Spring Security使用(二)

最新推荐文章于 2022-05-26 23:56:34 发布
最新推荐文章于 2022-05-26 23:56:34 发布
阅读量153 收藏
点赞数
分类专栏: SpringSecurity 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43436745/article/details/111321280
版权

Spring Security的基本原理

Spring Security的本质就是一个过滤器链,拥有很多过滤器

一、查看源码

FilterSecurityInterceptor过滤器

是一个方法级的过滤器,基本位于过滤器的最底部
可以在idea中按下两次shift键进行查找,如下图
在这里插入图片描述
源码

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by Fernflower decompiler)
//

package org.springframework.security.web.access.intercept;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import org.springframework.security.access.SecurityMetadataSource;
import org.springframework.security.access.intercept.AbstractSecurityInterceptor;
import org.springframework.security.access.intercept.InterceptorStatusToken;
import org.springframework.security.web.FilterInvocation;

public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {
    private static final String FILTER_APPLIED = "__spring_security_filterSecurityInterceptor_filterApplied";
    private FilterInvocationSecurityMetadataSource securityMetadataSource;
    private boolean observeOncePerRequest = true;

    public FilterSecurityInterceptor() {
    }

    public void init(FilterConfig arg0) throws ServletException {
    }

    public void destroy() {
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        this.invoke(fi);
    }

    public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
        return this.securityMetadataSource;
    }

    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }

    public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource newSource) {
        this.securityMetadataSource = newSource;
    }

    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        if (fi.getRequest() != null && fi.getRequest().getAttribute("__spring_security_filterSecurityInterceptor_filterApplied") != null && this.observeOncePerRequest) {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } else {
            if (fi.getRequest() != null && this.observeOncePerRequest) {
                fi.getRequest().setAttribute("__spring_security_filterSecurityInterceptor_filterApplied", Boolean.TRUE);
            }

            InterceptorStatusToken token = super.beforeInvocation(fi);

            try {
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            } finally {
                super.finallyInvocation(token);
            }

            super.afterInvocation(token, (Object)null);
        }

    }

    public boolean isObserveOncePerRequest() {
        return this.observeOncePerRequest;
    }

    public void setObserveOncePerRequest(boolean observeOncePerRequest) {
        this.observeOncePerRequest = observeOncePerRequest;
    }
}

在这里插入图片描述
super.beforeInvocation(fi) 表示查看之前的 filter 是否通过。
fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务。

ExceptionTranslationFilter过滤器

是异常过滤器,用来处理在认证授权过程中抛出的异常
源码略~

UsernamePasswordAuthenticationFilter

对/login 的 POST 请求做拦截,校验表单中用户名,密码
源码略~
在这里插入图片描述

二、过滤器的加载过程

在这里插入图片描述

三、两个重要的接口

UserDetailsService 接口

当没有对项目进行任何设置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑
而当需要自定义控制逻辑时也就是说当我们需要查询数据库时,实现UserDetailsService 接口即可

- 创建类继承UsernamePasswordAuthenticationFilter,重写三个方法
- 创建类实现UserDetailService,编写查询数据过程,返回User对象,这个User对象是安全框架提供对象

