SpringSecurity

最新推荐文章于 2023-10-19 21:59:35 发布
最新推荐文章于 2023-10-19 21:59:35 发布
阅读量91 收藏
点赞数
分类专栏: 权限安全相关 文章标签: spring spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42272869/article/details/112244531
版权

Spring Security

基本原理

Spring Security都使用了设计模式中的责任链模式,它们都定义了许多过滤器(Filter),每一个请求都会经过层层过滤器的处理。



其中,Spring Security 在 Servlet 的过滤链(filter chain)中注册了一个过滤器 FilterChainProxy,它会把请求代理到 Spring Security 自己维护的多个过滤链,每个过滤链会匹配一些 URL,如图中的 /foo/**,如果匹配则执行对应的过滤器。过滤链是有顺序的,一个请求只会执行第一条匹配的过滤链。

Spring Security 的配置本质上就是新增、删除、修改过滤器

为便于使用,Spring Security默认实现了很多的过滤器,如 UsernamePasswordAuthenticationFilter 来处理用户名密码的认证, SessionManagementFilter 来管理 Session 等等。
下面以 UsernamePasswordAuthenticationFilter 为例来讲讲Spring Security的认证过程。其实也简单,就两步:

  1. UsernamePasswordAuthenticationFilter 拦截器匹配/loginPOST请求,保存认证信息(用户名和密码)
  2. 最终由用户实现UsernamePasswordAuthenticationProvider(authenticate方法) 进行实际认证

代码逻辑

代码比较清晰,主要关注几点:

  1. UsernamePasswordAuthenticationFilter定义了过滤器需要匹配的url
  2. UsernamePasswordAuthenticationFilter的父类AbstractAuthenticationProcessingFilter定义doFilter方法实现整个认证流程,该过程调用attemtAuthentication进行认证,保存认证结果并根据结果调用successfulAuthentication或者unsuccessfulAuthentication
  3. attemtAuthentication方法最终会由用户实现的UsernamePasswordAuthenticationProvider(authenticate方法) 进行实际认证

UsernamePasswordAuthenticationFilter定义过滤器需要匹配的url(/loginPOST请求)

UsernamePasswordAuthenticationFilter继承AbstractAuthenticationProcessingFilter用于处理/loginPOST请求

UsernamePasswordAuthenticationFilter

AbstractAuthenticationProcessingFilter定义doFilter方法实现整个认证流程

AbstractAuthenticationProcessingFilterdoFilter方法中会调用attemptAuthentication方法,该方法进行认证生成认证结果,最终认证结果由session处理。

AbstractAuthenticationProcessingFilter

UsernamePasswordAuthenticationProvider(authenticate方法) 进行实际认证

UsernamePasswordAuthenticationFilter执行认证
UsernamePasswordAuthenticationFilter会实现父类中的attemptAuthentication方法,该方法首先生成UsernamePasswordAuthenticationToken保存认证信息。然后调用AuthenticationManagerauthenticate方法认证。

UsernamePasswordAuthenticationFilter

注意: 不同的filter会将认证信息保存到不同类型的结果中, 后续Spring Security会根据认证信息类型寻找合适的AuthenticationProvider进行认证,UsernamePasswordAuthenticationFilter将结果保存到UsernamePasswordAuthenticationToken中。

AuthenticationManager调用各AuthenticationProvider执行认证
ProviderManager实现AuthenticationManager接口, ProviderManager首先通过AuthenticationProvider中的support方法找到合适的AuthenticationProvider,然后调用authenticate认证方法

ProviderManager

对于UsernamePasswordAuthenticationFilter,通常我们需要实现自己的UsernamePasswordAuthenticationProvider(实现AuthenticationProvider接口)用于用户名和密码验证以及加入一些需要的用户信息如角色、权限等到认证结果中。
示例:

