Spring Security详解(一)认证之核心组件和服务

最新推荐文章于 2023-08-12 06:00:00 发布
最新推荐文章于 2023-08-12 06:00:00 发布
阅读量1.9w 收藏 182
点赞数 45
分类专栏: Spring Security 文章标签: java spring spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_29899265/article/details/80653167
版权

文章目录

什么是Spring Security验证?

让我们考虑一个大家都很熟悉的标准的验证场景。

  1. 提示用户输入用户名和密码进行登录。
  2. 该系统 (成功) 验证该用户名的密码正确。
  3. 获取该用户的环境信息 (他们的角色列表等).
  4. 为用户建立安全的环境。
  5. 用户进行,可能执行一些操作,这是潜在的保护的访问控制机制,检查所需权限,对当前的安全的环境信息的操作。
    而对于Spring Security来说,假设是用户名密码登陆,那执行顺序就是:
  1. 用户通过url:/login 登录,该过滤器接收表单用户名密码
  2. 判断用户名密码是否为空
  3. 生成 UsernamePasswordAuthenticationToken
  4. 将 Authentiction 传给 AuthenticationManager#authenticate 方法进行认证处理
  5. AuthenticationManager 默认是实现类为 ProviderManager ,ProviderManager 委托给 AuthenticationProvider 进行处理
  6. UsernamePasswordAuthenticationFilter 继承了 AbstractAuthenticationProcessingFilter 抽象类,AbstractAuthenticationProcessingFiltersuccessfulAuthentication 方法中对登录成功进行了处理,通过 SecurityContextHolder.getContext().setAuthentication() 方法将 Authentication 认证信息对象绑定到 SecurityContext
  7. 下次请求时,在过滤器链头的 SecurityContextPersistenceFilter 会从 Session 中取出用户信息并生成 Authentication(默认为 UsernamePasswordAuthenticationToken),并通过 SecurityContextHolder.getContext().setAuthentication() 方法将 Authentication 认证信息对象绑定到 SecurityContext
  8. 需要权限才能访问的请求会从 SecurityContext 中获取用户的权限进行验证

下面来逐个分析一下每个类。

1.核心组件

这一节主要介绍一些Spring Security中核心的java类,他们之间的依赖,构建起了整个框架。

1.1 SecurityContextHolder

SecurityContextHolder 是最基本的对象,它负责存储当前安全上下文信息。即保存着当前用户是什么,是否已经通过认证,拥有哪些权限。。。等等。SecurityContextHolder默认使用**ThreadLocal**策略来存储认证信息,意味着这是一种与线程绑定的策略。在Web场景下的使用Spring Security,在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息。而在非Web场景下,比如Swing环境下,Spring提供在启动时使用策略配置SecurityContextHolder。这部分具体的配置请自行翻阅官方文档。我就不在此赘述了,之后的讲解也将基于Web场景。

获取有关当前用户的信息
Spring Security使用一个Authentication对象来表示这些信息。通常不需要自己创建一个Authentication对象,但可以在程序的任何一个地方获取到用户信息,下面时官方提供的获取用户信息:


Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
   
	String username = ((UserDetails)principal).getUsername();
} else {
   
	String username = principal.toString();
}

1.2 Authentication

首先看一下源码:

package org.springframework.security.core;

public interface Authentication extends Principal, Serializable {
    
    Collection<? extends GrantedAuthority> getAuthorities();  

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated(); 

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

从这个接口中,我们可以得到用户身份信息,密码,细节信息,认证信息,以及权限列表,具体的详细解读如下:

  • getAuthorities(),权限列表,通常是代表权限的字符串列表;
  • getCredentials(),密码信息,由用户输入的密码凭证,认证之后会移出,来保证安全性;
  • getDetails(),细节信息,Web应用中一般是访问者的ip地址和sessionId;
  • getPrincipal(), 最重要的身份信息,一般返回UserDetails的实现类;

官方文档里说过,当用户提交登陆信息时,会将用户名和密码进行组合成一个实例UsernamePasswordAuthenticationToken,而这个类是Authentication的一个常用的实现类,用来进行用户名和密码的认证,类似的还有RememberMeAuthenticationToken,它用于记住我功能。

1.3 UserDetails

上文提到了UserDetails接口,它代表了最详细的用户信息,这个接口涵盖了一些必要的用户信息字段,具体的实现类对它进行了扩展,首先来看一下源码:

public interface UserDetails extends Serializable {
   

   Collection<? extends GrantedAuthority> getAuthorities();

   String getPassword();

