spring security原理_Spring Security工作原理

最新推荐文章于 2023-07-19 13:33:19 发布
最新推荐文章于 2023-07-19 13:33:19 发布
阅读量150 收藏 1
点赞数
文章标签: spring security原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39849888/article/details/111391913
版权

Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截校验每个请求是否能够访问它所期望的资源。可以通过FilterAOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。

当初始化Spring Security时,会创建一个名为 SpringSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter,因此外部的请求会经过此类,下图是Spring Security过虑器链结构图:

808ba95b084e01fcee900f38d908db45.png

FilterChainProxy 是一个代理,真正起作用的是FilterChainProxy中SecurityFilterChain包含的各个Filter,同时这些Filter作为Bean被Spring管理,它们是Spring Security核心,各有各的职责,但他们并不直接处理用户的认证,也不直接处理用户的授权,而是把它们交给了认证管理器(AuthenticationManager)和决策管理器(AccessDecisionManager)进行处理,下图是FilterChainProxy相关类的UML图示。

34bdd243186a80605626f8ad9933d060.png

65e81850608938d8a798028979d8451d.png

下面介绍过滤器链中主要的几个过滤器及其作用:

SecurityContextPersistenceFilter 这个Filter是整个拦截过程的入口和出口(也就是第一个和最后一个拦截器),会在请求开始时从配置好的 SecurityContextRepository 中获取 SecurityContext,然后把它设置给SecurityContextHolder。在请求完成后将 SecurityContextHolder 持有的 SecurityContext 再保存到配置好的 SecurityContextRepository,同时清除 securityContextHolder 所持有的SecurityContext;

UsernamePasswordAuthenticationFilter 用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码,其内部还有登录成功或失败后进行处理的AuthenticationSuccessHandler 和AuthenticationFailureHandler,这些都可以根据需求做相关改变;

FilterSecurityInterceptor 是用于保护web资源的,使用AccessDecisionManager对当前用户进行授权访问,前面已经详细介绍过了;

ExceptionTranslationFilter 能够捕获来自 FilterChain 所有的异常,并进行处理。但是它只会处理两类异常:AuthenticationException 和 AccessDeniedException,其它的异常它会继续抛出。

