spring security的认证和授权流程

最新推荐文章于 2024-03-05 00:33:46 发布
最新推荐文章于 2024-03-05 00:33:46 发布
阅读量1.2w 收藏 93
点赞数 12
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011066470/article/details/119086893
版权

一.springsecurity的认证流程

1.1 常用过滤器

SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明

WebAsyncManagerIntegrationFilter

将 Security 上下文与 Spring Web 中用于

处理异步请求映射的 WebAsyncManager 进行集成

SecurityContextPersistenceFilter

在每次请求处理之前将该请求相关的安全上

下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将

SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将

SecurityContextHolder 中的信息清除,例如在 Session 中维护一个用户的安全信

息就是这个过滤器处理的。

HeaderWriterFilter

用于将头信息加入响应中

CsrfFilter

用于处理跨站请求伪造

LogoutFilter

用于处理退出登录

UsernamePasswordAuthenticationFilter

用于处理基于表单的登录请求,从表单中

获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码

时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个

过滤器的 usernameParameter 和 passwordParameter 两个参数的值进行修改

DefaultLoginPageGeneratingFilter

如果没有配置登录页面,那系统初始化时就会

配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。

BasicAuthenticationFilter

检测和处理 http basic 认证

RequestCacheAwareFilter

用来处理请求的缓存

SecurityContextHolderAwareRequestFilter

主要是包装请求对象 request

AnonymousAuthenticationFilter

检测 SecurityContextHolder 中是否存在

Authentication 对象,如果不存在为其提供一个匿名 Authentication

SessionManagementFilter

管理 session 的过滤器

ExceptionTranslationFilter

处理 AccessDeniedException 和

AuthenticationException 异常。

FilterSecurityInterceptor

可以看做过滤器链的出口

RememberMeAuthenticationFilter

当用户没有登录而直接访问资源时, 从 cookie

里找出用户的信息, 如果 Spring Security 能够识别出用户提供的 remember me cookie,

用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

1.2 认证的宏观流程

Spring Security 采取过滤链实现认证与授权,只有当前过滤器通过,才能进入下一个过滤器绿色部分是认证过滤器,需要我们自己配置,可以配置多个认证过滤器。认证过滤器可以使用 Spring Security 提供的认证过滤器,也可以自定义过滤器(例如:短信验证)。认证过滤器要在 configure(HttpSecurity http)方法中配置,没有配置不生效

1.UsernamePasswordAuthenticationFilter 过滤器:该过滤器会拦截前端提交的 POST 方式的登录表单请求,并进行身份认证。

2.ExceptionTranslationFilter过滤器:该过滤器不需要我们配置,对于前端提交的请求直接放行,捕获后续抛出的异常并进行处理(例如:权限访问限制)。

3.FilterSecurityInterceptor 过滤器:该过滤器是过滤器链的最后一个过滤器,根据资源权限配置来判断当前请求是否有权限访问对应的资源。如果访问受限会抛出相关异常,并由 ExceptionTranslationFilter 过滤器进行捕获和处理。

从上图中可以看到Spring Security第一个拦截器是SecurityContextPersistenceFilter它主要存放用户的认证信息。然后进入第二个拦截器UsernamePasswordAuthenticationFilter它主要用来拦截Spring Security拦截用户密码表单登录认证使用默认,当发现请求是Post,请求地址是/login,且参数包含了username/password时,就进入了认证环节)。

1.3 代码详情分析

认证流程是在 UsernamePasswordAuthenticationFilter 过滤器中处理的,具体流程如下所示:

 

1.4 代码详情

后续补充,见sgg的pdf

二.springsecurity的授权流程

2.1 授权流程

授权主要涉及两个过滤器:ExceptionTranslationFilter 过滤器和 FilterSecurityInterceptor 过滤器。

2.1.1 ExceptionTranslationFilter 过滤器
该过滤器是用于 处理异常的,不需要我们配置,对于前端提交的请求会直接放行 ,捕获后
续抛出的异常并进行处理(例如:权限访问限制)。具体源码如下:

2.1.2 FilterSecurityInterceptor 过滤器 

FilterSecurityInterceptor 是过滤器链的最后一个过滤器 ,该过滤器是过滤器链的最后一个过滤器, 根据资源权限配置来判断当前请求是否有权限访问对应的资源 。如果访问受限会抛出相关异常,最终所抛出的异常会由 前一个过滤器ExceptionTranslationFilter 进行捕获和处理。

