spring security中几大组件的作用和执行顺序

已于 2024-09-12 16:12:27 修改
阅读量201 收藏 4
点赞数 1
文章标签: java spring
于 2024-09-11 23:16:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010843422/article/details/142152835
版权

spring security中几大组件的作用和执行顺序

在Spring Security中,AuthenticationProviderGroupPermissionEvaluatorPermissionEvaluatorAbstractAuthenticationProcessingFilterDefaultMethodSecurityExpressionHandlerManageSecurityExpressionRoot 都是与认证和授权相关的组件,它们各自有不同的职责和执行顺序。

  1. AuthenticationProvider
    AuthenticationProvider 是Spring Security中用于认证的核心接口。它负责接收一个 Authentication 对象,验证其凭据,并返回一个完全认证的 Authentication 对象,或者在认证失败时抛出 AuthenticationExceptionAuthenticationProvider 可以自定义,以支持不同类型的认证机制。

  2. GroupPermissionEvaluator
    GroupPermissionEvaluator 是一个特定于Spring Security的类,它用于评估用户是否具有对某个组的权限。这个类通常不是直接实现的,而是作为 PermissionEvaluator 的一个实现来使用。在Spring Security 5.4及更高版本中,GroupPermissionEvaluator 已经被标记为过时(deprecated),因为它的功能被合并到了更通用的 PermissionEvaluator 接口中。

  3. PermissionEvaluator
    PermissionEvaluator 接口用于在方法安全和表达式评估中确定用户是否对给定的域对象有特定的权限。它提供了两个方法:hasPermission(Authentication authentication, Object targetDomainObject, Object permission)hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission)。这些方法可以用来评估用户对特定对象的访问权限。

  4. AbstractAuthenticationProcessingFilter
    AbstractAuthenticationProcessingFilter 是一个抽象的过滤器,它处理来自用户的认证请求。它通常不直接使用,而是通过继承来实现具体的认证逻辑,如 UsernamePasswordAuthenticationFilter 用于处理表单登录。

  5. DefaultMethodSecurityExpressionHandler
    DefaultMethodSecurityExpressionHandler 是Spring Security中用于处理方法安全性表达式的处理器。它允许在方法调用中使用安全表达式,如 @PreAuthorize@PostAuthorize 等注解。

  6. ManageSecurityExpressionRoot
    ManageSecurityExpressionRoot 是一个特殊的类,它提供了对安全上下文的访问,使得在表达式中可以方便地使用 Authentication 对象和其他安全相关的信息。

执行顺序

  • AbstractAuthenticationProcessingFilter 通常在过滤器链中首先被调用,它拦截登录请求并开始认证过程。
  • AuthenticationProvider 随后被 AuthenticationManager 调用,以验证 Authentication 对象中的凭据。
  • 如果认证成功,PermissionEvaluator 可能在后续的某个点被调用,以确定已认证的用户是否具有执行特定操作的权限。
  • GroupPermissionEvaluator 作为 PermissionEvaluator 的一部分,可能在权限评估过程中被使用,尤其是在处理基于组的权限时。
  • DefaultMethodSecurityExpressionHandlerManageSecurityExpressionRoot 通常在方法安全性检查时被使用,这通常发生在认证和授权过程之后。