UsernamePasswordAuthenticationProvider实现示例

源码

https://gitee.com/awesome-engineer/spring-cloud-family-bucket

pan_mlpan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastadmin token 验证错误_Django REST Framework教程(6): 认证详解及如何使用Token认证
weixin_39619270的博客
11-27 347
在前篇的开发博客API案例中,我们详细介绍了如何在DRF中使用权限以及如何自定义权限实现了只有经过身份验证的用户可以创建文章并且只有文章的所有者可以编辑和删除文章。然而前篇文章中我们使用了Django默认的基于session的认证方式,实际前后端分离开发项目中后台更多采用的是token(令牌认证)。本文将详细介绍如何在DRF中使用不同的认证方案,并重点介绍如何使用DRF自带的token认...
fastadmin出现token验证错误!_gitee 拥有3.7k星星的极速后台框架—FastAdmin了解一下...
weixin_28681379的博客
01-31 583
前言FastAdmin 是一款基于 ThinkPHP5 + Bootstrap 的极速后台开发框架,并且FastAdmin是遵循Apache2开源协议发布的。拥有一键生成CRUD/一键生成菜单/一键生成API文档,强大的一键生成功能极速简化你的开发流程,加快你的项目开发。主要特性FastAdmin已经具备php最优秀的二开框架的雏形,并提供免费使用。里面还拥有众多“黑科技”哦,例如:基于Auth验...
fastadmin出现token验证错误!_完美解决 Windows远程桌面提示出现身份验证错误。。。...
weixin_42298128的博客
01-27 1023
这两天要远程维护2个服务器,其中一个服务器怎么都远程不上,后来网上查,原来自己的电脑升级到Windows10 1809 17763.1217版本和补丁后都会可能报错: 出现身份验证错误,要求的函数不正确,这可能是由于CredSSP加密Oracle修正。。。。的情况 怎么都调整网络都连不上我度娘了好久试了很多网上的说法,还是不行,因为我的家庭版一运行不了gpedit.msc , 家庭版运行不了gpe...
fastadmin token 验证错误_Django跨域验证及OPTIONS请求
weixin_39999222的博客
11-28 463
最近做的一个需求是:有两个后端服务器,一个是老项目(django),一个是新项目(djangorestframework),老项目不能做大的改动,只能在新项目进行修改,并且前端只能使用老项目的。老项目的登录认证是最简单的方式:数据库保存账号密码,登录时发送账号密码,检测是否正常,即算是登录成功。新后端是使用jwt认证方式,使用Django用户模块保存用户信息。以上是需求的前提,现在要做的是在老项目...
表单组件 form fastadmin(生成表单元素)
aochijing0046的博客
03-06 1360
Form组件 定义文件位置: /extend/fast/Formphp 通用参数 $name 通常为我们组件的名称(name属性值),我们在后台接收时可以通过这个名称来获取到它所对应的值 $value 通常为我们数据库中的值(元素value值),在新增的时候通常为空,在修改的时候通常需要是数据库中对应字段的值 $options 组件的扩展属性,通常为一一键值匹配并最终渲染...
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
springSecurity
10-14
springSecurity
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
token的验证流程
qq_52963857的博客
07-13 849
token的验证流程 登录接口(携带账号和密码(MD5)) -->到后台 后台需要解析,-->然后在前端显示 任何请求的接口都会把放在header里面的token携带过去 拦截器拦截token 业务代码Controller
fastadmin框架token验证
最新发布
精通前端技术,了解后端接口
10-19 1408
Token验证是一种基于令牌(Token)的身份验证方式。在这种方式下,用户在登录成功后会获得一个令牌(Token),这个令牌包含了用户的身份信息以及其他相关信息。当用户发送请求时,需要携带这个令牌,服务端通过验证令牌的有效性来判断用户的身份和权限。Token验证是一种常见的身份验证方式,可以确保用户请求的安全性和合法性。在FastAdmin框架中,我们可以轻松地实现Token验证功能,通过验证Token来判断用户的身份和权限。希望本文对你理解FastAdmin框架中的Token验证有所帮助。
fastadmin token 验证错误_用签名保护你的隐私(4)--token生成
weixin_39567046的博客
11-29 473
Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端以后再次请求的时候带上 Token 证明自己的合法地位,无需再次带上用户名和密码。其流程如图1所示。图1 token认证过程基本流程是这样的:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这...
fastadmin的权限管理auth
王兆镇的博客
12-22 3061
fastadmin的权限管理auth <?php // +---------------------------------------------------------------------- // | ThinkPHP [ WE CAN DO IT JUST THINK IT ] // +---------------------------------------------------------------------- // | Copyright (c) 2011 http://t
python三大开发框架django、 flask 和 fastapi 对比
人生不怕起点低,就怕没追求
07-11 6184
本文讲述了什么启发了 FastAPI 的诞生,它与其他替代框架的对比,以及从中汲取的经验。 如果不是基于前人的成果,FastAPI 将不会存在。在 FastAPI 之前,前人已经创建了许多工具。
开放API接口签名验证,让你的接口从此不再裸奔
Java笔记虾
09-03 1331
作者:Joker_Codingblog.csdn.net/qq_18495465/article/details/79248608接口安全问题请求身份是否合法?请求参数是否被篡改?请求是...
java不同项目加token访问_SpringBoot:基于JWT的token校验、单点登录等
weixin_39757739的博客
11-07 417
前言用户鉴权一直是我先前的一个问题,以前我用户接口鉴权是通过传入参数进行鉴权,只要是验证用户的地方就写token验证,虽然后面也把token验证方法提取到基类中,但是整体来说仍然不是太雅观,当时的接口如下所示.@RequestMapping(value = "like",method = RequestMethod.POST) public ResultMap userLikeOrDisL...
基于Django+FastDFS文件管理系统搭建
weixin_38203111的博客
06-24 866
FastDFS 介绍 简介 FastDFS是一款类Google FS的开源分布式文件系统,它用纯C语言实现,支持Linux、FreeBSD、AIX等UNIX系统。它只能通过 专有API对文件进行存取访问,不支持POSIX接口方式,不能mount使用。准确地讲,Google FS以及FastDFS、mogileFS、 HDFS、TFS等类Google FS都不是系统级的分布式文件系统,而是应用级的分布式文件存储服务。 FastDFS 是一个开源的高性能分布式文件系统(DFS)。 它的主要功能包括:文件存储
Spring Security
09-13
Spring SecuritySpring家族中的一个安全管理框架。与另外一个安全框架Shiro相比,Spring Security提供了更丰富的功能,并且拥有更丰富的社区资源。一般来说,中大型的项目更倾向于使用Spring Security作为安全框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值