SpringSecurity的内部执行流程

最新推荐文章于 2023-07-28 13:28:40 发布
最新推荐文章于 2023-07-28 13:28:40 发布
阅读量265 收藏
点赞数
分类专栏: JAVA后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39618279/article/details/114631380
版权

SpringSecurity是用来保护网页或者接口不被所有用户随意访问,因此它包含两个功能,认证和授权,认证就是登录,授权就是根据登录的用户的角色而给与不同的系统权限,比如你们的校园网,一般氛围管理员、教师和学生,你登录和老师登录系统后,得到的权限是不一样的,这就是权限管理。

在不用SpringSecurity等权限管理框架的情况下,我们设计的登录系统的基本逻辑就是:

前端表单输入用户名和密码——>通过用户名在数据库中查找该用户(queryByUsername)——>通过对比表单接收的密码和数据库查到的密码——>相同就登录成功,不相同就登录失败

而SpringSecurity的基本原理也相似,只不过其中有一些方式已经帮我们实现了,所以我们不需要自己去写。

SpringSecurity的内部运行逻辑所调用的顺序是怎么样的呢?

首先是登录验证阶段:

执行的入口是 配置类,如WebSecurityConfig这个类,这个类的标志就是它是用了以下两个注解:

@Configuration
@EnableWebSecurity
package com.oycbest.config;

import com.oycbest.domain.User;
import com.oycbest.service.PasswordEncoder;
import com.oycbest.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import javax.annotation.Resource;

/**
 * @Author: oyc
 * @Date: 2019/1/29 13:45
 * @Description:
 */
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private UserService<User> userService;

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        System.out.println("configureGlobal最先执行,运行系统后则自动执行");
        auth.userDetailsService(userService).passwordEncoder(new PasswordEncoder());
        System.out.println("configureGlobal最先执行,运行系统后则自动执行");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //允许基于HttpServletRequest使用限制访问
        http.authorizeRequests()
                //不需要身份认证
                .antMatchers("/", "/home","/toLogin","/**/customer/**").permitAll()
                .antMatchers("/js/**", "/css/**", "/images/**", "/fronts/**", "/doc/**", "/toLogin").permitAll()
                .antMatchers("/user/**").hasAnyRole("USER")
                //.hasIpAddress()//读取配置权限配置
                .antMatchers("/**").access("hasRole('ADMIN')")
                .anyRequest().authenticated()
                //自定义登录界面
                .and().formLogin().loginPage("/toLogin").loginProcessingUrl("/login").failureUrl("/toLogin?error").permitAll()
                .and().logout().logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
                .and().exceptionHandling().accessDeniedPage("/toLogin?deny")
                .and().httpBasic()
                .and().sessionManagement().invalidSessionUrl("/toLogin")
                .and().csrf().disable();
    }
}

 

 

 

