Spring Security——组件

最新推荐文章于 2023-03-15 22:41:44 发布
最新推荐文章于 2023-03-15 22:41:44 发布
阅读量375 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/violetlove/article/details/82422668
版权

一、Security Interceptor:

        Security Interceptor组件是Spring Security中最重要的组件,它用来鉴定一个请求是否可以访问某个资源。包含一个抽象类AbstractSecurityInterceptor,以及两个具体的实现类FilterSecurityInterceptor 以及MethodSecurityInterceptor。

       Security Interceptor包含preprocessing和post processing两个步骤。

       在preprocessing中,首先确认要访问的资源是否有安全限制。如果没有,继续操作。如果有,Security Interceptor从当前的SecurityContext中获取Authentication对象。如果有必要,Authentication对象会被AuthenticationManager认证。认证通过后,AccessDecisionManager会被调用,决定认证后的对象是否可以访问资源。如果不允许,抛出AccessDeniedException。如果允许,而且配置了RunAsManager,Authentication对象被传递给RunAsManager。RunAsManager会返回一个新的Authentication对象,包含相同的principal,credentials,原有的authorities再加上当前的权限。新的Authentication对象被放入当前的SecurityContext。 这个过程结束后,Security Interceptor会创建一个新的包含Security Context和ConfigAttributes内容的InterceptorStatusToken。这个token会在postprocessing步骤中使用。

         接着,会调用资源。

         最后,开始postprocessing。        

二、XML namespace

三、Filters and Filter Chain

    Security Security使用过滤器链模型来实现应用安全。这个模型基于标准的servlet过滤器功能。

四、ConfigAttribute

五、Authentication对象

    对象Authentication是一个抽象概念,它有几种不同实现,代表了登入系统的实体,通常为用户。

  

六、SecurityContext和SecurityContextHolder

    SecurityContext用来存储当前线程的Authentication对象。SecurityContextHolder是用来访问SecurityContext的类。

七、AuthenticationProvider

AuthenticationProvider 是Authentication对象的主要入口。

八、AccessDecisionManager

AccessDecisionManager用来确定某一个authentication对象是否可以访问某一特定资源。

九、AccessDecisionVoter

十、UserDetailsService和AuthenticationUserDetailsService

     UserDetailsService负责从用户应用中(例如内存,数据库)获取用户信息。

 十一、UserDetails

     UserDetails是系统的一个主要抽象,用来表示用户。

十二、ACL

十三、JSP Taglib

 

 

 

