Spring Security 是一个基于 Spring 的安全框架,它提供了一系列的接口和类来实现身份验证、授权、访问控制等安全功能。其中,Spring Security 核心接口包括:
- Authentication:表示用户的身份认证信息,包括用户名、密码、权限等信息。
- AuthenticationManager:用于对用户的身份进行认证,验证用户的用户名和密码是否正确,并返回认证后的 Authentication 对象。
- UserDetailsService:用于在认证过程中根据用户名加载用户信息,包括用户名、密码、权限等信息。
- UserDetails:用于存储用户的详细信息,包括用户名、密码、权限等信息。通常由 UserDetailsService 返回,作为 Authentication 对象的一部分。
- AccessDecisionManager:决定用户是否有权访问特定的资源,它根据用户的身份、所请求的资源以及用户被授予的权限,来决定是否允许用户访问该资源。
- FilterSecurityInterceptor:用于保护 Web 应用程序中的特定 URL 资源,它根据用户的身份、所请求的资源以及用户被授予的权限,来决定是否允许用户访问该资源。
- GrantedAuthority 接口表示用户被授予的权限,Spring Security 中的授权是基于权限的授权。该接口通常由实现了该接口的类来表示用户的权限,如 SimpleGrantedAuthority。
- FilterSecurityInterceptor 接口用于保护 Web 应用程序中的特定 URL 资源,它根据用户的身份、所请求的资源以及用户被授予的权限,来决定是否允许用户访问该资源。实现类通常需要将其配置到 Spring Security 过滤器链中,以实现访问控制功能。
- SecurityContext 接口用于存储当前用户的身份认证信息,包括 Authentication 对象和其他安全相关的信息。实现类通常需要将 SecurityContext 存储在 HttpSession 中,以便在整个应用程序中共享当前用户的身份认证信息。
- SecurityContextHolder 类用于访问 SecurityContext 对象,提供了一系列的静态方法来获取和设置 SecurityContext 对象,以便在整个应用程序中共享当前用户的身份认证信息。实现类通常需要使用 SecurityContextHolder 来获取当前用户的身份认证信息。
- AuthenticationProvider:用于对用户的身份进行认证,与 AuthenticationManager 类似,但是可以实现多种认证方式,如用户名密码认证、LDAP 认证等。
- RememberMeAuthenticationToken:用于在用户登录时,通过“记住我”功能,在用户下次访问该应用程序时,可以直接使用该令牌来自动登录。
- RememberMeServices:用于处理“记住我”功能,当用户勾选“记住我”选项时,该服务将生成一个记住令牌并存储在用户的浏览器中,以便在下次访问该应用程序时自动登录。
- SessionRegistry:用于管理应用程序中所有用户的会话信息,包括会话 ID、用户名等信息,以便在用户注销或超时时进行清理。
- LogoutHandler:用于处理用户注销操作,包括清除用户的身份认证信息、清除用户的会话信息等。
- LogoutSuccessHandler:用于处理用户注销成功后的操作,如重定向到登录页面等。
- CsrfTokenRepository:用于存储 CSRF 令牌并验证 CSRF 攻击。
- CsrfToken:用于表示 CSRF 令牌,包括令牌的值、过期时间等信息。
- AccessDeniedHandler:用于处理用户没有访问权限时的操作,如重定向到错误页面等。
- AuthenticationEntryPoint:用于处理未经身份认证的用户访问受保护的资源时的操作,如重定向到登录页面等。
- SecurityMetadataSource:用于从应用程序中的配置信息中获取访问控制信息,包括 URL、角色等信息。
- FilterInvocationSecurityMetadataSource:用于从应用程序中的配置信息中获取访问控制信息,并与请求的 URL 进行匹配,以确定是否允许访问该资源。
- WebSecurityExpressionHandler:用于解析 Spring Security 中的表达式,以便在访问控制中使用。 以上是 Spring Security 中的一些接口,它们各自的作用如上所述。
660
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
