Spring Security管理主要涉及以下几个步骤:

    • 实现 UserDetails 接口

      • 创建一个自定义的 UserDetails 实现类,用于封装用户的详细信息,包括用户名、密码和权限等。
      public class CustomUserDetails implements UserDetails {
    private final User user; // 你的用户实体
    private final Collection<? extends GrantedAuthority> authorities;

    public CustomUserDetails(User user) {
        this.user = user;
        this.authorities = user.getRoles().stream()
            .map(role -> new SimpleGrantedAuthority(role.getCode()))
            .collect(Collectors.toList());
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return user.isEnabled();
    }
}

    • 实现 UserDetailsService 接口

      • 创建一个 UserDetailsService 实现类,用于根据用户名加载用户的 UserDetails 实例。
      @Service
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new CustomUserDetails(user);
    }
}

    • 配置 Spring Security

      • 在Spring Security配置中,将 UserDetailsService 注册为一个bean,并配置认证管理器使用这个服务来进行用户认证。
      @Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
            .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
            .and()
            .logout()
                .permitAll();
    }
}

    • 配置密码编码器

      • 使用 BCryptPasswordEncoder 或其他密码编码器来处理用户密码的加密和验证(可以在实现了WebSecurityConfigurerAdapter的配置类中注册)。
      @Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}
JH3073
关注
  • 18
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
spring security http接口鉴权使用示范项目
03-01
首先,Spring Security的基本工作流程是:当用户尝试访问受保护的资源时,它会检查请求是否已通过身份验证。如果没有,Spring Security将引导用户进行登录过程。一旦用户成功登录,系统将根据其角色和权限来决定是否...
springsecurity源码(鉴权有缺陷)
05-20
这个话题涉及到多个知识点,包括Spring Security的基本架构、鉴权流程、潜在的安全风险以及如何修复这些问题。 1. **Spring Security 基本架构**: Spring Security 由多个组件构成,包括过滤器链、访问决策管理器...
SpringBoot+SpringSecurity+WebSocket
04-11
3. 集成SpringSecurity:配置SpringSecurity的WebSecurityConfigurerAdapter,设置登录认证、权限控制等规则。确保WebSocket连接也需要经过SpringSecurity认证。 4. 客户端支持:在前端JavaScript中使用WebSocket ...
Linux日常运维小结
lza20001103的博客
08-14 1021
Linux日常运维小结
ddos造成服务器瘫痪后怎么办
IDC_USA的博客
08-15 433
服务器遭受DDoS攻击后,应立即采取相应措施,包括加强服务器安全、使用CDN和DDoS防御服务来减轻攻击的影响。rak小编为您整理发布ddos造成服务器瘫痪后怎么办。
windows bat脚本基础指令详解
weixin_39789796的博客
08-16 382
CMD在解释我们的命令的时候,首先会读取命令行一条完整的命令。如果我们要在我们的命令中引用一些变量,那么我们如何让CMD在解释我们的命令时。当CMD在对读取我们的整行命令进行格式匹配的时候,就会发现name这个字符两边加了%号,就不会把他当作普通字符处理,而是会把他当 作一个变量处理。然后CMD就会找到变量名对应的值,用变量名的值替换掉这个变量名字(name),(如果变量名不存在值,就返回空 值)。这个在预编译的时候将%var%替换成%%i,但是%%i又不认识是什么,所以程序在运行的时候就会出错。
仿RabbiteMq实现简易消息队列正式篇(需求分析)
m0_62812354的博客
08-14 1172
