SpringSecurity原理剖析及其实战(四)

最新推荐文章于 2022-12-23 16:44:37 发布
置顶 最新推荐文章于 2022-12-23 16:44:37 发布
阅读量327 收藏 2
点赞数
分类专栏: Spring Security Java 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43934626/article/details/121184688
版权

SpringSecurity原理剖析及其实战(四)

1、认证原理

Spring Security是如何完成身份认证的?

  1. 用户名和密码被过滤器获取到,封装成Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。
  2. AuthenticationManager身份管理器负责验证这个Authentication
  3. 认证成功后,AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除)Authentication实例
  4. SecurityContextHolder安全上下文容器将第3步填充了信息的Authentication,通过 SecurityContextHolder.getContext().setAuthentication(…) 方法中,设置到其中。
public class AuthenticationExample {
    private static AuthenticationManager am = new SampleAuthenticationManager();
    public static void main(String[] args) throws Exception {
        BufferedReader in = new BufferedReader(new
InputStreamReader(System.in));
while (true) {
            System.out.println("Please enter your username:");
            String name = in.readLine();
            System.out.println("Please enter your password:");
            String password = in.readLine();
            try {
// 封装认证信息,未认证通过
                Authentication request = new
UsernamePasswordAuthenticationToken(name, password);
// 认证逻辑
Authentication result = am.authenticate(request); //当前线程绑定认证信息 SecurityContextHolder.getContext().setAuthentication(result); break;
            } catch (AuthenticationException e) {
                System.out.println("Authentication failed: " + e.getMessage());
} }
        System.out.println("Successfully authenticated. Security context
contains: " +
                SecurityContextHolder.getContext().getAuthentication());
} }
class SampleAuthenticationManager implements AuthenticationManager {
    static final List<GrantedAuthority> AUTHORITIES = new
ArrayList<GrantedAuthority>();
    static {
        AUTHORITIES.add(new SimpleGrantedAuthority("ROLE_USER"));
}
@Override
    public Authentication authenticate(Authentication auth) throws
AuthenticationException {
// 判断条件,用户名和密码是否相同
if (auth.getName().equals(auth.getCredentials())) {
// 封装认证信息,认证已通过
return new UsernamePasswordAuthenticationToken(auth.getName(),
                    auth.getCredentials(), AUTHORITIES);
        throw new BadCredentialsException("Bad Credentials");
} }

测试
在这里插入图片描述

2、认证流程

在这里插入图片描述

3、相关接口

AuthenticationManager
认证管理器,用于处理一个认证请求,提供了认证方法的入口

public interface AuthenticationManager {
    Authentication authenticate(Authentication authentication)
            throws AuthenticationException;
}

在这里插入图片描述
ProviderManager
ProviderManagerAuthenticationManager 的一个实现类,提供了基本的认证逻辑和方法;它包含 了一个List属性,通过 AuthenticationProvider 接口来扩展出多种认证方式,实际上这是委托者模式的 应用(Delegate)。

委托模式概念

一个对象接收到了请求,但是自己不处理,交给另外的对象处理,就是委托模式,例如 老板接到了活,然后把活转手给了工人去做。

public interface AuthenticationProvider {
    Authentication authenticate(Authentication authentication)
            throws AuthenticationException;
    boolean supports(Class<?> authentication);
}

在这里插入图片描述
在Spring Security中,提交的用户名和密码,被封装成UsernamePasswordAuthenticationToken,而 根据用户名加载用户的任务则是交给了UserDetailsService,在DaoAuthenticationProvider中,对应的 方法便是retrieveUser,返回一个UserDetails
在这里插入图片描述
Authentication
Authentication在spring security中是最高级别的身份/认证的抽象,由这个顶级接口,我们可以得到用 户拥有的权限信息列表,密码,用户细节信息,用户身份信息,认证信息。

UsernamePasswordAuthenticationToken
UsernamePasswordAuthenticationToken 实现了 Authentication 主要是将用户输入的用户名和密 码进行封装,并供给AuthenticationManager 进行验证;验证完成以后将返回一个认证成功的Authentication 对象
在这里插入图片描述

public interface Authentication extends Principal, Serializable { //1.权限信息列表,可使用
AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_ADMIN")返回字符串权 限集合
Collection<? extends GrantedAuthority> getAuthorities(); //2.密码信息,用户输入的密码字符串,在认证过后通常会被移除,用于保障安全。
Object getCredentials();
//3.认证时包含的一些信息,web应用中的实现接口通常为 WebAuthenticationDetails,它记录了
访问者的ip地址和sessionId的值。
Object getDetails(); //4.身份信息,大部分情况下返回的是UserDetails接口的实现类 Object getPrincipal();
//5.是否被认证,认证为true
boolean isAuthenticated();
//6.设置是否能被认证
void setAuthenticated(boolean isAuthenticated) throws
IllegalArgumentException;
}

SecurityContextHolder
用于存储安全上下文(security context)的信息, SecurityContextHolder 默认使用 ThreadLocal 策略来存储认证信息。

// 获取当前用户名
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
    String username = ((UserDetails)principal).getUsername();
} else {
    String username = principal.toString();
}

UserDetailsService

public interface UserDetailsService {
// 根据用户名加载用户信息
UserDetails loadUserByUsername(String username) throws
UsernameNotFoundException;
}

Spring Security内置了两种 UserDetailsManager实现
在这里插入图片描述

实际项目中,我们更多采用调用
AuthenticationManagerBuilder.userDetailsService(userDetailsService) 方法,使用自定义 实现的 UserDetailsService实现类,更加灵活且自由的实现认证的用户信息的读取。

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
     auth.userDetailsService(new UserDetailsServiceImpl());
}

