springsecurity 扩展参数_一文带你了解强大的 Spring Security 架构原理!

最新推荐文章于 2024-04-20 05:49:24 发布
最新推荐文章于 2024-04-20 05:49:24 发布
阅读量193 收藏
点赞数
文章标签: springsecurity 扩展参数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39757893/article/details/111391958
版权
本文深入探讨Spring Security的架构和核心概念,包括身份认证、授权、Web安全和过滤器链的定制。通过示例解释了如何配置Authentication Managers和Authorization,以及如何在异步处理中保持安全性。适合Spring Security初学者和专家了解其工作原理。
摘要由CSDN通过智能技术生成
作者:before31 https:// my.oschina.net/xuezi/bl og/3126351

本指南是Spring Security的入门,它提供了对该框架的设计和基本构建的见解。我们仅介绍了应用程序安全性的最基本知识,但是这样做可以解除使用Spring Security的开发人员所遇到的一些困惑。为此,我们会看一下使用过滤器(更通常是使用方法注释)在Web应用程序中应用安全性的方式。当你需要从高层次了解安全应用程序的工作方式,如何自定义它,或者仅需要学习如何考虑应用程序安全性时,请使用本指南。

本指南并不是解决最基本问题的手册(对于基本问题,有很多其他可参考的资料),但对于初学者和专家都可能有用。 Spring Boot也被提及了很多次,因为它为安全的应用程序提供了一些默认行为,并且理解它与整个体系结构之间的关系会对你很有帮助。所有这些原则同样适用于不使用Spring Boot的应用程序。

身份认证和访问控制(Authentication and Access Control)

应用程序安全性差不多可以归结为两个独立的问题:身份认证(你是谁)和授权(authorization)(你可以做什么?)。 有时人们会说“访问控制”而不是“授权”,这可能会造成困惑,但是以这种方式思考可能会有所帮助,因为“授权”在其他地方又有其他含义。 Spring Security的体系结构旨在将身份认证与授权分开,并且具有许多策略和扩展点。

身份认证

认证的主要策略接口是AuthenticationManager,该接口只有一个方法:

public interface AuthenticationManager {

  Authentication authenticate(Authentication authentication)
    throws AuthenticationException;

}

在AuthenticationManager接口的authenticate()方法中可以有3种处理情况:

  • 如果认证成功,则返回一个Authentication对象(通常将其authenticated属性设置为true)。
  • 如果认证失败,则抛出AuthenticationException异常。
  • 果无法判断成功或失败,则返回null。

AuthenticationException是运行时异常。它通常由应用程序以通用方式处理,具体取决于应用程序的风格或目的。 换句话说,通常不希望用户代码捕获并处理它。 例如,一个Web UI将呈现一个页面,该页面说明身份验证失败,而后端HTTP服务将发送401响应,是否携带WWW-Authenticate标头则取决于上下文。

AuthenticationManager最常用的实现是ProviderManager,它委派了AuthenticationProvider实例链。AuthenticationProvider有点像AuthenticationManager,但是它还有一个额外的方法,允许调用者查询是否支持给定的Authentication类型:

public interface AuthenticationProvider {

	Authentication authenticate(Authentication authentication)
			throws AuthenticationException;

	boolean supports(Class<?> authentication);

}

supports()方法中的Class<?>参数实际上是Class<? extends Authentication>(仅会询问它是否支持将传递到authenticate()方法中的内容)。 通过委派给AuthenticationProviders链,ProviderManager可以在同一应用程序中支持多种不同的身份验证机制。 如果ProviderManager无法识别特定的身份验证实例类型,则将跳过该类型。

ProviderManager具有可选的父级,如果所有提供程序都返回null,则可以咨询该父级。 如果父级不可用,则空的Authentication将导致AuthenticationException。

有时,应用程序具有逻辑组的受保护资源(例如,与路径模式/api/**匹配的所有Web资源),并且每个组可以具有自己的专用AuthenticationManager。 通常,每一个都是ProviderManager,它们共享一个父级。 因此,父级是一种“全局”资源,充当所有providers的后备。

使用ProviderManager的AuthenticationManager层次结构

2cfcc34d7e5059e229117c9fc5083d67.png

定制Authentication Managers

Spring Security提供了一些配置助手,可以快速获取在应用程序中设置的通用Authentication Managers功能。 最常用的帮助程序是AuthenticationManagerBuilder,它非常适合设置内存中、JDBC或LDAP用户详细信息,或添加自定义UserDetailsService。这是配置全局(父)AuthenticationManager的应用程序的示例࿱

