Spring Security的理论知识部分(一)

最新推荐文章于 2024-07-04 09:14:32 发布
最新推荐文章于 2024-07-04 09:14:32 发布
阅读量733 收藏
点赞数
分类专栏: spring security 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43824526/article/details/112060410
版权

#spring security# 标题
1.Spring security提供了声明式的安全访问控制解决方案(仅支持基于spring的应用程序)。功能分为两个:验证和授权

2.Spring security的3个核心概念。
Principle:代表用户的对象Principle(User),不仅指人类,还包括一切用于验证的设备。
Authority:代表永和的角色Authority(Role),每个用户都会有一种角色,如管理员或会员。
Permission:代表授权,复杂的应用环境需要对角色的权限进行表述。

在spring security中,authority和permission是两个完全独立的概念,两者并没有必然的联系。他们之间需要通过配置进行关联,可以是自己定义的各种关系。

3.验证和授权。
(1)验证:建立系统使用者信息的过程,可以是一个用户,设备或者在应用程序中执行某种操作的其他系统。
一般要求用户提供用户名和密码,系统通过校验用户名和密码的正确性来完成认证的通过或拒绝过程。
步骤如下:
1.用户使用用户名和密码登录。
2.过滤器获取到用户名、密码,然后封装成Authentication.
3.AuthenticationManager认证token(Authentication的实现类传递)
4.AuthenticationManager认证成功,返回一个封装了用户信息权限信息的Authentication对象,用户的上下文信息(角色列表等)。
5.Authentication对象赋值给当前的SecurityContext,建立这个用户的安全上下文。
6.用户进行一些受到访问控制机制保护的操作,访问控制机制会依据当前安全上下文信息检查这个操作所需的权限。
(2)授权:在一个系统中,不同用户具有的权限是不同的。一般来说,系统会为不同的用户分配不同角色,而每个角色则对应一系列的权限。
它判断某个Principle在应用程序中是否允许执行某个操作。在进行授权判断之前,要求其所要使用到的规则必须在验证过程中已经建立好了。
在web资源的保护,最好的办法是使用过滤器,对方法调用的保护,最好的办法是使用AOP。

4.核心类
(1)SecurityContext:包含当前正在访问系统的用户的详细信息,只有两种方法。
----getAuthentication():获取当前经过身份验证的主体或身份认证的请求令牌。
----setAuthentication():更改或删除当前已验证的主题身份验证信息。
(2)SecurityContextHolder:用来保存SecurityContext。最常用的是getContext()方法,用来获得当前SecurityContext。
(3)ProviderManager:会维护一个认证的列表,以便处理不同认证方式的认证,因为系统可能会存在多种认证方式,比如手机号、用户名密码、邮箱方式。
在认证时,如果ProviderManager的认证结果不是null,则说明认证成功,不在进行其他方式的认证,并且作为认证的结果保存在SecurityContext中,如果不成功,则跑出错误信息“ProviderNotFoundException”。
(4)DaoAuthenticationProvider:是AuthenticationProvider最常用的实现,用户获取用户提交的用户名和密码,并进行正确性比对。如果正确,则返回一个数据库中的用户信息。
当用户在前台提交了用户名和密码之后,就会被封装成UsernamePasswordAuthentication-Token。然后DaoAuthenticationProvider根据retrieveUser方法,交给additionAuthentication-Checks方法完成UsernamePasswordAuthenticationToken和userDetails密码的比对。如果这个方法没有抛出异常,则认为比对成功。
(5)UserDetail:是Spring Security的用户实体类,包含用户名、密码、权限等信息。Spring Security默认实现了内置的User类,供Spring Security安全认证使用。当然,也可以自己实现。
(6)UserDetailsService:用户相关的信息是通过UserDetailsService接口来加载的。该接口的唯一方法是loadUserByUsername(String username),用来根据用户名加载相关信息。这个方法的返回值是UserDetails接口,其中包含了用户的信息、包括用户名、密码、权限、是否启用、是否被锁定、是否过期等。
(7)GrantedAuthority:只定义了一个getAuthority()方法。该方法返回一个字符串,表示对应权限的字符串。如果对应权限不能用字符表示,则返回null。
GrantedAuthority接口通过UserDetailsService进行加载,然后赋予UserDetails。

