SpringSecurity 学习总结

最新推荐文章于 2023-01-03 19:06:41 发布
最新推荐文章于 2023-01-03 19:06:41 发布
阅读量72 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/3387406/blog/2999395
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一些基础的知识可以参考以下连接:https://www.cnkirito.moe/spring-security-1/  讲真,这老哥写的很好,不过还有很多估计没写完,遗憾

本文章主要是一个大概的总结。

首先SpringSecurity是一个安全框架,它所做的事儿简单概括就是使用Filter对整个项目进行一个保护,

保护的内容就包括 认证 和 授权验证 如果单针对Filter的话 他包括 登陆认证,和对URL的权限验证, 登陆认证是在SpringSecurity的过滤器链中的AbstractAuthenticationProcessingFilter的子类来做的 具体步骤

请求进来->若干前置过滤器->AbstractAuthenticationProcessingFilter.doFilter()-> AbstractAuthenticationProcessingFilter.attemptAuthentication()->如果获取到了Authentication则继续往下执行,否则重定向到登陆页面.... 从attemptAuthentication方法中的认证操作是调用了AuthenticationManager的authenticate方法来进行登陆认证,然后会把用户提交的用户信息封装成AuthenticationToken的实例丢进去,在其中进行验证,验证成功则返回填充了相关信息的Token对象,否则是null,则说明认证失败,会重定向到我们设置好的loginUrl。

这个认证过程中还涉及到 AuthenticationManager 的认证 是 AuthenticationManager的一个实现类ProviderManager,而ProviderManager会有一个List专门存放Provider,这些Provider都要实现AuthenticationProvider接口,只要有一个Provider支持放进来的Authentication则会由这个Provider进行处理,且这个方法可以抛出异常,抛出也说明登陆失败。

所以如果要自定义自己的一套登陆认证的话,

我们涉及到三个地方 Filter - Provider - Token (例子采用上面链接的老哥的例子)

我们需要自定义自己的过滤器 通过 继承 AbstractAuthenticationProcessingFilter 类 实现 attemptAuthentication方法

public class IpAuthenticationProcessingFilter extends AbstractAuthenticationProcessingFilter {

    public IpAuthenticationProcessingFilter(String uri) {
        super(new AntPathRequestMatcher(uri));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse) throws AuthenticationException, IOException, ServletException {
        //获取host信息
        String host = httpServletRequest.getRemoteHost();
        //交给内部的AuthenticationManager去认证,实现解耦
        return getAuthenticationManager().authenticate(new IpAuthenticationToken(host));
    }
}

我们需要自定义自己的认证提供器 通过继承 AuthenticationProvider 类

public class IpAuthenticationProvider implements AuthenticationProvider {
    final static Map<String, SimpleGrantedAuthority> ipAuthorityMap = new ConcurrentHashMap<>();
    //维护一个ip白名单列表,每个ip对应一定的权限
    static {
        ipAuthorityMap.put("127.0.0.1", new SimpleGrantedAuthority("ADMIN"));
        ipAuthorityMap.put("10.0.0.8", new SimpleGrantedAuthority("FRIEND"));
    }
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        if (authentication instanceof IpAuthenticationToken){
            String ip = ((IpAuthenticationToken)authentication).getIp();
            if (ipAuthorityMap.containsKey(ip)){
                HashSet<SimpleGrantedAuthority> grants = new HashSet();
                grants.add(ipAuthorityMap.get(ip));
                return new IpAuthenticationToken(ip,grants);
            }
        }
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return IpAuthenticationToken.class.isAssignableFrom(aClass);
    }
}

我们需要自定义自己的 认证对象 一般就是我们的领域对象 但是这个对象必须实现 Authentication 接口 我们可以直接继AbstractAuthenticationToken类即可

public class IpAuthenticationToken extends AbstractAuthenticationToken {
    public String getIp() {
        return ip;
    }

    public void setIp(String ip) {
        this.ip = ip;
    }

    private String ip;

    public IpAuthenticationToken(String ip) {
        super(null);
        this.ip = ip;
        super.setAuthenticated(false);
    }

    public IpAuthenticationToken(String ip, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.ip = ip;
        super.setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return null;
    }
}

然后我们需要将provider添加到ProviderManager的List中去

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.authenticationProvider(new IpAuthenticationProvider());
    auth.userDetailsService(userDetailsService).passwordEncoder(NoOpPasswordEncoder.getInstance());
}

 将我们自定义的Filter注册到过滤器链中去

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/iplogin","/login").permitAll()
            .anyRequest().authenticated()
            .and()
        .formLogin()
        .loginPage("/iplogin");
    //这个操作就是把我们自定义的过滤器插入到UsernamePasswordAuthenticationFilter的前面,表示优先使用我们的验证,如果验证成功则会将Authentication对象放入                    //SecurityContext中,后面的过滤器在进行验证时会检测SecurityContext中是否有相应的对象,没有则会
    http.addFilterBefore(ipAuthenticationProcessingFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);
}

搞定 这个时候我们的登陆验证方式已经改成了iplogin(虽然原始的login还在,但是由于我们设置了loginPage的url为/iplogin所以那个页面在登陆失败的时候永远也访问不到,除非你直接访问/login....)