violetlove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringSecurity笔记
09-24
1. **创建项目结构**:首先创建一个父工程,如 "Spring-Security",然后在其中创建子模块,用于管理和组织各个组件。 2. **创建 Spring Boot 工程**:在 "Spring-Security" 父工程下创建一个新的 Spring Boot 工程...
Springsecurity之MethodSecurityInterceptor
weixin_33716154的博客
09-06 1412
2019独角兽企业重金招聘Python工程师标准>>> ...
SecurityInterceptor
花花的技术博客
12-10 1028
public class SecurityInterceptor implements HandlerInterceptor { private static final Log logger = LogFactory.getLog(SecurityInterceptor.class); private List<String> noSessionUris; private List...
史上最简单的Spring Security教程(十六):FilterSecurityInterceptor详解
银河架构师的博客
07-29 9058
​FilterSecurityInterceptor作为Spring Security Filter Chain的最后一个Filter,承担着非常重要的作用。如获取当前 request 对应的权限配置,调用访问控制器进行鉴权操作等,都是核心功能。 先简单看一下FilterSecurityInterceptor类的主要功用。 获取当前 request 对应的权限配置,首先是调用基类的beforeInvocation方法。 public void invoke(FilterInv...
controller层_使用Spring Security做方法层的权限拦截
weixin_39541212的博客
11-26 1580
Spring Security中可以通过Authentication(认证)和Authorization(授权)的功能,识别用户身份并完成用户授权。通常的做法是在用户访问某些资源时,通过拦截器方法确认用户身份,如果当前用户身份不明(未登录或者是匿名用户)且被访问资源是非公开资源时,系统会强制跳转至登录页面,在用户登录完成后再跳转回原地址,继续访问资源。这些拦截功能基本都是使用Filter...
——基于方法的权限控制
dotedy的博客
12-08 2267
基于方法的权限控制          之前介绍的都是基于URL的权限控制,Spring Security同样支持对于方法的权限控制。可以通过intercept-methods对某个bean下面的方法进行权限控制,也可以通过pointcut对整个Service层的方法进行统一的权限控制,还可以通过注解定义对单独的某一个方法进行权限控制。   1.1     intercept-met
SpringCloud——分布式配置中心(Spring Cloud Config)
09-14
Spring Cloud Config 由两个主要组件组成:Config Server 和 Config Client。Config Server 作为一个中央存储库,负责管理所有微服务的配置,而 Config Client 是一个客户端库,安装在每个需要使用配置的服务上,...
maven+springmvc+springsecurity+hibernate框架整合开发源代码
04-17
本项目“maven+springmvc+springsecurity+hibernate框架整合开发源代码”就是一个这样的例子,它巧妙地将四个关键框架——Maven、Spring MVC、Spring Security和Hibernate融合在一起,构建了一个高效且安全的Web应用...
springboot+mybatis+gradle+thymeleaf+springsecurity
01-03
综上所述,"springboot+mybatis+gradle+thymeleaf+springsecurity"的项目组合,构建了一个功能完善的、安全的Web应用,涵盖了从数据存储、业务处理到用户界面呈现和安全防护的各个层面。开发者可以根据实际需求...
Spring Security 中文教程.pdf
12-06
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. ...
史上最简单的Spring Security教程(十七):FilterSecurityInterceptor默认初始化逻辑剖析
银河架构师的博客
08-05 3910
Spring Security框架默认会自动创建一个FilterSecurityInterceptor实例,如我们前面所述,自定义的FilterSecurityInterceptor要么是在默认FilterSecurityInterceptor实例之前,要么是在之后,看具体业务场景。为啥我们不能替换掉默认的FilterSecurityInterceptor实例呢?先来剖析一下默认的FilterSecurityInterceptor实例初始化逻辑。 ​ SecurityMeta...
spring boot security FilterSecurityInterceptor 使用要点记录
qushapos的博客
12-10 1万+
spring security FilterSecurityInterceptor 使用要点记录 FilterSecurityInterceptor是一个方法级的权限过滤器, 基本位于过滤链的最底部 该过滤器用于控制method级别的权限控制. 官方提供了2种默认的方法权限控制写法 一种是在方法上加注释实现, 另一种是在configure配置中通过 @Secured("ROLE_ADMIN")...
Spring Security API: AbstractSecurityInterceptor
dengdeying的博客
12-26 1416
文章目录AbstractSecurityInterceptorDeclaredClass JdocbeforeInvocationDeclaredMethod CodefinallyInvocationDeclaredMethod JdocMethod CodeafterInvocationDeclaredMethod JdocMethod CodegetSecureObjectClassDecl...
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
spring-security--基础--4.4--案例:资源权限访问
zhou920786312的博客
10-28 402
参考手册 https://www.springcloud.cc/spring-security-zhcn.html 七、资源权限访问案例 7.1、 授权 调用accessDecisionManager进行授权决策 方式 web授权 通过url拦截进行授权 拦截器为FilterSecurityInterceptor 方法授权 通过方法拦截进行授权 拦截器为MethodSecurityInterceptor 同时通过web授权和方法授权 先执行web授权,再执行方法授权,最后决策通过则
13.Spring security权限管理
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
SpringSecurity学习(七)授权
最新发布
Huathy的博客
03-15 2087
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型
Spring Security的interceptor都有哪些,顺序
gezilan的博客
05-03 2322
Spring Security Intecetor拦截器栈 spring security 版本号4.2.x spring 官方文档地址
spring boot spring security 自定义 filter FilterSecurityInterceptor 访问资源 静态资源 和 不需要权限访问都失效了
laokaizzz的专栏
09-06 1万+
问题:spring boot security 中, filters="none"  对应哪个? 自定义AbstractSecurityInterceptor后  静态资源也进入拦截器,登陆页面,permitall 也失效, 还是进入了filter 参考:http://blog.51cto.com/winters1224/2052034 调试源代码发现,采用默认的 FilterSecurit...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值