持久化登录的用户信息。用户信息会被保存到session,cookie或redis中。

龙怪神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity认证与授权使用
xfk_DO的博客
08-10 231
自定义配置文件的目的是为了不输入帐号密码就可访问一些页面,就需要自定义配置文件去配置一些白名单以及配置一些请求授权。以下安全配置之后,不在白名单的请求都不能访问,除非登录// 开启调试模式,在控制台将显示很多日志,在生产环境中不宜开启@Slf4j@Override// 白名单"/resources/**", // 静态资源文件夹,通常是上传的文件,请与配置文件中的"tea-store.upload.base-dir-name"一致"/account/users/login" // 用户登录。
“权限”用英语该用哪个?
weixin_33675507的博客
06-17 305
“权限”是我们设计系统不可缺少的,关于“权限”的英语单词也非常多,该用哪个呢?我參照有关“权限”的英文软件,总结例如以下,不足之处,多多指正: Permission:权限,包含动作和客体,比方:加入文档,“加入”是动作,“文档”是客体。相近的也有:Access Control。 Privilege:权力,在 Permission 的基础上加一个主体,比方:小张能够加入文档,多了个主体小张。...
使用 Spring Security 实现角色和权限管理
最新发布
FireFox1997
07-04 340
Spring Security 提供了一套强大且灵活的机制来实现角色和权限的管理。本文将详细介绍如何使用 Spring Security 实现角色和权限管理,从基本概念到具体实现步骤,并提供示例代码来帮助你理解和应用这些概念。Spring Security 提供了强大的功能来处理复杂的权限控制需求,包括角色、权限的定义和分配,以及在应用程序中的细粒度访问控制。配置 Spring Security 以使用自定义的用户详细信息服务,并定义角色和权限。通常,权限是更细粒度的控制,而角色是权限的组合。
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9389
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
Spring Security权限认证规则(五)
Jayden的博客
04-20 1390
Spring Security权限认证规则 1、当服务器启动时,Spring Security会根据配置将所有的URL和其对应的权限加载到Spring Security中。 @Service public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource...
spring security案例
12-07
通过分析"demo"这个压缩包文件,我们可以实际操作并理解上述理论知识,创建并运行示例项目,以加深对Spring Security的理解和应用。在实践中,我们可以创建不同的用户角色,设置不同的访问权限,测试登录、注销、...
spring security教程
03-29
Spring Security 是一个强大的...在学习过程中,你不仅需要理解理论知识,还要通过实践项目来巩固这些概念。通过阅读教程并动手操作,你会逐渐熟悉Spring Security的各个组件,能够为你的应用构建出稳固的安全防线。
编程不良人SpringSecurity资料学习,整合SpringBootSecurity的整合资料全网最全
01-28
SpringSecuritySpring生态中的一个强大安全框架,用于处理应用程序的安全需求,包括认证和授权。它为JavaSpring应用提供了一种可扩展的方式来控制对资源的访问。本资料包旨在帮助编程初学者,尤其是那些自称...
spring security 3
04-08
- **案例研究**:本书通过多个实际案例来展示如何将理论知识应用于实践中,例如保护RESTful API的安全、实现社交登录等功能。 #### 结论 《Spring Security 3》不仅是一本详尽的技术手册,更是每一位致力于提升Web...
spring-security-oauth2详细配置demo
09-30
Spring Security OAuth2 是一个强大的框架,用于为Java应用提供安全认证和授权服务。这个详细配置的Demo旨在帮助...通过实践这个Demo,开发者不仅可以学习到理论知识,还能获得实际操作的经验,提升自己的开发技能。
Spring Boot(8)之 Spring Security 安全框架
热门推荐
惟忆
05-30 4万+
1、认识 Spring Security 1.1、Spring Security 的核心功能 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 1.2、Spring Security 的核心概念 Principle:代表用户的对象 Principle(User),不仅指人类,还包含
spingsecurity中haspermission用法以及配置自定义PermissionEvaluator
xmj_0422的博客
08-13 1万+
一、原理剖析 先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator) 开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个
Spring Security 中的权限注解很神奇吗?
yangjnsjbad的博客
05-26 170
最近有个小伙伴在微信群里问 Spring Security 权限注解的问题: 很多时候事情就是这么巧,松哥最近在做的 tienchin 也是基于注解来处理权限问题的,所以既然大家有这个问题,咱们就一块来聊聊这个话题。 当然一些基础的知识我就不讲了,对于 Spring Security 基本用法尚不熟悉的小伙伴,可在公众号后台回复 ss,有原创的系列教程。 1. 具体用法 先来看看 Spring Security 权限注解的具体用法,如下: @PreAuthorize("@ss.hasPerm
Spring Security 权限控制
m0_48922996的博客
07-16 8485
项目版本BootSecurity官网文档在前面的文章中,所有的接口只需要登录就能访问。并没有对每个接口进行权限限制。在正式的系统中,一个用户会拥有一个或者多个角色,而不同的角色会拥有不同的接口权限。如果要实现这些功能,需要重写中的。HttpSecurity用于构建一个安全过滤器链SecurityFilterChain,可以通过它来进行自定义安全访问策略。@Bean}@Override.and()}@Overridehttp.authorizeRequests()//开启配置。...
Spring Security 权限说明
'水' 库
03-05 910
hasRole([role])返回true如果当前主体拥有特定角色 hasAnyRole([role1,role2])返回当前主体拥有任何一个提供的角色(使用逗号分隔的字符串队列) principal允许直接访问主体对象,表示当前用户 authentication允许直接访问当前Authentication对象从SecurityContext中获得 permitAll一直返回true d
authorization权限控制_认证、授权、鉴权和权限控制
weixin_29117669的博客
01-31 1923
1.1 认证、授权、鉴权和权限控制​ 认证 --> 授权 --> 鉴权 --> 权限控制1.1.1 认证(identification)​ 认证主要是用来确认访问者的身份,确认这个人是不是这个人(常见实现方式是通过用户名和密码,以及身份证)。为了确认用户的身份,防止伪造,在安全要求高的场合,经常会使用组合认证(或者叫多因素认证),也就是同时使用多个认证方式对用户的身份进行...
SpringSecurity权限管理系统实战—一、项目简介和开发环境准备
CoderMy的博客
07-11 1万+
SpringSecurity实战一—项目简介和开发环境准备 一、简介 ​ 在企业应用中,认证和授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security。本次我选取的是和SpringBoot更好兼容的SpringSecurity
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龙怪神

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值