最低0.47元/天 解锁文章
weixin_39757893
关注
Spring Boot进阶(87):基于Spring Security实现单点登录(SSO) | 超级详细,建议收藏
**My Coding Family**
04-17 2637
基于Spring Security实现单点登录(SSO),一文你学会。
spring-security-web-extensions:Spring Security Web的扩展
04-29
Spring安全网扩展 Spring Security Web扩展:基于令牌的API安全
隔壁程序妹子推荐的纯 Spring Security 架构干货分享,我先收藏了!
程序员小乐
09-25 1024
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Three things in life when gone n...
Spring扩展------SpringSecurity
hspnb的博客
09-24 654
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
spring security3 扩展应用
经贸小强的专栏
08-13 1032
由于参与公司的一个项目用到了spring security3。开始以为ss3这种安全框架应该不会太难,可看了几天之后发现依旧不能运行出满足需求的demo出来。我去难道是我太笨了。又接着研究了一下终于大体上了解spring security3 的用法。有不妥之处请各位大神指出。 开始正题使用的spring security版本是3.0.8请大家注意一下 项目需求:将权限,资源和角色存储在数据库中
spring security扩展点入门示例
蜗牛跑的快
06-26 430
登录认证自定义 创建密码加密并放到spring中 package com.snail.learn.security.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
redirect重定向中可以参数吗_一文了解 OAuth2 协议与 Spring Security OAuth2 集成!...
06-13
重定向后,用户将被要求进行身份验证,并在身份验证成功后被重定向回原始资源,并参数。 另外,OAuth2协议中的授权码模式就是通过重定向参数来实现的。在授权码模式中,应用程序会将用户重定向到认证服务,...
一文搞定 Spring Security 异常处理机制!
最新发布
2401_84407867的博客
04-20 825
我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)[外链图片转存中…(img-yw24h40Z-1713563349496)]
一文你搞懂 Spring Security
m0_71777195的博客
12-27 2107
编写类,实现PasswordEncoder 接口/*** 凭证匹配,用于做认证流程的凭证校验使用的类型* 其中有2个核心方法* 1. encode - 把明文密码,加密成密文密码* 2. matches - 校验明文和密文是否匹配* *//*** 加密* @param charSequence 明文字符串* @return*/@Overridetry {return "";}}/*** 密码校验* @param charSequence 明文,页面收集密码。
一文了解 OAuth2 协议与 Spring Security OAuth2 集成!
架构文摘
01-01 929
OAuth 2.0 允许第三方应用程序访问受限的HTTP资源的授权协议,像平常大家使用Github、Google账号来登陆其他系统时使用的就是 OAuth 2.0 授权框架,下图就是使用Github账号登陆Coding系统的授权页面图: 类似使用 OAuth 2.0 授权的还有很多,本文将介绍 OAuth 2.0 相关的概念如:角色、授权类型等知识,以下是我整理一张 OAuth 2.0 授权的脑...
springSecurity 实现传参
11-04
springSecurity 实现登陆验证、传参,包括源代码和MYSQL的建库脚本。 传参的功能可以实现记录登陆之前打开的页面,登陆之后自动跳转到之前打开的页面。
SpringSecurity增加额外登录参数
m0_37068073的博客
08-09 2992
参考连接 自定义认证逻辑的两种方式(高级玩法) 我的需求是需要在传多个参数,从数据库中查询 自定义UsernamePasswordAuthenticationFilter /** * @author Junisyoan * @date 2021年2月23日 * 验证登录用户密码 */ public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter { ...//省略 @Ove.
spring-security 多类型用户登录+登录多参数验证
热门推荐
is_zhoufeng的专栏
05-03 1万+
如果一个系统分为前台用户和后台用户那么就不能使用spring-security的默认配置了。 需要自己来分开配置两种用户的登录方式。 首先创建spring-disuser-security.xml 与 spring-etuser-security.xml 两个配置文件,分别来配置两种用户登录的权限与验证方式 spring-disuser-security.xml的内容如下 <beans
SpringSecurity 自定义扩展
lucktomcat的博客
06-25 220
null?if(!throw new DisabledException("该账户已被禁用,请联系管理员");} else if(!throw new LockedException("该账号已被锁定");} else if(!
spring security3 扩展验证码
kekezhangshao的博客
11-18 141
security的登录参数验证主要是经过UsernamePasswordAuthenticationFilter过滤   所以我们自己写个新的实现类类继承UsernamePasswordAuthenticationFilter,验证码工具我是使用jcaptcha,相信大家对这个也不会感觉陌生吧,至于网上也有很多这样的例子来演示如何扩展了   先来写个实现类继承UsernamePassw...
SpringSecurity安全框架常见参数
weixin_48948094的博客
08-12 1293
anyRequest() 在之前认证过程中我们就已经使用过 anyRequest(),表示匹配所有的请求。一般情况下此方法都会使用,设置全部内容都需要进行认证。 .anyRequest().authenticated(); antMatcher() 方法定义如下 public C antMatchers(String... antPatterns) 参数是不定向参数,每个参数是一个 ant 表达式,用于匹配 URL规则。 规则如下: ? : 匹配一个字符 :匹配 0 个或多个字符 ** :匹配 0 个
Spring Security默认参数配置
RichardGeek的博客
08-01 3298
Spring Security内置属性参数 Spring Boot 提供的内置配置参数security为前缀,具体属性如下: # SECURITY (SecurityProperties 类中) security.basic.authorize-mode=role # 应用授权模式,ROLE=成员必须是安全的角色,AUTHENTICATED=经过身份 ...
SpringSecurity 扩展登录与注销功能
抛弃幻想,准备斗争
04-25 1293
扩展注销功能 现在已经成功实现Spring自己管理的登录操作包括注销的实现,但是很多时候对于前台页面的要求是很高的, 你不能说直接给一个素颜的页面.往往需要在项目里面定义属于自己的漂流的登录页面, 范例:定义一个专门的登录页 <form action="<%=basePath %>login" method="post"> 用户名:<input ty...
springcloud集成springsecurity_一分钟了解Spring Security
07-28
Spring Security 是一个开源的安全框架,提供了一套全面的安全解决方案,用于保护 Spring ...综上所述,通过集成 Spring Security,你可以为 Spring Cloud 应用程序提供强大的安全性,并自定义其行为以满足特定的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值