Spring security 基本原理(一)

最新推荐文章于 2023-05-16 07:47:25 发布
最新推荐文章于 2023-05-16 07:47:25 发布
阅读量217 收藏
点赞数
分类专栏: SpringSecurity 文章标签: spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taojin12/article/details/116461746
版权

Spring Security介绍

Spring Security 是一个基于Spring的安全框架,Spring boot更好的集成了Spring Security的开发工作。在Spring 框架基础上,Spring Security 充分利用了依赖注入DI和 面向切面编程AOP功能,为应用系统提供声明式的安全访问控制功能,减少了企业安全控制编写大量重复代码的功能,是一个轻量级的安全框架。

Spring Security 的核心功能有哪些?

1、 认证(Authentication):指的是验证某个用户是否为系统的合法主体,也就是说用户能否访问该系统。
2、授权(Authorization):指的是验证某个用户是否有权限执行某个操作。

Spring Security原理

在这里插入图片描述
Spring Security 功能实现主要是由一系列的过滤器链相互配合完成的。
绿色的过滤器链可以通过配置进行修改的,其他部分的过滤器不能进行更改。

请求过程:

  • 请求通过UsernamePasswordAuthenticationFilter获取用户信息
  • ExceptionTransationFilter是认证异常进行捕获,
  • FilterSecurityInterceptor 是对在 WebSecurityConfigurerAdapter的实现类中的指定的权限进行验证。
  • 处理自己实现的controller 接口代码。

1、springSecurityFilterChain中各个过滤器怎么创建的只需了解即可。不要太过关注。

2、重点记忆UsernamePasswordAuthenticationFilter,ExceptionTranslationFilter, FilterSecurityInterceptor这三个过滤器的作用及源码分析。

3、重点记忆认证中Authentication,AuthenticationManager,ProviderManager, AuthenticationProvider,UserDetailsService,UserDetails这些类的作用及源码分析。

4、重点记忆授权中FilterInvoction,SecurityMetadataSource,AccessDecisionManager的作用。

框架的核心组件

SecurityContextHolder: 提供对SecurityContext的访问。
SecurityContext: 持有uthentication对象和其他可能需要的信息。
AuthenticationManager: 其中可以包含多个AuthenticationProvider。
ProviderManager: 为AuthenticationManager接口的实现类。
AuthenticationProvider: 主要用来进行认证操作的类,调用其中的authenticate()方法进行认证操作。
Authentication: Spring Security方式的认证主体。
GrantedAuthority: 对认证主题的应用层面的授权,含当前用于的权限信息,通常使用角色表示。
**UserDetails:**构建Authentication对象必须的信息,可以自定义,可能需要访问db得到。
**UserDetailsService:**通过username构建UserDetails对象,通过loadUserByUsername根据username获取UserDetails对象。

基于Spring boot的demo

1、 添加依赖

添加依赖后,默认所有的请求就都需要进行验证。

   <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2、自定义配置

实现WebSecurityConfigurerAdapter 类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 定义请求方式 是form表单 还是 basics模式
        http.formLogin()
//          http.httpBasic()
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();
    }
}

3、controller

@Controller
public class HelloController {

    @GetMapping("/hello")
    @ResponseBody
    public String hello () {
        return "hello spring security";
    }
}

当请求 /hello 时会自动跳转到login登录页面。
需要在配置类中 指定为 form表单格式。

basic模式:是通过请求头Authentication: Basic 的方式进行传输用户信息,在BasicAuthenticationFilter中进行base64 解码,获取用户信息。

