SpringSecurity框架原理

已于 2023-06-24 18:10:09 修改
阅读量333 收藏
点赞数
分类专栏: spring java SpringMVC 文章标签: spring boot java spring
于 2022-11-15 11:36:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44103123/article/details/127784763
版权
java 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
spring
4 篇文章 0 订阅
订阅专栏
SpringMVC
3 篇文章 0 订阅
订阅专栏

1、spring-security简介

安全验证框架spring-security,是spring家族的一员,是一个重量级的安全验证框架,其自定义程度高,但是配置繁琐,配合springboot使用可大大较少配置的过程,提高开发效率。其核心功能可分为两个部分,认证和授权。

2、底层实现

spring-security本质可以理解为一个“过滤器连”,由一个个功能相互独立的过滤器组成,这些过滤器有着自己相对应的功能,每一个过滤器的执行必须在上一个过滤器放行之后,这些多个过滤器组成一个过滤链。
在这里插入图片描述

3、解析源码看过滤器执行原理以FilterSecurityInterceptor方法过滤器为例,FilterSecurityInterceptor过滤器是过滤连最底层的过滤器

(1)首先获取执行的目标对象:doFilter()方法获取对象,这是真正的执行过滤的方法。
在这里插入图片描述
(2)然后判断上一个过滤器是否放行:在调用invoke()方法执行对象时会先检查上个过滤器是否放行。
在这里插入图片描述
(3)基本执行过程可分为,获取请求对象,判断上级过滤器是否放行,执行过滤过逻辑放行。

4、过滤器加载

(1)首先配置DelegatingFilterProxy过滤器(springboot集成的话不需要手动配置,springboot框架会自配置)

5、web用户名和密码验证流程

在spring-security验证过程中框架会首先从配置文件和配置类中去找登录密码和用户名,如果在配置文件和配置类中没有找到用户名和密码的设置就去找UserDetailsService接口中设置的密码。
在这里插入图片描述

6、设置自定义的登录页面和需要放行的请求

再Security配置文件中重写configure方法:

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()    //该方法表示登录时跳转到我们自定义的登录页面
                .loginPage("login.html")    //登录页地址
                .loginProcessingUrl("/user/login")       //登录访问路径
                .defaultSuccessUrl("/test/index").permitAll()        //认证成功后跳转的路径
                .and().authorizeRequests()
                .antMatchers("/","/test/hello","/user/login").permitAll()  //设置放行的请求
                .anyRequest().authenticated()
                .and().csrf().disable();    //关闭csrf防护
    }

7、基于用户权限做访问控制

使用hasAuthority()方法实现一个用户对应一个权限,使用hasAnyAuthority(()方法可将一个访问路径分配给多个权限。
(1)在配置文件中作如下设置:
在这里插入图片描述
(2)在UserDetailsService返回的用户对象中添加权限信息:

在这里插入图片描述

逗奶.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java全栈工程师-Spring Security
07-21
由浅入深讲解从搭建Spring Security认证授权应用,到Spring Security底层过滤器原理 本课程讲解Spring Security三种使用方案:独立使用,整合SSM框架用法,和整合SpringBoot的用法 本课程讲解Spring Security结合数据库的RBAC表进行动态的用户认证和授权的实现过程
Java认证鉴权框架:Sa-Token
love_eat_peach的博客
06-06 2139
(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)(调用角色校验和权限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的权限码集合后,再将权限码和待校验的字符串进行判断是否有权限)?SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"))
SpringSecurity底层原理和认证授权流程总结
希望和大家多多交流技术!
01-03 2606
安全框架springsecurity、shiro等)主要分为两个部分: 认证:系统认为用户是否能登录 授权:系统判断用户是否有权限去做某些事情 项目主要使用了:基于token的用户权限认证与授权 模块一:登录时springsecurity获取用户的信息,比如用户名、密码、和查数据库得到其权限列表 如果系统的模块众多,每个模块都需要进行授权与认证,所以我们选择基于 token 的形式 进行授权与认证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限 值,并以用户名为 key.
SpringSecurity原理简述
最新发布
莫等闲 白了少年头 空悲切
03-11 2553
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ ​
SpringSecurity原理总结
hcyxsh的博客
04-07 199
SpringSecurity原理总结 一 过滤器介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明 WebAsyncManagerIntegrationFilter 将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter 在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityC
盘点认证框架 : SpringSecurity Filter 篇
black-ant
08-03 554
首先分享之前的所有文章 , 欢迎点赞收藏转发三连下次一定 >>>> ???????????? 文章合集 : ???? https://juejin.cn/post/6941642435189538824 Github : ???? https://github.com/black-ant CASE 备份 : ???? https://gitee.com/antblack/case 一 . 前言 上一篇聊了聊 Secutity 的基础 , 这一篇我们聊一聊 S
SpringSecurity基本原理
11-12
Security基本执行过程的分析和各个环节类执行的分析。
SpringSecurity原理分析
Feverasa的博客
12-05 6389
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity原理SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity的基本原理 1、基本流程 ​ SpringSecurity的基本原理就是应用了Tomcat容
Spring Security基本原理
花&败
07-17 3274
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
SpringSecurity——基本原理
小志的博客
09-22 2085
一、Spring Security的理解 Spring Security最核心的是过滤器链,也就是一组过滤器(Filter),所有的访问服务的请求都会经过spring security的过滤器,服务的响应也会经过spring security的过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
Spring Security的工作原理
热门推荐
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
SpringSecurity框架原理.png
09-08
该图是作者在分析SpringSecurity框架源代码之后梳理出来的Spring Security框架得启动原理图,即SpringSecurity是如何获取过滤器参数配置并调用相应的过滤器的;
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Spring Security详细介绍及使用含完整代码(值得珍藏)
02-08
本文将详细阐述Spring Security原理、使用方法以及步骤,并通过一个完整的示例来展示如何在Spring Boot项目中集成Spring Security。我们将从Spring Security的基本概念开始,逐步深入到配置和使用,确保读者能够...
Spring Security 4.1 中文文档
08-07
Spring Security 提供了基于javaEE的企业应有个你软件全面的安全服务。这里特别强调支持使用SPring框架构件的项目,Spring框架是企业软件...熟悉Spring特别是一来注入原理两帮助你更快更方便的使用Spring Security
Sa-Token,一款更加轻量的权限认证框架
一个人的江湖
07-06 1636
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。// 会话登录,参数填登录人的账号id StpUtil . login(10001);就仅仅这一行代码即可搞定,无需实现任何接口,无需创建任何配置文件,只需要这一句静态代码的调用,便可以完成会话登录认证。
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 1万+
Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 3851
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
springsecurity底层原理
11-07
Spring Security是一个基于Spring框架的安全性框架,主要用于认证、授权和攻击防护。它的底层原理主要是通过Filter来处理请求,实现对请求的拦截和处理。具体来说,Spring Security的底层原理包括以下几个方面: 1....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值