   String getUsername();

   boolean isAccountNonExpired();

   boolean isAccountNonLocked();

   boolean isCredentialsNonExpired();

   boolean isEnabled();
}

它和Authentication接口类似,都包含了用户名,密码以及权限信息,而区别就是Authentication中的getCredentials来源于用户提交的密码凭证,而UserDetails中的getPassword取到的则是用户正确的密码信息,认证的第一步就是比较两者是否相同,除此之外,Authentication#getAuthorities是认证用户名和密码成功之后,由UserDetails#getAuthorities传递而来。而Authentication中的getDetails信息是经过了AuthenticationProvider认证之后填充的。

1.4 UserDetailsService

最低0.47元/天 解锁文章
Jagger-Wang
关注
  • 45
    点赞
  • 182
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
SpringSecurity详解
m0_71012114的博客
10-19 5023
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
详解Spring Security认证流程
08-25
其中,身份验证是Spring Security核心功能之一,本文将详细介绍Spring Security认证流程。 一、过滤器认证过程 Spring Security认证流程可以分为三个步骤: 1. Filter拦截请求,生成一个未认证的...
Spring Security 入门详解
weixin_34405354的博客
10-24 129
序:本文主要参考 spring实战 对里面的知识做一个梳理 1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术.   Spring security主要是从两个方面解决安...
spring_security安全框架详解
热门推荐
Benjamin
09-05 1万+
本文是在项目中用到Spring Security3来进行登录验证时才进行学习的,写的比较片面,请大家提出问题。 首先要在web.xml中配置 <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath*:/applicationContext.xml classpath*:/applicationContext-security.xml <!--classpath*:/applicationC
Spring Security 部分详解
RichardGeek的博客
08-01 950
简介: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应...
SpringSecurity认证流程详解
08-27
ProviderManagerSpringSecurity 中的一个核心组件,它负责管理所有的认证 Provider,并将用户的请求转发到相应的 Provider 中去。在 Provider 中,将对用户进行认证和授权,并返回认证结果给 ProviderManager。...
详解spring security之httpSecurity使用示例
08-27
详解 Spring Security 之 HttpSecurity 使用示例 Spring Security 是一个功能强大且广泛使用的 Java 安全框架,旨在提供身份验证、授权和其他安全功能。HttpSecuritySpring Security 中的一个重要组件,负责...
Spring Security认证提供程序示例详解
08-26
Spring Security中,认证提供程序(Authentication Provider)是核心组件之一,负责处理用户的认证请求并确定用户的身份是否有效。这个教程将深入讲解如何在Spring Security中配置和使用自定义的认证提供程序。 1...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序(AuthenticationProvider)以适应不同的业务需求。本文将详细介绍...
Spring Security讲解
qq_35952089的博客
09-20 646
Spring Security简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。 Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求。 Spring Security工作流程 1、登录...
详解Spring Security
m0_69860228的博客
05-14 624
简析Spring Security May 13, 2022JavaSpringSpring Security Spring Security 提供了灵活简便的方式进行服务安全相关的配置。如下,只需要简单几行代码即可完成一个基于 JWT Token 的 API 服务认证设置: @Configuration public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Override pr...
Spring Security 详解
阿水的博客
03-28 1239
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。
SpringSecurity 详解(通俗易懂)
最新发布
风也温柔☆的博客
08-12 2246
2、退出,从SecurityContextHolder中拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token中解析出userId,通过userid查redis,查到(从redis中获取用户信息),查不到 认证失败(重新登录)
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4539
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
Spring Security框架详解
BASK2311的博客
05-12 174
Spring Security是一个基于Spring框架的认证和授权框架,它提供了各种工具和框架来保护基于Spring的应用程序。用户认证和授权保护Web应用免受各种攻击,如跨站点脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)和点击劫持攻击使用基于角色和权限的访问控制来保护应用程序资源带有单点登录(SSO)功能,可以将多个应用程序集成到一个中央身份验证系统与其他Spring框架,如Spring MVC和Spring Boot,提供可定制的集成。
spring security 原理讲解(二)
clouderpig的博客
03-28 307
1、权限缓存:CachingUserDetailsService:实现UserDetailsService,加载UserDetails时先从缓存获取,没有才去持久的UserDetailsService实现类获取,再放到缓存。 2、security 自定义决策管理器:AbstractAccessDecisionManager,核心方法是supports方法,含有AccessDecisionVote...
Spring Security详解三:核心组件
骑个小蜗牛的博客
04-29 3043
核心组件 1.SecurityContextHolder SecurityContextHolder持有安全上下文(security context)的信息,可以通过SecurityContextHolder.getContext静态方法获取。 当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等,这些都被保存在SecurityContextHolder中。 SecurityContextHolder默认使用ThreadLocal 策略来存储认证信息。看到ThreadLocal 也就意味着,这是一
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值