spring security认证过程知识整理

已于 2024-02-05 17:14:24 修改
阅读量397 收藏 6
点赞数 7
分类专栏: spring 文章标签: spring 数据库 java
于 2024-02-05 17:07:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43103956/article/details/136044921
版权

基本功能:认证

一、Spring Security 核心组件
	**Authentication**:interface	:用来携带认证信息。认证信息包括用户身份信息,密码,及权限列表等
						它的实现类,表示当前访问系统的用户,封装了用户相关信息。
	
	**UsernamePasswordAuthenticationFilter**:Filter	:账号密码认证过滤器,用于认证用户信息,认证方式是由 AuthenticationManager 接口提供。 
	
	**AuthenticationManager**:interface	:认证管理器,是认证相关的核心接口,也是发起认证的出发点。
							实际业务中可能根据不同的信息进行认证,所以Spring推荐通过实现 AuthenticationManager 接口来自定义自己的认证方式。
							Spring 提供了一个默认的实现 ProviderManager。
	
	**ProviderManager**:认证提供者管理器,该类中维护了一个认证提供者(?)列表,只要这个列表中的任何一个认证提供者提供的认证方式认证通过,认证就结束。
	**AuthenticationProvider**:interface:认证提供者,具体如何认证,就看如何实现该接口;Spring Security 提供了 DaoAuthenticationProvider 实现该接口,这个类就是使用数据库中数据进行认证。
	**UserDetailsService**:interface:根据用户名获取用户详细信息
	**UserDetails**:pojo:用户的详细信息,主要用于登录认证。
	**SecurityContext**:SecurityContext 负责存储认证通过的用户信息(Authentication对象),保存着当前用户是什么,是否已经通过认证,拥有哪些权限等等。
	**SecurityContextHolder**	:	SecurityContextHolder 是最基本的对象,它负责存储当前 SecurityContext 信息。SecurityContextHolder默认使用 ThreadLocal 来存储认证信息,意味着这是一种与线程绑定的策略。在Web场景下的使用Spring Security,在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息。
	
	**AuthenticationSuccessHandler**	:	主要用于认证成功后的处理,比如返回页面或者数据。
	**AuthenticationFailureHandler**	:	主要用于认证失败后的处理,比如返回页面或者数据。
	**AccessDecisionManager**		:	主要用于实现权限,决定请求是否具有访问的权限。
	**AccessDeniedHandler**		:	主要用于无权访问时的处理
	
Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。
AuthenticationManager接口:定义了认证Authentication的方法
UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。
UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

二、Spring Security 工作流程
1.DelegatingFilterProxy
2.FilterChainProxy
	WebAsyncManagerIntegrationFilter
	SecurityContextPersistenceFilter
	HeaderWriterFilter
	CsrfFilter
	LogoutFilter
	UsernamePasswordAuthenticationFilter		:重点:用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改
	DefaultLoginPageGeneratingFilter
	BasicAuthenticationFilter				:检测和处理http basic认证
	RequestCacheAwareFilter			:用于处理请求的缓存
	SecurityContextHolderAwareRequestFilter		:主要包装请求对象request
	AnonymousAuthenticationFilter			:检测SecurityContextHolder中是否存在Authentication对象,如果不存在为其提供一个匿名Authentication
	SessionManagementFilter			:管理session的过滤器
	ExceptionTranslationFilter			:处理AccessDeniedException和AuthenticationException异常
	FilterSecurityInterceptor				:可以看作过滤器链的出口
	RememberMeAuthenticationFilter		:当用户没有登录而直接访问资源时,从cookie中找出用户的信息,如果SpringSecurity能够识别出用户提供remember me cookie ,用户将不必填写用户名和密码,而是直接登录进入系统,该过滤器默认从不开启

三、Spring Security 认证过程
	(一)request
	(二)->UsernamePasswordAuthenticationFilter:
		1获取用户名密码
		2基于用户名密码构建token
			(1)AuthenticationManager
			(2)AuthenticationProvider
			(3)UserDetailsService
			(4)PasswordEncoder
		3构建token成功
		
