springsecurity 学习的一些记录

已于 2024-04-25 17:30:39 修改
阅读量895 收藏 5
点赞数 11
文章标签: 学习 java 前端
于 2024-04-22 17:19:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang01_01/article/details/138081233
版权

1.常规pom导入

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2.部分源码分析

学习是来自于SpringSecurity源码分析(一) SpringBoot集成SpringSecurity即Spring安全框架的加载过程_spring security源码-CSDN博客

2.1 springsecurity入口

springsecurity的pom导入之后其实其实是加载SecurityAutoConfiguration这个类,你可以把它看成是一个入口,重点是红色标注这两个 

2.1.1 默认加载

     SpringBootWebSecurityConfiguration这个类是在加载springsecurity时,判断是你是否有自己继承了一个WebSecurityConfigurerAdapter的东西,也是我认为是springsecurity的一个核心。如果没有它就会加载一个默认的DefaultConfigurerAdapter

2.1.2 具体的加载过程

2.1.2.1 开始

        为什么需要这个adapter呢,我们继续最开始圈起来的第二个类WebSecurityEnablerConfiguration,点完之后继续点击注解@EnableWebSecurity,找到import 的这个类WebSecurityConfiguration

在这个类里面,debug一下会发现这个是一个hasConfigurers=true,所以中间代码不执行,但是webSecurity 这个类会自动加载,也是在这个类下面@Autowired 自动执行的这段代码,本质就是创建一个websecurity,然后就可以执行我们上面圈起来的buid()方法了

然后build的过程比较复杂,源码比较多,但是本质都是通过build()来拿到不同的providerManager对象,其中websecurity.build 是最外层,在build的过程中还有两个比较重要的类,来调用build(),分别是

2.1.2.2 httpsecuirty.build()

       其中http在build()的过程中通过configure()方法完成了filter的加载。

2.1.2.3 AuthenticationManagerBuilder.build()

        这个build的过程主要是给providerManager 的provder赋值,例如:我们如果实现了UserDetailService 的类的加载,passwordEncode类的加载。这些都需要被spring管理才能放到provider中。如果没有实现会有默认

        AuthenticationProvider authenticationProvider = getBeanOrNull( AuthenticationProvider.class);

关于这个构建的过程我就画了个图,方便大家一起理解

做一些简单的更新:

        在websecurity.build()的时候, 里面会先init(),这个过程中会拿到所有继承了WebSecurityConfigurerAdapter这个类的子类,并且执行这个玩意的init()方法。当然你也可以在初始化过程中写一些你想提前加载的东西(我暂时不知道是干啥的,但是是这样的流程)

      这个init()中会执行一个getHttp()方法,这个方法就是获取一个叫httpSecurity的类。当然这个方法还干了一个事,就是执行authenticationManager()方法。

    这个方法呢,是AuthenticationManagerBuilder.build()方法拿到一个providerManage类放到websecurity构建的providerManager中

   2.1.3  过滤器顺序

        这里的过滤器其实是排好序的,通过Collections.sort(filters, comparator);这个玩意排序的,但是我没有看懂。大家有懂得可以说一下,在具体的过滤器中也没有找到order这种标识

2.1.3.1 UsernamePasswordAuthenticationFilter

         这个过滤器主要看attemptAuthentication()这个方法。因为他的父类实现了dofilter(),并在其中调用了这个抽象方法,所有子类看这个实现就完事

        this.getAuthenticationManager().authenticate(authRequest) 这个玩意就是去对比或者叫认证你的账号密码的。前半截返回的都是providerManager,我们之前的build的返回结果就是这个玩意,这个地方就用到了

        在后半截,会拿出来DaoAuthenticationProvider.authenticate()。这个方法是在父类AbstractUserDetailsAuthenticationProvider中写的。你需要到父类中去看,里面重点就是这段代码

         user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication)

UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);

      this.getUserDetailsService()  ,如果有自己有实现了UserDetailsService,并且别spring管理,那么这个地方加载的是你的实现。如果没有就是默认的InMemoryUserDetailsManager。这个就是我们在2.1.2.3提到的初始化加载。然后调用loadUserByUsername就是对比账号密码了