PasswordEncoder 接口

通过实现该接口,实现对返回的User密码进行加密
实例

	@Test
    public void test01(){
        // 创建密码解析器
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        // 对密码进行加密
        String atguigu = bCryptPasswordEncoder.encode("atguigu");
        // 打印加密之后的数据
        System.out.println("加密之后数据:\t"+atguigu);
        //判断原字符加密后和加密之前是否匹配
        boolean result = bCryptPasswordEncoder.matches("atguigu", atguigu);
        // 打印比较结果
        System.out.println("比较结果:\t"+result);
    }
望月清风微拂面
关注
专栏目录
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
Spring Security底层源码剖析
albort_steven的博客
11-22 437
Spring Security源码深入解析,一步步深入了解Spring Security底层实现原理。
SpringSecurity实现动态鉴权
weixin_42943586的博客
06-25 1087
SpringSecurity的鉴权原理 整个认证的过程其实一直在围绕图中过滤链的绿色部分,而我们今天要说的动态鉴权主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor。 FilterSecurityInterceptor 想知道怎么动态鉴权首先我们要搞明白SpringSecurity的鉴权逻辑,从上图中我们也可以看出:FilterSecurityInterceptor是这个过滤链的最后一环,而认证之后就是鉴权,所以我们的FilterSecurityInterceptor
spring security FilterSecurityInterceptor过滤器访问控制流程分析
a807719447的专栏
11-18 930
FilterSecurityInterceptor.doFilter中调用了当前类的invoke(fi)方法参数fi为FilterInvocation(调用的对象内部封装了当前请求的一些列信息),该方法主要流程如下 public void invoke(FilterInvocation fi) throws IOException, ServletException { //判断当前请求的request不为null,FILTER_APPLIED这个属性限制 //了当前类型的过滤器仅执行一个,它结合obser
spring security的原理及教程
珍惜
04-12 4425
spring security使用分类:如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差;3、spring security和Acegi不...
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
Spring Security 则是 Java 开发中广泛使用的安全框架,用于实现认证和授权。当我们将这两者结合时,我们可以创建一个强大的统一登录认证鉴权系统。 首先,让我们深入了解Spring Cloud Gateway。这是一个基于...
详解Spring Boot 使用Spring security 集成CAS
08-30
Spring Boot 使用 Spring Security 集成 CAS Spring Boot 是一个基于 Java 的开源框架,用于快速构建生产级别的应用程序。Spring Security 是一个基于 Spring 的安全框架,提供了身份验证、授权和访问控制等功能。...
springsecurity学习笔记
最新发布
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
spring security (三) 数据库认证,获取用户权限和url地址
mylove10086
05-14 1万+
通过一和已经完成了用户的认证和授权,但是用户权限和url都是写在配置类SecurityConfig.java中的。这次我们把这些内容到放在数据库中,在系统启动时从数据库中获取。配置自定义的用户服务    spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Fil...
spring security 登录、权限管理配置
热门推荐
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
Spring Security(三):基本原理
zhujunjun6的专栏
03-20 271
Spring Security主要通过自定义的Filter对相关的URL进行权限控制,本篇文章将主要介绍它的基本原理: 继续接着上篇文章《Spring Security):三分钟入门HelloWorld 》,zjj-security-demo启动 ZjjSecurityDemoApplication 类main方法,并访问http://localhost:8080/hi进行观察: ...
springsecurity权限控制_Spring Security 实战干货:动态权限控制(下)实现
weixin_39702649的博客
11-26 348
1. 前言Spring Security 实战干货:内置 Filter 全解析 中提到的第 32 个 Filter 不知道你是否有印象。它决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限? 它就是 FilterSecurityInterceptor ,正是我们需要的那个轮子。2.FilterSecurityInterceptor过滤器排行榜第 32 ...
Spring Security3源码分析(4)-FilterChainProxy执行过程分析
Benjamin
09-11 1500
通过FilterChainProxy的初始化、自定义标签的分析后,Spring Security需要的运行环境已经准备好了。  这样当用户访问应用时,过滤器就开始工作了。web.xml配置的Filter:org.springframework.web.filter.DelegatingFilterProxy就不介绍了,该类仅仅是初始化一个FilterChainProxy,然后把所有拦截的请求
三、Spring Security之权限校验及源码解析
panchang199266的博客
05-28 1534
一、源码解析 1、权限校验涉及的相关类图 2、权限校验时序图: 3.在权限校验过程中,几个比较关键的类: UsernamePasswordAuthenticationFilter AnonymousAuthenticationFilter ExceptionTranslationFilter FilterSecurityInterceptor 调用流程如下: AbstractAuthentic...
SpringSecurity
Ekertree的博客
05-26 635
文章目录Spring Security1.SpringSecurity 框架简介1.2 框架对比2.SpringSecurity 入门案例2.1 创建springboot项目2.2 编写controller2.3运行这个项目3.SpringSecurity 基本原理3.1UserDetailsService 接口讲解3.2 PasswordEncoder 接口讲解4.SpringSecurity Web 权限方案4.1设置登录系统的账号、密码4.2实现数据库认证来完成用户登录4.3 基于角色或权限进行访问控
spring boot security FilterSecurityInterceptor 使用要点记录
qushapos的博客
12-10 1万+
spring security FilterSecurityInterceptor 使用要点记录 FilterSecurityInterceptor是一个方法级的权限过滤器, 基本位于过滤链的最底部 该过滤器用于控制method级别的权限控制. 官方提供了2种默认的方法权限控制写法 一种是在方法上加注释实现, 另一种是在configure配置中通过 @Secured("ROLE_ADMIN")...
深入浅出Spring Security(五):认证和授权的过程
紫眸的博客
10-12 4553
上篇回顾 上篇介绍了HttpSecurity如何建造过滤器链,本文主要介绍几个主要的过滤器。 认证过滤器 UsernamePasswordAuthenticationFilter 参数有username,password的,走UsernamePasswordAuthenticationFilter,提取参数构造UsernamePasswordAuthenticationToken进行认证,成功则填...
Spring Security 3.1.6 使用与配置指南
"Spring Security Reference 3.1.6 使用指南" Spring Security 是一个强大的、高度可定制的身份验证和授权框架,适用于 Java 和 Spring 应用程序。这份指南详细介绍了 Spring Security 3.1.6 版本的使用方法,旨在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值