权限之springSecurity、shiro概括

最新推荐文章于 2024-09-09 11:45:29 发布
最新推荐文章于 2024-09-09 11:45:29 发布
阅读量326 收藏
点赞数
分类专栏: 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37301906/article/details/105939711
版权

RBAC(Role - Based Access Control)

         用户 - 角色 -权限 ,都适用

理想中的权限管理

  1. 能实现角色级权限:RBAC
  2. 能实现功能级、数据级权限
  3. 简单、易操作、能够应对各种需求

Spring Security

  1. springSecurity介绍
    1. Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等。
    2. 什么是身份认证? 身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
    3. 什么是用户授权?当身份认证通过后,去访问系统的资源,系统会判断用户是否拥有访问该资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。比如 会员管理模块有增删改查功能,有的用户只能进行查询,而有的用户可以进行修改、删除。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

有很多过滤器,进行拦截servlter请求,并将请求进行认证和验证。

认证是为用户建立他所声明的主题过程。

验证是用户是否能够在软件中进行操作。

几种常见的验证方式:

  1. Basic  使用http1.0  账号密码进行验证,密码使用明文传输  账号:密码 + base64编码, 安全性不足
  2. Digest  用户名+密码+http请求方法+资源uri组合 进行md5  避免了密码的明文传输,安全性不足,会被拦截
  3. X.509 证书认证  版本号 公钥 序列号(CA唯一证书)
  4. LDAP 认证
  5. Form  表单认证

权限拦截

Spring Security中会有很多过滤器,将用户的请求 进行拦截,交给认证处理过滤器 以及 访问决策过滤器,进行用户身份、权限验证,

来看看涉及到的主要几个过滤器:

 

拦截器:

一、SecurityContextPersistenceFilter:

是第一个执行的过滤器,有两个用途:

1.判断用的sission是否已经存在在SecurityContext,如果存在就取出来放到Security上下文中的SecurityContextHolder中,供其他部分使用,不存在就创建一个在存入SecurityContextHolder中

2.在所有过滤器执行完毕之后,清空SecurityContextHolder,因为SecurityContextHolder是基于ThreadLocal的,如果最后没有清空ThreadLocal会受到服务器机制的影响

这里我们看下ThreadLocal

Threadlocal里面存放的东西是线程内共享的,线程间互斥的,主要用于线程内共享一些数据,避免通过参数来传递,能够优雅的解决一些实际中的并发问题。

Threadlocal内部有一个ThreadMap

当使用Threadlocal存值时,会先获得当前线程对象,然后获得当前线程本地的对象,最后将当前使用的Threadlocal和要存入的对象,放进ThreadMap中,也就是说ThreadMap存储的是Threadlocal对象,这样的好处是,每个线程都对应一个本地变量的map。

Threadlocal的get()方法,如果Threadlocal没设置过值,那么调用get方法会间接调用初始值的一个方法,返回空

Threadlocal是解决线程安全问题的一个很好的思路,它通过为每一个线程提供一个独立的变量副本,解决并发访问的冲突问题,增加了并发性。

注意:当线程结束时要把当前Threadlocal里的信息移除掉,Threadlocal本身提供了一个remove方法,我们只要调用这个方法就可以了,从而清掉当前进程携带的信息。

二、LogoutFilter:

只处理注销请求,在发生注销请求时,销毁注销用户的sission,清空SecurityContextHolder,然后重定向到注销成功页面, 可以和关闭功能结合,在关闭时清空用户的cooike

三、AbstractAuthenticationProcessingFilter:

处理form登录的过滤器,与form登录有关的所有操作都是在这里进行的,登陆时判断用户名密码是否有效,有效的话就跳转到成功页面

四、DefaultLoginPageGeneratingFilter:

用于生成一个默认的登录页面,虽然有一些功能,但是太难看了,不能在实际项目中使用

五、BasicAuthenticationFilter:

用于Basic验证,与AbstractAuthenticationProcessingFilter类似但是验证方式不同

六、SecurityAuthenticationFilter:

用来包装客户的请求,目的实在原来请求的基础上对后续程序提供额外的数据,比如在remove user时直接提供当前登录的用户名之类的

七、RememberMeAuthenticationFilter:

实现RememberMe功能,当用户cookie中存在RememberMe标记时,会根据标记实现自动创建SecurityContext,授予相应权限 ,spring Security 中的RememberMe依赖cookie实现,当用户登录时选择使用RememberMe,就再用户登录后为用户生成一个唯一的标识,并将标识保存在cookie中

八、AnonymousAuthenticationFilter:

用于保证用户没有登录时,为用户分配匿名用户的权限,当然了,许多项目也会关闭掉匿名用户

九、ExceptionTeanslationFilter:

为了处理filterSecurityException抛出的异常,请求重定向到对应页面,或者返回对应的响应错误代码

十、SessionManagementFilter:

只要是为了防御会话伪造攻击,只要登录成功后销毁当前用户的当前sission,并从新生成一个sission就可以了

十一、FilterSecurityInterceptor:

用户的权限控制都包含在这个过滤器中,功能是:

1.如果用户尚未登陆就抛出尚未登录的异常

2.如果用户已经登录但是没有访问当前资源的权限,那么会抛出拒绝访问的异常

3.用户已登录也具有访问当前资源的权限就放行

这十一个拦截器是如何按照顺序执行的呢?