wang01_01
关注
  • 11
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4861
本文重点解析了SpringSecurity在登录过程中的详细流程,以及整体总结
Spring Security:身份验证入口AuthenticationEntryPoint介绍与Debug分析
m0_67391521的博客
06-12 1747
()允许将和转换为响应。作为之一插入到中。想要了解的过滤器链如何在应用程序中发挥作用,可以阅读下面这篇博客:会使用启动身份验证方案。 BasicAuthenticationEntryPoint 由用于通过开始身份验证。一旦使用对用户代理进行身份验证,可以发送未经授权的 () 标头,最简单的方法是调用类的方法。 这将向浏览器指示其凭据不再被授权,导致它提示用户再次登录。 DelegatingAuthenticationEntryPoint 实现,它根据匹配(委托)一个具体的。 DigestAuthentica
Spring Security系列(二)——过滤器链分析以及创建多个登陆入口
玖涯博客
12-06 2886
写在前面 **本文场景:**希望在网关上实现security统一进行权限认证,后续的服务间交互不再进行权限认证。但是系统有两个类型的账号,一个是普通用户,一个是系统后台管理员,完全是两个类型,希望创建给两个不同的登陆入口分别给两个类型的账号登录使用。 想到的解决方法有两个: 网关上的security想办法创建多个登陆入口(本文描述的方法); 网关上的security只对用户进行权限验证,对管理员的请求放行,管理员在自己的模块上进行权限验证。 **本文思想:**security实现多登陆入口的方法是创建多
Spring Security 实战干货:自定义配置类入口WebSecurityConfigurerAdapter
码农小胖哥
10-16 8893
1. 前言 今天我们要进一步的的学习如何自定义配置 Spring Security 我们已经多次提到了 WebSecurityConfigurerAdapter ,而且我们知道 Spring Boot 中的自动配置实际上是通过自动配置包下的 SecurityAutoConfiguration 总配置类上导入的 Spring Boot Web 安全配置类 SpringBootWebSecurity...
Spring AOP Demo(注解和非注解配置) Spring版本5
最新发布
2401_84046895的博客
04-17 437
default*.html加载spring的配置文件spring web的监听器 IOC开始配置过滤器 中文字符过滤器encodingUTF-8/*配置springmvc的核心servlet1。
SpringSecurity素材.rar
03-02
SpringSecurityJava领域中一款强大的安全框架,专为SpringSpring Boot应用设计,提供全面的安全管理解决方案。...学习SpringSecurity时,理解其核心原理并结合实际项目进行实践,是掌握这个框架的关键。
springsecuritySpring安全学习总结
01-29
在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 生成jwt 解析jwt 根据1,2实现对访问路径的权限拦截 使用 spring security 学习...
Spring Security 资料合集
01-24
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Web应用和企业级应用提供了全面的...通过学习这些文档,开发者可以更好地理解Spring Security的工作原理,从而更有效地实现应用的安全控制。
SpringSecurity深度解析与实践(3)
12-23
10. **最佳实践与安全策略**:最后,我们将分享一些使用Spring Security的最佳实践,包括安全性设计原则、日志记录和监控,以及应对新出现的安全威胁的策略。 通过以上内容的学习,读者将对Spring Security有深入的...
Spring-Security登录认证授权原理
abcwanglinyong的博客
07-10 3万+
spring-security源码下载地址:https://github.com/spring-projects/spring-security Spring-Security源码解读:1.使用ctrl+shift+n组合键查找UsernamePasswordAuthenticationFilter过滤器,该过滤器是用来处理用户认证逻辑的,进入后如图:(1)可以看到它默认的登录请求url是"/lo...
spring security入口登录
ifunsu的专栏
04-03 2766
项目中集成了ldap的验证,从其他应用跳转过来希望不进行二次登录。 因为ldap的用户名和密码已经在登录中灭失,所以无法在应用中做再次提交验证。 幸好其他应用和项目是可以共享数据库,所以用数据库共享用户信息进行免手工登录验证。 具体是其他应用对数据库表portal_admin插入一条用户登录请求,用户名不变,密码用一串随机字符。 项目配置多入口 users-by-userna
spring security oauth2 认证入口
feng2036的博客
06-19 895
包名:org.springframework.security.oauth2.provider.endpoint 类名:TokenEndpoint
spring security之自定义异常入口
远方的少年
04-04 2340
   spring security中有一个过滤器,称为ExceptionTranslationFilter,简言之,就是用来做异常翻译,提供更好的用户体验。  配置很简单 &lt;http auto-config="true" entry-point-ref="loginEntryPoint/&gt; &lt;beans:bean id="loginEntryPoint" class="com....
SPRING实现登陆
Aran
06-12 1305
使用 用户名+密码 的方式来登录,用户名、密码存储在数据库,并且支持密码输入错误三次后开启验证码,通过这样一个过程来熟悉 spring security 的认证流程,掌握 spring security 的原理。 1、基础环境 ① 创建 sunny-cloud-security 模块,端口号设置为 8010,在sunny-cloud-security模块引入security支持以及sunny-st...
SpringBoot基于SpringSecurity表单登录和权限验证
热门推荐
润青
01-11 6万+
一、简介 上篇介绍了一个自己做的管理系统,最近空闲的时间自己在继续做,把之前登录时候自定义的拦截器过滤器换成了基于SpringSecurity来做,其中遇到了很多坑,总结下,大家有遇到类似问题的话就当是为大家闭坑吧。 二、项目实现功能和成果展示 首先来看下登录界面:这是我输入的一个正确的信息,点击登录后SpringSecurity会根据你输入的用户名和密码去验证是否正确,如果正确的话就去你定...
SpringSecurity实现登录认证及权限验证
Alice
09-22 4万+
目标在原公司有专门的登录验证和权限管理服务,换公司后在最近项目中需要使用Spring Security自主实现分布式系统的用户验证授权及权限验证功能,因此花了两天时间研究并实现了该方案: 功能点细分: 1. 基于REST请求的登录 2. 用户名密码验证及验证成功后给用户授权 3. http请求的权限配置和验证 4. 方法级别的权限配置和验证 5. 分布式环境中用户权限共享分析及
Spring Security-认证过程的发起(ExceptionTranslationFilter,AuthenticationEntryPoint)
kaikai8552的专栏
02-24 1万+
发起的条件:      用户访问资源时,发生授权异常(AuthenticationException)或认证异(AccessDeniedException),ExceptionTranslationFilter通过调用AuthenticationEntryPoint的commence方法发起认证过程。如果ExceptionTranslationFilter接收到的是授权异常,并且当前认证过的票据不
Spring Security入门教程:打造Web应用安全
通过这三个实例,读者将深入理解Spring Security的工作原理,学习如何在实际项目中集成和配置它,以实现安全、高效的身份验证和授权流程。同时,Spring Security的高度可扩展性和丰富的API也使得开发者可以轻松应对...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值