	(三)->AbstractAuthenticationProcessingFilter:判断处理结果,调用AuthenticationSuccessHandler&AuthenticationFailureHandler
Leo_Hu666
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security教程
03-29
本教程是基于Mossle平台整理Spring Security入门资料,旨在帮助初学者快速掌握这一关键的安全技术。 首先,我们要理解Spring Security的核心概念。**认证**是验证用户身份的过程,通常涉及用户名和密码的输入。**...
Spring面试专题及答案整理文档.zip
06-30
这个“Spring面试专题及答案整理文档”包含了Spring框架的重要知识点,是准备Spring面试和深入理解Spring技术体系的良好资料。 1. **依赖注入(DI)** - DI是Spring的核心,它允许开发者在运行时通过XML配置或注解...
SpringSecurity实现前后端分离登录token认证详解
热门推荐
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
springsecurity_Spring Security
weixin_39639514的博客
11-26 258
Spring Security一、 Spring Security 简介 1 概括Spring Security 是一个高度自定义的安全框架。利用 Spring IoC/DI 和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中...
SpringSecurity认证
chenxingxingxing的博客
07-13 1079
Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。
SpringSecurity认证流程(超级详细)
qq_34091529的博客
06-27 7092
最近开发项目的时候遇到了和SpringSecurity相关的一些问题,但是之前并没有去了解过SpringSecurity,导致改系统安全权限验证的时候就比较吃力了,目前项目开发大多都直接用脚手架直接开发,系统安全权限验证已经形成了,所以并不是自己写的,自己理解起来会更慢一些,所以这篇文章就是为了分析SpringSecurity认证流程而写的。
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2572
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
大白话详解Spring Security认证流程
LoveSummer
11-04 2776
Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。
SpringSecurity中文文档.zip
11-11
Spring Security安全权限管理手册.CHM”可能涵盖了SpringSecurity的基础知识,包括如何配置SpringSecurity、如何进行身份验证(Authentication)以及权限授权(Authorization)。它可能会详细介绍SpringSecurity的...
java常用技术整理-spring.rar
07-06
这个压缩包可能还涵盖了Spring Security,这是一个强大的安全框架,可以用来处理认证和授权。Spring Batch则是用于批处理操作的模块,适用于大数据量的处理任务。 学习和理解这些知识点,对于成为一名专业的Java...
Spring知识点提炼编程开发技术共16页.pdf.zip
11-25
安全方面,Spring Security提供了一套全面的安全解决方案,包括认证(Authentication)、授权(Authorization)以及防止XSS、CSRF等攻击。它可以通过简单的注解和配置,实现对Web应用的安全保护。 最后,Spring框架...
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
SpringSecurity用户认证
m0_62787705的博客
06-06 772
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
Spring Security认证与授权框架
赵广陆
01-20 2378
目录1 Spring Security介绍1.1 框架介绍1.2 认证与授权实现思路2 第一个 Spring Security 项目2.1 导入依赖2.2 访问页面3 UserDetailsService 详解3.1 返回值3.2 方法参数3.3 异常4 创建spring security核心配置类5 创建认证授权相关的工具类6 创建认证授权实体类7 创建认证和授权的filter 1 Spring Security介绍 1.1 框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。S
SpringSecurity(三)基本认证
陈橙橙
03-10 1095
认证 对于安全管理框架来说,认证共嗯那个可以说是一切的起点,所以我们要从最基本的认证开始,在SpringSecurity中,对认证功能做了大量的封装,我们只需要稍微配置一下就能使用认证功能,也就是因为大量的封装,所以在我们去理解它的逻辑时就显得有些不易了,我们先从最基本的用法开始。 SpringSecurity基本认证 登录表单配置 登录用户数据获取 用户的四种定义方式 基本认证SpringBoot中使用SpringSecurity非常方便,创建一个新的SpringBoot项目,我们只需要引入web
Spring Security 如何实现身份认证和授权?
u013749113的博客
05-21 3018
Spring Security 是一个非常强大的安全框架,可以为 Spring Boot 应用提供完整的身份认证和授权功能。本文介绍了 Spring Security 如何实现身份认证和授权,并提供了示例代码。使用 Spring Security 可以非常方便地保护应用程序,防止恶意攻击和数据泄露。
实战2 SpringBoot Security用户认证
最新发布
shieryue_2016的博客
12-16 1339
Spring Security 认证实现
spring security 认证简介
Littlemotor
08-05 1668
spring security的核心功能:认证和授权,认证就是身份验证(你是谁?),授权就是访问控制(你可以做什么?),同时他还提供很多安全管理的周边功能。在Spring Security的架构设计中,认证(Authentication)和授权(Authorization)是分开的,本篇文章主要涉及认证相关的功能和原理介绍。...............
SpringSecurity认证知识
10-24
SpringSecurity是一个基于Spring框架的Web应用安全性解决方案,其中认证是其核心功能之一。在SpringSecurity中,认证是指身份校验,即验证用户是否是系统中的合法用户。SpringSecurity提供了一套完整的认证机制,包括AuthenticationManager、AuthenticationProvider、UserDetailsService等组件。其中,AuthenticationManager是认证管理器,定义了Spring Security过滤器如何执行认证操作;AuthenticationProvider是认证提供者,用于根据用户提供的信息进行认证;UserDetailsService是用户详情服务,用于根据用户名获取用户信息。在认证成功后,SpringSecurity会将Authentication对象存储到SecurityContextHolder中,以便后续的授权操作。如果需要对SpringSecurity认证流程进行定制,可以通过自定义AuthenticationProvider或UserDetailsService等组件来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值