需要注意, Spring Security 的过滤器链是配置在 SpringMVC 的核心组件 DispatcherServlet 运行之前 。也就是说,请求通过 Spring Security 的所有过滤器, 不意味着能够正常访问资源 该请求还需要通过 SpringMVC 的拦截器链。

三 认证信息的共享存储

3.1 流程图

查 看 SecurityContext 接 口 及 其 实 现 类 SecurityContextImpl , 该 类 其 实 就 是 对
Authentication 的封装:
查 看 SecurityContextHolder 类 , 该 类 其 实 是 对 ThreadLocal 的 封 装 , 存 储
SecurityContext 对象

 流程:

在 UsernamePasswordAuthenticationFilter 过滤器认证成功之 后,会在认证成功的处理方法中将已认证的用户信息对象 Authentication 封装进 SecurityContext,并存入 SecurityContextHolder之后,响应会通过 SecurityContextPersistenceFilter 过滤器,该过滤器的位置在所有过滤器的最前面。

认证成功的响应通过 SecurityContextPersistenceFilter 过滤器时,会从 SecurityContextHolder 中取出封装了已认证用户信息对象 Authentication 的SecurityContext,放进 Session 中。当请求再次到来时,请求首先经过该过滤器,该过滤器会判断当前请求的 Session 是否存有 SecurityContext对象,如果有则将该对象取出再次放入 SecurityContextHolder 中,之后该请求所在的线程获得认证用户信息,后续的资源访问不需要进行身份认证;当响应再次返回时,该过滤器同样从 SecurityContextHolder 取出SecurityContext 对象,放入 Session 中。

 