TOC消息队列中间件是在分布式系统中重要的组件,主要解决等等问题。实现高性能,高可用,可伸缩和最终一致性架构,是大型分布式系统不可缺少的中间件。目前常用的消息队列是RabbitMq, KafKa,ZeroMq,MetaMq等。我们是仿照RabbitMq实现简易的消息队列,就得先了解RabbitMq,RabbitMq是一种开源消息中间件,使用Erlang语言进行开发,实现了高级消息队列协议(AMQP)
【busybox记录】【shell指令】chroot
44083579的博客
08-14 380
chroot指令用法
出省了为什么ip地址没变?怎么修改自己的ip地址变外省的
hgdlip的博客
08-14 726
在数字时代,IP地址作为网络世界中每台设备的唯一标识,其重要性不言而喻。然而,许多人在跨省份旅行或工作时,可能会发现尽管自己已经身处新的地域,但IP地址却并未随之改变。这一现象不仅令人困惑,那么,为什么会出现这种情况?我们又该如何修改自己的IP地址以反映当前的外省位置呢?本文将为您详细解答这些问题。
Linux安装MQTT 服务器(图文教程)
猿小白的博客
08-19 337
MQTT(Message Queuing Telemetry Transport)是一种轻量级的消息传输协议,专为低带宽和不稳定的网络环境设计,非常适合物联网(IoT)应用。
服务器扩容时该如何选择合适大小的CPU和内存?
JttiSEO的博客
08-16 306
服务器扩容时,CPU和内存的搭配是一个重要的考虑因素,因为它直接影响到服务器的性能和资源利用率。首先,了解您的服务器将运行的应用程序类型和负载特征(如CPU密集型、内存密集型或I/O密集型)。对于一般的企业应用,1:4的CPU核心到内存GB比例是一个不错的起点。对于CPU密集型应用,可能需要更高的CPU核心数相对于内存的比例。对于内存密集型应用,可能需要更多的内存相对于CPU核心数的比例。代数和架构:较新的CPU架构通常提供更好的性能和能效比。频率和延迟:更高的频率和更低的延迟通常提供更好的性能。
zabbix监控进程,日志,主从状态和主从延迟
czzwa的博客
08-14 979
使用httpd服务为例,监控httpd的进程 测试脚本 0是httpd服务开启,1为关闭 修改zabbix-agentd.conf文件 zabbix server端测试脚本 zabbix web平台配置 新建监控项 此时查看告警信息和邮箱邮箱 开启httpd服务,查看邮箱是否收到恢复邮件 查看邮箱下载log.py来协助我们进行测试,以httpd服务为例将log.py上传到/etc/zabbix/script/目录下,然后给执行权限,修改所有者和所属组为z
stable-fast-3d的部署,在服务器Ubuntu22.04系统下——点动科技
最新发布
weixin_63782093的博客
08-19 796
stable-fast-3d的部署,在服务器Ubuntu22.04系统下——点动科技
SSH 隧道方式连接 MySQL 服务器
Sally_xy的博客
08-16 542
本文介绍通过 Navictat 或 MySQL Workbench 工具以 SSH 隧道方式连接MySQL 服务器的方法。
国内机房与海外机房之间的区别是什么?
wanhengwangluo的博客
08-14 780
服务器的配置上国内的徐州机房一般会受到电信和网通等运营商的影响,配置方面会相对简单一点,但是也会提供多个服务器配置选项,企业能够根据自身的业务需求来选择合适的服务器;海外机房与国内机房的服务器还是有着多方面的区别的,首先在地理位置上海外机房通常是位于中国以外的国家或者是地区,而国内机房则是包含中国各大城市的数据中心,比如徐州的淮海大数据中心。以上就是小编今天分享的内容了,如果还想了解更多内容,或者对服务器感兴趣的话,可以持续关注万恒网络科技,对于不了解和需要进行咨询的地方,也可以私信或评论小编!
Linux——进程(5)
qq_63574400的博客
08-16 1077
1、必须事先定义自定义函数,必须是如下格式:void fun(int sig) //sig 接收到的信息编号2、在所有的信号中有如下两个特列:10 SIGUSR112 SIGUSR2专门预留给程序员使用的未定义信号。
花钱买不到系列—linux 什么是进程
weixin_49529507的博客
08-16 770
在本篇博客,会了解到什么是进程,什么是进程pcb。 总结:进程 = 内核数据结构(task_struct)+ 进程对应的磁盘代码
前后端分离中springsecurity怎么认证鉴权
10-08
在前后端分离的架构中,Spring Security用于认证鉴权。下面是Spring Security在前后端分离中的认证鉴权流程: 1. 用户登录时,前端发送登录请求到后端,后端验证用户的用户名和密码是否正确。 2. 后端通过Spring Security的AuthenticationManager对用户进行身份验证。 3. 如果用户名和密码正确,后端会生成一个JWT(JSON Web Token)并返回给前端。 4. 前端收到JWT后,保存在本地存储中,比如Local Storage。 5. 用户在之后的请求中,前端会将JWT放在请求的Header中进行发送。 6. 后端通过Spring Security的JwtAuthenticationFilter拦截请求,解析JWT,并进行用户身份认证。 7. 如果JWT有效且用户已通过认证,后端会进行鉴权,判断用户是否有权限访问请求的资源。 8. 如果鉴权通过,后端返回请求的资源给前端
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JH3073

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值