FilterChainProxy:这个类会按照顺序调用一组filter既能使用各自相应的工作,又能实现springioc得到其他依赖的资源

 

spring security 数据库管理

 

UserDetailsService

UserDetails

  • getAuthorities()  权限集合
  • getPassword()  密码
  • getUsername()   用户名
  • isAccountNonExpired()  账户没有过期
  • isAccountNonLocked()  账户没有被锁定
  • isCredentialsNonExpired()  证书没有过期
  • isEnabled()  账户是否有效
Authentication 是springsecurity进行安全访问控制的对象
  • getAuthorities()  权限集合
  • getCredentials()  获取凭证
  • getDetails()  获取认证一些额外信息
  • getPrincipal()  过去认证的实体
  • isAuthenticated() 是否认证通过

权限缓存

可以缓存UserDetailsService

 

CachingUserDetailsService

Ehcache

项目中我们会引入更多的cache  例如 Redis 不仅缓存用户,并且缓存用户权限

 

自定义决策

看上图

AbstractAccessDecisionManager  核心方法supports()

投票器概念 AccessDecisionVoter  有无权限访问的最终决定权

RoleVoter 最常见的投票器  中 vote 方法 会循环判断是否具有当前的权限

目前security 有三个投票器

  1. AffirmativeBased  一票通过方案
  2. ConsensusBased  一半以上投票通过才可以访问权限
  3. UnanimousBased  全部通过才可以访问

我们自定义决策直接继承AbstractAccessDecisionManager 就可以,不一定需要投票器

  1. Shiro 与 Spring Security对比
    1. Shiro 特点
      1.  Shiro 是 Apache 下的项目,相对简单、轻巧,更容易上手使用。
      2. Shiro 权限功能基本都能满足,单点登录都可以实现。且不用与任何的框架或者容器绑定, 可以独立运行。
    2. Spring Security 特点
      1. Spring Security 相对 Shiro 上手更复杂;
      2. 2. Spring Security 功能比 Shiro 更加丰富些;
      3. 3. Spring Security 是 Spring 家族的产品,与 Spring 无缝对接, 社区资源相对比 Shiro 更加丰富;
      4. 4. Spring Security 对 Oauth2 也有支持, Shiro 则需要自己手动实现。而且 Spring Security 的权限细粒度更高
    3. 如何选择
      1. 如果项目中不是很庞大,没有用到 Spring,那就不要考虑使用 Spring Security ,Shiro 足够满足, 建议使用。
      2.  如果项目使用 Spring 作为基础,配合 Spring Security 做权限更加方便,而 Shiro 需要和 Spring 进行整合开发。

 

 