转载于:https://my.oschina.net/u/3387406/blog/2999395

weixin_34050519
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecuritySpring安全学习总结
01-29
Spring安全学习总结 关于 spring security 学习总结暑假的时候在学习Spring安全并成功运用到了项目中。在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 生成jwt 解析jwt 根据1,2实现对访问路径的权限拦截 使用 spring security 学习总结总结是逐步进行重建的,逐步版本我都使用了git tag来管理。例如,最开始的tag是step1 ,那么可以使用 git checkout step1 来获得这一版本。版本历史见 。
Spring Security 学习总结1_3
03-14
"springsecurity-namespace"可能指的是Spring Security的XML命名空间配置。在Spring Security的早期版本中,使用XML配置是最常见的实践。例如,你可能会看到以下片段: ```xml **" access="hasRole('ROLE_ADMIN')...
Spring Security 学习总结
weixin_33826609的博客
05-18 104
  Spring Security   Spring Security是基于Spring提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,能够在Web请求级别和方法调用级别处理身份认证和授权。   Spring Security从两个角度来解决安全性问题: 使用Servlet规范中的Filter保护Web请求并限制URL级别的访问; 使用Spri...
Spring Security 总结
chenpamo9206的博客
12-19 145
这个东东看过很多次,但是一直没有看得比较完整的样子。再者Srping 的东东,看起来,还直是多啊。记得很早以前的SrpingSecurity是基本看不懂,也很难用的。直到近来才又尝试看一次。发现已经和原来不是同样的东西了,看起来好用很多。但是和Shiro比起来,可能还是显得有些复杂。主...
springSecurity总结
weixin_34110749的博客
06-23 292
springSecurity总结: 一、Spring security框架简介 1、简介 一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体...
spring security 学习总结
hc1428090104的博客
03-25 162
1. springboot整合好security后, 当未进行登陆直接访问接口, 默认会跳转到security默认的登陆界面, 用户名为"admin" 密码打印在控制台, 并且也可以自己配置用户名和密码 2. 自定义登陆界面 首先编写一个登陆界面login.html, (将其放在resource/static目录下), 再定义一个配置类实现 WebSecurityConfigurerAdapter 接口, 配置如下属性 ...
Spring Security学习总结
06-10
在"Spring Security学习总结一(补命名空间配置)"的文件中,可能涵盖了如何在Spring Security的XML配置中补充命名空间的步骤。命名空间的引入是为了简化配置,例如`<http>`元素用于配置安全拦截和访问规则,`...
SpringSecurity学习总结一.pdf
11-26
SpringSecurity学习总结一.pdf
spring security相关知识点总结
热门推荐
意田天的博客
11-02 1万+
springSecurity手动登录 springSecurity 每种认证方式都要写一大推类 1.要写Token封装认证信息 2.要写UserDetailsService的实现获取用户信息 3.要写provider调用UserDetailsService并且告诉AuthenticationManager他能认证哪种token 4.要写filter去拦截用户请求,获取用户提交的表单数据,交给AuthenticationManager选择一个provider去认证 5.把filter与provide
springsecurity总结
最新发布
柠檬不萌的博客
01-03 366
SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。有两个异常处理器,一个是认证失败的,一个是权限不足的处理器,我们都想让他返回的格式我们统一的格式我们就去自定义两个异常处理器(权限异常处理器)/**
SpringSecurity总结
m0_47612445的博客
03-16 730
SpringSecurity Spring Security简介 解决的两个核心问题:认证和授权 默认存在IOC AOP 基于配置(配置类中配置权限基本操作) SpringSecurity自定义登录 1.API对象 UserDetailsService:loadUserByUserName UserDetails(登录用户信息):用户名、密码、权限 PasswordEncoder:encode、matches 2.自定义登录前后端 后端: 1.实现UserDetailsService接口:需要自定 义
Spring Security总结
cccccccmmm的博客
12-12 1089
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
Spring Security入门:从Acegi到Spring Security的转变
"Spring Security学习总结一" Spring SecuritySpring生态系统中的一个强大且全面的安全框架,源自Acegi Security,自2007年底被纳入Spring Portfolio并更名。它旨在为基于Spring的应用提供声明式安全访问控制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值