这些组件共同工作,提供了一个灵活且强大的认证和授权框架。

阿信在这里
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20个SpringSecurity框架核心组件详解
威哥爱编程,CSDN 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
03-22 1114
其运行过程是在用户发送请求时被调用,根据请求的路径匹配相应的 SecurityFilterChain,并按照配置的安全过滤器链对请求进行处理。SecurityContextHolder 是 Spring Security 中非常重要的组件之一,它为安全框架的运行提供了关键的支持。通过配置不同的过滤器链,开发人员可以实现灵活的安全策略,包括身份验证、授权、会话管理等功能。通常情况下,开发人员需要实现自己的 UserDetails 类,从数据源中加载用户信息,并提供相应的方法来获取用户的身份信息和权限信息。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
SpringSecurity 核心组件介绍 + 认证流程 +内置拦截器顺序
From Zero To Hero
06-17 7908
目录 一、SpringSecurity 核心组件介绍 SecurityContextHolder SecurityContext AuthenticationManager ProviderManager AuthenticationProvider Authentication GrantedAuthority UserDetails UserDetailsServi...
Spring Security 过滤器链基础组件
Littlemotor
08-09 2054
Spring Security中的所有功能都是通过过滤器来实现的,这些过滤器组成一个完整的过滤器链。
Spring Security如何在Servlet中执行
08-19
以下是关于Spring Security如何在Servlet中执行的详细说明: 1. **Servlet Filter Chain**: Servlet Filter Chain是由`javax.servlet.Filter`接口的实现类组成的,用于在HTTP请求到达Servlet之前进行预处理。每个...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 中,FilterChainProxy 是一个核心组件,负责代理众多的 Spring Security Filter。FilterChainProxy 在 WebSecurityConfiguration 中以 springSecurityFilterChain 的名称注册为 Spring Bean。...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序(AuthenticationProvider)以适应不同的业务需求。本文将详细介绍...
狂神Spring Security静态资源
12-30
Spring Boot中,Spring Security 提供了简洁的API和自动化配置,使得开发者能够快速集成安全功能。在这个名为"狂神Spring Security静态资源"的资料中,我们可以期待学习到关于如何保护Web应用中的静态资源不被未经...
spring事务详细讲解-深入浅出
小电玩
09-08 460
Spring 事务是本身就是对数据库的事务的支持,没有数据库的事务 Spring 是本身无法实现事务的。Spring只提供了统一事务管理接口,具体的实现还是由各数据库自己实现。在使用 Spring 事务时,可以通过注解或编程方式将需要进行事务管理的方法和代码块标记为事务性操作,当这些操作被执行时,Spring 会负责开启时根据当前环境中设置的隔离级别,调整数据库隔离级别。
Java多线程:深入探索与详细解析
m0_63550220的博客
09-08 1445
作为Java中的基本执行单元,线程是轻量级的进程,由线程ID、程序计数器、Java虚拟机栈、本地方法栈、和线程私有内存等部分组成。每个线程都有独立的执行路径,但共享进程的资源(如内存)。:进程是系统资源分配的基本单位,它包含了一个或多个线程以及这些线程运行所需的资源。在Java中,JVM(Java虚拟机)就是一个进程,而运行在JVM上的多个线程则共享JVM的内存空间。:并发指的是多个任务在同一时间段内交替执行,而并行则指的是多个任务在同一时刻真正同时执行。
Java集合:Stack详解
最新发布
yang_brother的博客
09-10 516
Java 中的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码中不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
自定义Stater
m0_63624484的博客
09-07 709
我们平时在导入依赖的时候,大部分导入的都是xxx-spring-boot-stater。那是因为它们都基于spring的规则将写好的框架定义成一个stater,这样方便springboot引用它们写好的功能。那我们为什么也要自定义stater呢?
币安/OK现货合约量化系统APP开发
I592O929783的博客
09-08 532
后端:考虑系统需要处理大量实时数据和高频交易的特点,选择高性能的编程语言和技术框架,如Python的Django或Flask框架,JavaSpring Boot等。用户交互界面:设计直观易用的用户交互界面,包括交易界面、策略配置界面、风险管理界面等,方便用户进行交易操作、策略配置和风险管理。市场数据接入:开发市场数据接入模块,从币安等交易所或数据服务商获取实时的市场数据,包括行情数据、订单簿数据、成交数据等。前端:选择适合开发复杂界面的前端框架,如React、Vue.js等,以提供用户友好的交互界面。
基于SpringBoot的旅游管理系统
heye0910032的博客
09-08 376
随着科技的发展,旅游管理系统的信息化成为提升旅游服务效率的关键。本系统采用JSP技术和SpringBoot框架,结合MySQL数据库,旨在实现一个功能全面、操作简便、安全可靠的旅游管理平台。系统通过需求分析、系统设计、功能实现和测试,确保了良好的用户体验和数据处理能力,为旅游业务的现代化管理提供了强有力的技术支持。本研究成功开发了一个基于SpringBoot的旅游管理系统,该系统通过集成多种旅游管理功能,显著提高了旅游服务的效率和质量。系统的用户友好界面和强大的后端功能,使得管理员和用户都能从中受益。
MyBatis面试
Tony_yitao的博客
09-09 661
MyBatis面试
Linux服务器Java启动脚本
Jack魏
09-08 547
本文章介绍了如何在Linux服务器上执行Java并启动jar包,通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动,那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。
springboot数据库连接由localhost改成IP以后访问报错500(2024/9/7
不起眼小菜菜的博客
09-07 317
步骤很详细,直接上教程……
SpringBoot总结
2302_77073236的博客
09-06 289
都做成图了,方便理解和掌握全局关系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值