UserDetails
用户信息核心接口,默认实现类org.springframework.security.core.userdetails.User
在这里插入图片描述
PasswordEncoder

public interface PasswordEncoder {
/**
* 表示把密码按照特定的解析规则进行解析 */
    String encode(CharSequence rawPassword);
/**
* 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回
true;如果不匹配, * 则返回 false。第一个参数表示需要被解析的密码。第二个参数表示存储的密 码
*/
    boolean matches(CharSequence rawPassword, String encodedPassword);
}

在这里插入图片描述
BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器

@Test
public void test(){
    String passwd = BCrypt.hashpw("123",BCrypt.gensalt());
    System.out.println(passwd);
    boolean checkpw = BCrypt.checkpw("123", passwd);
    System.out.println(checkpw);
}

SpringSecurity原理剖析及其实战(完结篇)

成胜文
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security原理以及实战认证分析开发指南
a1472750149的博客
11-27 1236
前提介绍 本篇文章给大家带来的内容是关于Spring Security原理的介绍,对实际业务开发会有一定的参考价值,希望对你有所帮助。所谓知彼知己方能百战百胜,用Spring Security来满足我们的需求最好了解其原理,这样才能随意拓展,本篇文章主要记录 Spring Security 的基本运行流程。 过滤器的原理机制 Spring Security基本都是通过过滤器来完成配置的身份认证、权限认证以及登出。 Spring Security在Servlet的过滤链(filter chain)中注
Spring Security 实战干货.pdf
04-22
Spring Security 实战干货.pdf
SpringSecurity原理剖析及其实战(一)
weixin_43934626的博客
10-30 886
FROM 《Spring Security 官网》 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于 Spring 的 应用程
【深入浅出Spring原理实战】「开发实战系列」SpringSecurity原理以及实战认证分析开发指南
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
12-23 1161
承接上一篇文章,相信大家应该已经对SpringSecurity原理有了一定的认识,而本篇文章给大家带来的则是在实际业务开发中的技术指南,希望对你有所帮助。所谓知彼知己方能百战百胜,用Spring Security来满足我们的需求最好了解其原理,这样才能随意拓展。
spring security原理实战
架构师尼恩
12-14 2109
疯狂创客圈 Java 高并发【 亿级流量聊天室实战实战系列 【博客园总入口 】 架构师成长+面试必备之 高并发基础书籍 【Netty Zookeeper Redis 高并发实战 】 疯狂创客圈 高并发 环境 视频,陆续上线: Windows Redis 安装(带视频) Linux Redis 安装(带视频) Windows Zookeeper 安装(带视频) Linux Zo...
spring_security.zip
09-07
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的Web应用程序。它提供了全面的安全解决方案,包括登录、权限控制、CSRF(跨站请求伪造)防护等。OAuth2 是一个开放标准,用于...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
最新发布
04-08
总的来说,这个项目提供了一个实战示例,展示了如何利用Spring Boot、Spring Security和JWT构建一个完整的权限管理系统。对于学习和实践Web安全、身份验证和授权机制的开发者来说,这是一个非常有价值的参考。同时,...
spring-security-web-3 source code
08-06
《深入剖析Spring Security Web 3源码...总结,通过对`spring-security-web-3`源码的分析,开发者不仅可以掌握Spring Security的内在工作原理,还能提升解决实际安全问题的能力,为构建更安全的Web应用提供坚实的基础。
Spring security
04-08
- **分析Spring Security Tutorial Application 示例**:通过阅读示例代码和配置文件,可以深入理解Spring Security 的工作原理及其配置方式。 ##### 2.3 运行及分析内置的Contacts Sample Application 示例 - **...
SecurityContext
weixin_51992178的博客
10-28 1543
SecurityContext的生命周期:请求到来时从Session中取出,放入SecurityContextHolder中,请求结束时从SecurityContextHolder取出,并放到Session中,实际上就是依靠Session来存储的,一旦会话过期验证信息也跟着消失。SecurityContextHolder的存储策略默认是`MODE_THREADLOCAL`,它是基于ThreadLocal实现的,`getContext()`方法本质上调用的是对应的存储策略实现的方法。
SpringBoot Spring Security 核心组件 认证流程 用户权限信息获取详细讲解
daTou
08-24 919
前言 Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证 核心组件 SecurityContextHolder SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
SpringSecurity 笔记
爱折腾的技术人
10-25 2003
SpringSecurity 笔记...
SpringSecurity原理剖析及其实战(五)
weixin_43934626的博客
11-08 855
SpringSecurity原理剖析及其实战(五)1、用户授权(访问控制)2、基于权限的访问控制3、基于表达式的访问控制4、方法授权5 、授权原理6、授权流程 1、用户授权(访问控制) 什么是授权? 授权的方式常分为两种,web授权和方法授权,web授权是通过url拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurity
Spring Security 登录获取用户信息流程分析
CHENFU_ZKK的博客
09-06 3433
Spring Security 登录获取用户信息流程分析
SpringSecurity核心组件
RO_wsy的专栏
03-17 5754
SecurityContextHolder, SecurityContext和Authentication SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 SecurityContext
servlet的优化
weixin_43521028的博客
10-10 400
反射api语法 UserServlet使用反射优化代码 service方法使用反射优化处理不同的请求 //重写了service方法,就不走doGet或doPost方法了 @Override protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //目标:实现一个servlet处理多个请求 //1.获取
Spring Security-部分官方文档翻译以及思考-结构
渡鸦的博客
07-13 1349
Spring Security-部分官方文档翻译以及思考-结构
Spring Security 3.0深度解析:原理实战
"Spring Security 3.0 中文手册" Spring Security是Spring框架的一个核心组件,专注于应用程序的安全性,包括认证和授权。该手册详细讲解了Spring Security 3.0的原理和实际应用,由张卫滨翻译并提供其博客...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值