taojin12
关注
专栏目录
SpringSecurity基本原理
11-12
Security基本执行过程的分析和各个环节类执行的分析。
Spring Security基本原理
花&败
07-17 3344
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
Spring Security框架原理及解析
多看多听多总结
07-26 1949
Spring Security框架原理及解析
Spring Security原理
qixiang_chen的博客
06-30 1492
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 4115
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 1094
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
加密算法的基本过程是将原始明文数据经过某种算法处理,变成不可读的一段代码,即密文。哈希算法是一种不可逆的算法,即无法通过哈希值来确定唯一的输入值。哈希算法将任意长度的输入通过散列算法变换成固定长度的...
SpringSecurity.pdf
05-24
入门阶段主要是了解Spring Security的基本概念和配置方法。进阶阶段需要深入学习如何定制认证和授权流程、如何集成各种认证方式以及如何在实际项目中进行应用。高级阶段则涉及框架的原理深入、性能优化、安全漏洞的...
SpringSecurity素材.rar
03-02
1. **SpringSecurity简介**:首先会介绍SpringSecurity的基本概念和架构,包括它如何通过层层过滤器保护Web应用,以及它提供的主要组件如Authentication(认证)和Authorization(授权)。 2. **配置SpringSecurity...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity——基本原理
小志的博客
09-22 3122
一、Spring Security的理解 Spring Security最核心的是过滤器链,也就是一组过滤器(Filter),所有的访问服务的请求都会经过spring security的过滤器,服务的响应也会经过spring security的过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring Security的工作原理
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
Spring Security 工作原理概览
热门推荐
江南一点雨的专栏
04-27 9万+
本文由读者 muggle 投稿,muggle 是一位具备极客精神的90后单身老实猿,对 Spring Security 有丰富的使用经验,muggle 个人博客地址是 h...
Spring Security原理简介
justlpf的专栏
05-19 3472
参考文章:Spring Boot框架整合Spring Security实现安全访问控制 SpringSecurity核心组件 Spring Security做JWT认证和授权--import SpringBoot中使用Shiro和JWT做认证和鉴权--import Spring Security安全访问控制分为Authentication(认证)和Authorization(授权,...
spring security 基本原理
weixin_47460834的博客
06-27 1279
spring security本质上就是一个过滤器链(javaweb),由很多个过滤器组成,大概有十几个;其中比较典型的过滤器:其实spring security出现得比springboot还要早,但是自从有了spirngboot之后,springboot对spring security提供了自动化配置方案,可以使用更少配置来使用。虽然有springboor,还是要了解spring security过滤器加载过程:在spring security应用中会用到两个重要的接口: 在实际项目中,账号和
基于注解的Spring Security原理解析
icarusliu的专栏
12-07 1万+
概述:Spring Security就是引入了一系列的SecurityFilter,将其添加到Spring中去了;在有请求时,根据URL是否符合每个Filter的规则来判断是否需要该Filter来进行处理。
Spring Security学习——核心原理
Benson的博客
01-29 445
Spring Security学习——核心原理       Spring SecuritySpring生态系统的一个安全组件,而且和Spring MVC整合非常方便。Spring Security最基本的原理是基于J2EE的拦截器原理,拦截器会形成一个拦截器链,这是一种责任链设计模式。Spring Security使用实现的一些拦截器来对访问的url进行拦截,通过对缓存中的角色进行相应判定后决
springsecurity基本原理
最新发布
06-09
Spring Security 是一款基于 Spring 框架的安全框架,其基本原理可概括如下: 1. 认证(Authentication):Spring Security 提供了多种认证方式,包括表单认证、HTTP 基本认证、OpenID 认证、LDAP 认证等,可以根据具体需求进行选择。认证的目的是验证用户身份以及权限信息。 2. 授权(Authorization):Spring Security 支持基于角色的访问控制(Role-Based Access Control, RBAC)和基于资源的访问控制(Resource-Based Access Control, RBAC),通过授权可以限制用户访问资源的权限。 3. 过滤器链(Filter Chain):Spring Security 的核心就是一系列过滤器,这些过滤器组成了一个过滤器链,每个过滤器负责不同的安全功能。比如,UsernamePasswordAuthenticationFilter 是用来处理用户名密码认证请求的过滤器,AccessDecisionManager 是用来进行授权决策的过滤器等。 4. 安全上下文(Security Context):Spring Security 通过 SecurityContextHolder 来管理安全上下文,其中包括了认证信息、授权信息等。 5. 集成其他框架(Integration with Other Frameworks):Spring Security 可以和其他框架进行集成,比如 Spring MVC、Spring Boot、Spring Cloud 等,以实现更完善的安全保护。 综上所述,Spring Security基本原理是基于认证、授权、过滤器链、安全上下文以及集成其他框架等实现的,可以帮助开发者快速实现安全保护功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值