weixin_39849888
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security总体架构介绍
lifetime_gear的博客
10-21 1528
本文以抽象的方式介绍了 Spring Security 框架整体的运行流程,有助于读者理解 Spring Security 的运行方式并更好的使用 Spring Security 框架
Spring Security框架详解
m0_71777195的博客
05-12 329
Spring Security是一个基于Spring框架的认证和授权框架,它提供了各种工具和框架来保护基于Spring的应用程序。用户认证和授权保护Web应用免受各种攻击,如跨站点脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)和点击劫持攻击使用基于角色和权限的访问控制来保护应用程序资源带有单点登录(SSO)功能,可以将多个应用程序集成到一个中央身份验证系统与其他Spring框架,如Spring MVC和Spring Boot,提供可定制的集成。
Spring Security(一) —— 整体架构与入门案例分析
eyes++的博客
07-22 531
Spring Security的架构设计中,认证和授权是分开的,无论使用什么样的认证方式。都不会影响授权,这是两个独立的存在,这种独立带来的好处之一,就是可以非常方便地整合一些外部的解决方案。.........
spring security 微服务权限认证架构图(jwt版和jwt+redis版)
应学欣的博客
06-23 2710
标题一,jwt版,代码比较简洁,但是不能控制jwt失效 标题二,jwt+redis版,服务端能用reids控制jwt失效
两张图疏通Spring Security认证流程
最新发布
HHH的博客
07-19 439
我们都知道实现一套Spring Security 的认证流程, 需要设计很多和类来回切换,等等, 这些类名又非常的长, 所以导致我们在写的时候,思绪混乱,不知道下一步应该写什么 ,所以今天我们就通过两张图来搞明白这个认证编码的流程Tip:最好自己是已经跟着文档或者视频做过一次Spring Security认证流程可以看看我的上一篇博客更加优雅的认证授权——Spring Security_Hzq958的博客-CSDN博客所以我们的编码流程自顶向下的方式是非常合理, 避免了反复频繁的切换类。
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3313
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
SpringSecurity之基本原理图示讲解
qq_45596525的博客
11-14 1203
文章目录前言一、SpringSecurity的功能二、基础构建模块与运行流程1. 图示与简介2.SpringSecurity框架下,HTTP如何访问web页面?总结 前言 不同于spring的其它框架 , SpringSecurity是一款重量级的 , 功能强大web安全框架,需要依赖的内容很多 ,极大地提高了Web开发中安全模块的开发效率 提示:以下是本篇文章正文内容,下面案例可供参考 一、SpringSecurity的功能 举几个例子吧,这在下面大部分都会用到 提供了除表单登录验证的身份验证以
spring security权限校验
weixin_43851855的博客
09-26 2731
构成 Spring Security 进行认证的流程,Security 快速入门
SpringSecurity-基于微服务的认证与权限访问
萌萌虎的博客
08-18 2065
微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种 使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。(JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519。...
Spring Security源码学习——建造者基础架构
clyu的博客
09-14 239
参考文章Spring Security源码(一):整体框架设计 前言 Spring Security整个框架的核心就是构建一个名字为 springSecurityFilterChain 的过滤器Bean,它的类型是 FilterChainProxy 它整个框架主要由 建造者 和 配置器 构成,在服务启动时就是 通过配置器对建造者进行配置 ,配置完成再由建造者创建出核心过滤。 本文主要讲的就是他的建造者 建造者的顶级接口是整体SecurityBuilder,而他的基本架构实现是AbstractConfigu
阿里大佬整理分享Spring Security王者晋级文档,实在太香了
Java6888的博客
09-25 740
Spring是一个非常流行和成功的 Java 应用开发框架。SpringSecuritySpring家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制访问控制列表(Access Control List,ACL),可以对应用中的领域对...
【译】Spring 官方教程:Spring Security 架构
程序猿DD
01-03 1万+
原文:Spring Security Architecture译者:徐靖峰校对:马超君专题指南本文是 Spring Security 的入门指南,并对 Spring Security 的框架设计和基础组件进行深度解析。我们仅涉及应用程序安全性的基础知识,但这已足够消除开发人员在使用 Spring Security 时遇到的一些困惑。要做到这一点,我们需要了解如何使用过滤器和方法注解来保障Web应用
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
Spring Security安全框架入门篇
weixin_30421809的博客
02-04 842
一、Spring Security相关概念 1.1.、Spring Security介绍: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架(简单说是对访问权限进行控制嘛)。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Con...
Spring Security 技术图谱
WillieLiu的专栏
06-20 870
图片来源:阿里巴巴-小马哥
4. Spring Boot + Spring Security 图形验证码
天下没有难写的代码
10-29 695
思路:需要用户自定义设置宽度、高度、长度、以及验证码过期时间 ImageCodeProperties.java 用户自定义图片信息 package com.imooc.security.core.properties; /** * URL 表示用户需要登陆验证的请求 * @author cjj * @date 2018年10月29日 * @email 729165621@qq.com...
SpringBoot集成Spring Security(7)——认证流程
热门推荐
Jitwxs
12-02 6万+
文章目录一、认证流程二、多个请求共享认证信息三、获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Security 的认证流程,这样才能理解为什么要这样写代码,也方便后续的扩展。 一、认证流程 上图是 Spring Security 认证流程的一部分,下面的讲解以上图为依据。 (1) 用户发起表单登...
Spring-Security 运行流程
u012156496的博客
12-06 1万+
Spring-Security 运行流程首先在web.xml中配置如上图所示的过滤器,但这其实不是spring-security包下的类,而是spring-web下面的一个类,从名字上可以看出,这个类是一个过滤器的代理,根据我查阅资料,这样做的原因是:spring-security的过滤器链中的每一个都必须被注入来自 Spring 应用程序上下文的其他 Bean. 但 Servlet 规范并没有使得
SpringSecurity-基本概念和处理流程
CTPeng的博客
01-08 1767
SpringSecurity-基本概念和处理流程分析 优秀文章推荐: 1、https://www.cnkirito.moe/spring-security-1/ 2、https://www.jianshu.com/p/e8e0e366184e 文章较长,望耐心阅读。 首先,需要明白SpringSecurity它解决什么问题? 1、认证:证明你是你的问题,通常就是用用户名和密码来证明。 2、授权:...
Spring Security Oauth2 RedisTokenStore 类图
勿忘初心
01-23 1654
源码地址:RedisTokenStore.java 个人微信公众号: 作者:jiankunking 出处:http://blog.csdn.net/jiankunking

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值