你得支棱起来呀-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
spring_security.zip
09-07
例如,可以使用OAuth2 实现第三方登录,Spring Security 处理内部认证和授权。 2. **授权服务器**:Spring Security 提供OAuth2 提供者支持,可以搭建自己的授权服务器,实现令牌的颁发和验证。 3. **保护API**:在...
记录spring security执行流程
qq_59224200的博客
09-17 172
springsecurity
spring security执行原理流程
伍婷的专栏
03-24 1342
1.基本配置使用1)创建配置类创建一个配置类SecurityConfig继承自WebSecurityConfigurerAdapter,重写里面的configure(HttpSecurit...
SpringSecurity执行流程(笔记)
weixin_51542566的博客
08-14 1万+
spring security的简单原理: SpringSecurity有很多很多的拦截器,在执行流程里面主要有两个核心的拦截器 登陆验证拦截器AuthenticationProcessingFilter 资源管理拦截器AbstractSecurityInterceptor
Spring Security执行原理流程
热门推荐
我神级欧文的博客
06-18 2万+
1.基本配置使用 (1)创建配置类 创建一个配置类SecurityConfig继承自WebSecurityConfigurerAdapter,重写里面的configure(HttpSecurity http)这个方法,配置好需要认证的登录url,以及提交表单的url,这里除了登录url不需要认证之外,其他的url都需要认证才能访问,并且formLogin表名这是一个表单提交,loginproc...
SpringSecurity原理:探究SpringSecurity运作流程
Leon_Jinhai_Sun的博客
09-17 489
SpringSecurity原理:探究SpringSecurity运作流程
Spring Security 登录流程
CHENFU_ZKK的博客
09-26 1642
Spring Security 登录流程
Spring Security 认证流程
m0_59448100的博客
10-04 699
Spring Security 认证流程
SpringSecurity框架流程
最新发布
鹏儿的博客
07-28 156
7.使用自己的登录界面时,security框架的登录认证流程不会自动启动,需要我们在UserController处理login请求时手动开启,手动开启时需要用到认证管理器,在Security配置类中进行配置。3.在login.html登录界面中向/login地址发出登录请求时,服务器中UserController里面的login方法处理该请求。1.在SecurityConfig配置类中配置好白名单,设置登录界面,关闭跨域攻击防御策略。主要作用:帮助我们进行登录的认证,和项目中涉及到权限时进行管理操作。
大白话详解Spring Security认证流程
LoveSummer
11-04 2775
Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。
Spring Security常用过滤器实例解析
08-24
AnonymousAuthenticationFilter 负责创建一个匿名用户存入到 SecurityContextHolder 中, spring security 为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。 13. org.springframework.security...
spring security 源码
05-28
深入研究Spring Security的源码,可以帮助我们理解其内部机制,更好地定制和优化安全策略。源码阅读是一个很好的学习过程,可以提升我们解决实际问题的能力。在实际开发中,了解这些核心组件的工作原理,能够帮助...
spring security案例
12-07
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理。这个框架提供了全面的认证、授权功能,能够有效地保护Web...同时,也可以通过阅读源代码和日志来更深入地了解Spring Security内部工作原理。
遇见狂神说smbms.sql文件
weixin_39618279的博客
11-15 3585
USE `smbms`; DROP TABLE IF EXISTS `smbms_address`; CREATE TABLE `smbms_address` ( `id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '主键ID', `contact` varchar(15) COLLATE utf8_unicode_ci DEFAULT NULL COMMENT '联系人姓名', `addressDesc` varchar(50) COLLATE.
spring boot中利用Junit测试dao层的方法
weixin_39618279的博客
12-15 2461
因为dao层是接口,而且实现类也没有了,用了xml文件来对接口进行实现,所以在测试类进行dao层的测试的时候,可能会有点不适应,但其实在spring boot环境下测试是更方便的 在相同的目录下新建测试类,测试类代码如下 @RunWith(SpringRunner.class) //这两个注解是为了让测试类能拥有同等的spring boot上下文环境 @SpringBootTest public class UserDaoTest { @Autowired UserDao u
微服务和分布式的区别,个人看法
weixin_39618279的博客
03-13 1481
分布式:一个业务分拆多个子业务,部署在不同的服务器上 微服务:在设计一个商城系统的时候,比如有用户模块,支付模块,购物车模块,订单模块等,此时可以采用SOA(面向服务的架构)模型,把这些功能模块拆分出来,做成一个个服务,如用户服务,支付服务等。这样就成了多个服务组成一个完整的商城系统。 分布式:上边拆分出来的一个个服务就是微服务,这些服务之间通过良好的接口和协议联系起来。此时就要考虑如何部署这些微服务了,是选择部署到一个服务器上呢,还是部署到不同的服务器上。前者是微服务与分布式的细微区别,后者就是.
Kafka的简单原理以及和rabbitMq的区别
weixin_39618279的博客
03-13 1382
RabbitMQ和kafka的区别 1.应用场景方面 RabbitMQ:用于实时的,对可靠性要求较高的消息传递上。 kafka:用于处于活跃的流式数据,大数据量的数据处理上。2.架构模型方面 producer,broker,consumer RabbitMQ:以broker为中心,有消息的确认机制 kafka:以consumer为中心,无消息的确认机制3.吞吐量方面 RabbitMQ:支持消息的可靠的传递,支持事务,不支持批量操作,基于存储的可靠性的要求存储可以采用内存或硬盘,吞吐量小。 kafka:内部
springsecurity认证流程
07-27
- *1* *2* [SpringSecurity认证流程分析](https://blog.csdn.net/chisuisi5702/article/details/126281839)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值