健康平安的活着
关注
  • 12
    点赞
  • 93
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring security认证授权流程
weixin_47618391的博客
05-27 5286
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security认证授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
详解Spring Security认证流程
08-25
主要介绍了Spring Security认证流程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity案例以及文档.zip
03-24
博客地址: http://t.csdn.cn/tjxOM 关于OAuth2.0的介绍,网上有很多说明的文章了,这里就不做展开详细讲解,只是把必要的示意图贴上,再简单说明,方便后面复习。 如下是官方给出的认证过程示意图: Client,指发起认证流程的一方,比如某个APP、Web站点; Resource Owner,指在Resource Server上拥有资源的一方,需要访问Client,并允许Client从Resource Server获取到自己的信息; Authorization Server,为了保护Resource Owner在Resource Server上的资源,对Client进行认证授权的服务; Resource Server,存放Resource Owner的资源,为Client提供获取Resource Owner的资源的服务;
Spring Security认证授权流程
2303_78503642的博客
03-05 2099
在以上代码的for循环中,第一次拿到的 provider 是一个 Anonymous Authentication Provider。Spring Security会监听这个事件,接收到这个Authentication对象,进而调用 SecurityContextHolder.getContext().setAuthentication(...)方法,将 Authentication Manager返回的 Authentication对象,存储在当前的 Security Context 对象中。
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的方式,从源码渗入开始,完成Spring Security基本的“认证”和“授权”功能讲解,其中还会融合“记住我”,CSRF拦截等技术。 然后,我们会在SpringBoot环境中,继续展开Spring Security更深度的学习,这时的认证,也会转化成分布式方式。 springSecurity认证流程图【附带记住我功能】: 3、课程亮点 Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
SpringSecurity登录认证流程
weixin_52353216的博客
11-07 2406
springsecurity的登录认证流程及对源码的一些解读
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 1万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 3878
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证授权。​ 而认证授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security进行登录认证授权
afjja的博客
08-19 5815
我们要定制化实现接口来达到从数据库查询用户信息,所以重新写一个实现类。然后认证通过使用用户id生成一个jwt(也就是token),然后用userId作为key,用户信息作为value存入redis中。用户第一次登陆认证流程如下图。导入依赖
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
SpringSecutiry实现认证授权功能,整合SpringBoot
07-02
本资源通过SpringBoot整合SpringSecurity框架,实现对用户的认证授权功能,其中写了多个小demo,并且对SpringSecuirty进行了相应的配置,读者通过本资源可以得到关于SpringSecurity认证授权知识,以及相关的流程
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
SpringSecurity底层原理和认证授权流程总结
希望和大家多多交流技术!
01-03 2622
安全框架(springsecurity、shiro等)主要分为两个部分: 认证:系统认为用户是否能登录 授权:系统判断用户是否有权限去做某些事情 项目主要使用了:基于token的用户权限认证授权 模块一:登录时springsecurity获取用户的信息,比如用户名、密码、和查数据库得到其权限列表 如果系统的模块众多,每个模块都需要进行授权认证,所以我们选择基于 token 的形式 进行授权认证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限 值,并以用户名为 key.
SpringSecurity超详细入门介绍
波波烤鸭的博客
12-02 2万+
  权限管理是我们项目中必不可少的一环,实际项目中我们可以自己设计权限管理模块,也可以使用市面上成熟的权限管理框架,比如 shiro或者 SpringSecurity等,前面已经详细的介绍过了 shiro 的使用,本文开始就给大家详细的来介绍下SpringSecurity的使用。 内容包括 spring+springmvc基于配置的方式详细介绍SpringSecurity springboot整...
SpringSecurity授权流程详解和代码实现
qq_44749491的博客
06-30 4804
承接上一篇博客SpringSecurity认证流程详解和代码实现除了使用自带的权限校验方法,也可以定义自己的权限校验方法,在注解中使用自定义的方法。//获取当前用户的权限 Authentication authentication = SecurityContextHolder . getContext() . getAuthentication();//判断用户权限集合中是否存在authority return permissions . contains(authority);} }在SPEL。
Shrio + Spring Boot配置与使用
一名小码农的博客
11-05 317
文章目录一、概述1. Shiro介绍2. 基本功能3. 架构二、SpringBoot 集成 Shiro1. 引入依赖2. Shiro 中常见类(1)常见类(2)常见异常3. 通过Shiro认证账号1. 自定义 Realm 类2. ShiroConfigRBAC认证授权流程 一、概述 1. Shiro介绍 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应
Spring Security 认证授权
快乐的小三菊的博客
12-15 1911
springSecurity认证授权
spring security认证授权流程
最新发布
03-30
Spring Security是一个功能强大的身份验证和授权框架,用于保护Java应用程序的安全性。它提供了一套全面的认证授权机制,可以轻松地集成到Spring应用程序中。 Spring Security认证授权流程如下: 1. 用户提交登录请求:用户在前端页面输入用户名和密码,并提交登录请求。 2. 认证过滤器链:Spring Security通过一系列的过滤器链来处理认证请求。其中最重要的是UsernamePasswordAuthenticationFilter,它负责处理用户名和密码的认证。 3. 用户认证:UsernamePasswordAuthenticationFilter将用户名和密码传递给AuthenticationManager进行认证。AuthenticationManager是Spring Security的核心接口,负责处理认证请求。 4. 用户提供的凭据验证:AuthenticationManager使用用户提供的凭据(用户名和密码)与存储在系统中的凭据进行比较。通常情况下,凭据是存储在数据库中的加密密码。 5. 认证结果生成:如果凭据验证成功,AuthenticationManager将生成一个认证成功的Authentication对象,并将其返回。 6. 认证成功处理器:认证成功后,Spring Security会调用认证成功处理器(AuthenticationSuccessHandler),执行一些自定义的逻辑,例如生成并返回一个JWT令牌。 7. 生成令牌:如果需要生成令牌,可以使用TokenProvider来生成一个JWT令牌,并将其返回给客户端。 8. 授权过滤器链:一旦用户成功认证并获得令牌,后续的请求将被授权过滤器链处理。授权过滤器链会验证请求中的令牌,并根据令牌中的信息判断用户是否有权限访问资源。 9. 授权验证:授权过滤器链会验证令牌的有效性,并根据令牌中的角色和权限信息判断用户是否有权限访问请求的资源。 10. 授权结果处理:如果用户有权限访问资源,授权过滤器链会继续处理请求。否则,将返回一个未授权的错误响应。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值