我们会做个case来了解

GitHub :https://github.com/Andy-leoo/Rbac-learn.git

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Jiang-X
关注
专栏目录
Spring SecurityShiro对比
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 129
Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring SecuritySpring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;
安全框架ShiroSpringSecurity的比较
weixin_30294021的博客
07-24 1440
两个基本的概念 安全实体:系统需要保护的具体对象数据 权限:系统相关的功能操作,例如基本的CRUD  Shiro   首先Shiro较之 Spring SecurityShiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。 Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 易于理解的 Jav...
SpringBoot项目中,ShiroSpring Security该如何选择?
Java笔记虾
03-29 3766
要知道ShiroSpring Security该如何选择,首先要看看两者的区别和对比ShiroApache Shiro是一个强大且易用的Java安全框架,能够非常清晰的处理认证、授权、管...
shiro springsecurity
weixin_44735933的博客
11-28 125
spring-security 引入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apa
Spring SecurityShiro
Flying_Fish_roe的博客
08-14 1377
无论选择 Spring Security 还是 Apache Shiro,都需要确保:- **合规的身份验证**:确保用户身份得到有效验证。- **适当的授权**:根据用户的角色和权限控制访问。- **数据保护**:对敏感数据进行加密和保护。- **应用程序配置**:配置安全的 HTTP 头部和 HTTPS。选择合适的框架取决于你的项目需求和技术栈,以及团队的熟悉度。无论选择哪种框架,良好的安全实践和定期的安全审计都是保障应用安全的关键。
SpringSecuritySpring SecurityShiro对比
专注于Java领域开发 关注我 带你玩转Java
11-05 714
在Java权限框架中有SpringSecurityShiro
基于角色的访问控制(RBAC): 权限管理与Spring SecurityShiro对比
- **Spring Security**:这是一个强大的框架,与Spring框架紧密集成,适用于复杂的企业级应用,但依赖关系较多,扩展性较好。 - **Shiro(Apache项目)**:相对独立于容器,扩展性更强,适合对权限管理有高度抽象...
SpringSecurity权限控制
wunianisme的博客
04-13 1869
初识SpringSecurity 学习思路 了解SpringSecurity是什么。 查看官网简介。 简单快速阅读官方文档。 经过一段时间的学习,我们知道构建一个SpringBoot项目只需要三步: 导入maven依赖。 配置相关文件。 编写测试代码。 安全框架 在Web开发中,安全一直是一个十分重要的环节。它是一种非功能性的需求,但是对于一个系统十分重要,我们一般都会使用一些组件...
"SpringSecurityshiro的使用及框架概述
SpringSecurityShiro是两个常用的安全框架,它们在权限管理、认证和会话管理等方面都提供了很多有用的功能和特性。本文将对它们的使用进行详细介绍。 首先介绍一下Shiro框架,它是一个轻量级的安全框架,主要提供...
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2154
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security: Getting Started With The HttpSecurity
AI天才研究院
08-06 773
19年6月1日,Spring Framework正式发布了5.2版本,这是Spring开发人员的一个里程碑事件。在过去的一段时间中,Spring Security也跟着推出了新的5.2.0版本,包括了许多新功能和改进。但是,许多开发人员仍然认为Spring Security是一个“过时”的框架,并且不建议在生产环境中使用它。很多开发人员相信,他们所使用的技术栈中的安全组件是过时的、脆弱的或有问题的。另一些开发人员则喜欢Spring Security,但却对其使用方式缺乏经验。
Java企业级权限系统,Spring Security,Apache Shiro,Spring MVC,RBAC模型
08-11
Java企业级权限系统,可供学习Spring Security权限框架、 Apache Shiro权限框架、Spring MVC、 RBAC模型、模块开发等等,内有详细视频教程,由于上传大小限制,可联系免费获取!
shiro安全框架
qq_52367079的博客
11-20 96
1.shiro可以完成哪些工作? shiro可以帮助我们完成:认证、授权、加密、会话管理、与Web集成、缓存等 2.Apache Shiro 的三大核心组件 a、Subject :当前用户的操作 b、SecurityManager:用于管理所有的Subject c、Realms:用于进行权限信息的验证 3.shiro有哪些组件? a、Authentication:身份认证/登录,验证用户是不是拥有相应的身份; b、Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个权限;即判断用户
ShiroSpring Security对比
weixin_69084736的博客
09-05 3568
ShiroSpring Security对比
spring securityshiro
最新发布
qq_48501521的博客
09-09 1438
spring security介绍定义:为基于spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架,实现了认证和授权,提供了基于账号和密码的认证,通过安全配置实现请求拦截、授权。但不仅仅是这些认证spring security默认提供认证界面,无需额外开发安全配置:spring security提供了用户名密码登录、退出、会话认证等功能,只需配置即可。自定义类继承WebSecurityConfigurerAdapter,使用@EnableWebSecurity注解修饰。
Spring Security:比较Shiro
​​
05-27 626
虽然目前 Spring Security 一片火热,但是 Shiro 的市场依然存在,今天我就来稍微的说一说这两个框架的,方便大家在实际项目中选择适合自己的安全管理框架。 首先我要声明一点,框架无所谓好坏,关键是适合当前项目场景,作为一个年轻的程序员更不应该厚此薄彼,或者拒绝学习某一个框架。 小孩子才做选择题,成年人两个都要学! 所以接下来主要结合我自己的经验来说一说这两个框架的优缺点,没有提到的地方也欢迎大家留言补充。 Spring Security 因为 SpringBoot 而火 Spring Sec
SpringSecurityShiro
a67310149的博客
03-07 648
什么是SpringSecurity Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架 什么是Shiro Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理 这两个基本的概念 安全实体:系统需要保护的具体对象数据 权限:系统相关的功能操作,例如基本的CRUD 从中可以看出两者都是一种安全框架...
安全框架shiro -- springsecurity.
WanWenQingqijia的博客
07-08 501
=身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
SpringSecurity(安全)、Shiro简介
m0_51067047的博客
06-20 431
在web开发中,安全第一位!过滤器,拦截器~ 开发网站,安全应该在什么时候考虑? 漏洞,隐私泄漏~ 架构一旦确定~ shiroSpringSecurity,这两个很像,除了类不一样,名字不一样; 认证,授权(每个用户都有哪些权限) 功能权限 访问权限 菜单权限 …拦截器,过滤器:大量的原生代码~冗余 AOP:横切~配置类 1、Spring Security 简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值