(十二)Spring Security默认实现

最新推荐文章于 2022-08-14 08:00:00 发布
最新推荐文章于 2022-08-14 08:00:00 发布
阅读量198 收藏
点赞数
文章标签: 过滤器 java spring shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44103200/article/details/108664913
版权
  1. 更多的配置 (重写configure方法)实现的自定义认证和授权(重写用户名密码认证和模仿eladmin的token认证)和自定义授权
  2. Spring Security在SpringBoot中的自动装配原理
  3. SecurityContext

ps:自定义授权,包含注解式开发和java-configure开发

参考

Spring Security用户认证和权限控制(默认实现)

Spring Security用户认证和权限控制(自定义实现)

认证和鉴权

认证和鉴权分别对应authentication/authorizationSpring SecurityShiro都涉及到了这两个词

通俗点说

  • 认证就是登录的过程。服务器根据你传递的用户名,密码或者其他形式的参数查询是否存在这个用户,如果存在说明认证成功

  • 鉴权就是判断你是否由权力访问资源的流程。你想看某个视频,只有vip用户才能看,但是你当前登录的账户不是vip,所以你不能看。判断能不能看这个视频(是否有权限访问指定的资源)的过程就是鉴权

Spring Security的过滤器链

Spring Security集成了Spring MVCSpring Security通过创建一系列Filter(过滤器)来实现认证和授权

集成Spring Security

  1. 导入Maven依赖

    <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

  2. 创建WebSecurityConfigurerAdapter的子类并添加@EnableWebSecurity注解

    @EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
}

至此,启动项目后,Spring Security为程序添加了许多过滤器用于认证和鉴权

Spring Security中内置的过滤器

Spring Security中有许多内置的过滤器(这里只简单介绍两个)

在尝试自定义认证和授权流程之前应该先掌握内置的过滤器是如何工作的

其中我认为比较重要的内置过滤器是UsernamePasswordAuthenticationFilterFilterSecurityInterceptor(它是过滤器,不是拦截器)

Authentication

在了解过滤器之前先了解一下Authentication

此类是“认证主体”,这个类的包含了用户是否认证成功,用户的信息等信息

public interface Authentication extends Principal, Serializable {

    // 获取权限
	Collection<? extends GrantedAuthority> getAuthorities();

	Object getCredentials();

	Object getDetails();

	Object getPrincipal();
	
    // 返回认证主体是否已经被认证过
	boolean isAuthenticated();

    // 这只认证主体是否成功通过认证
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

UsernamePasswordAuthenticationFilter

这个过滤器提供用户名,密码方式认证服务

这个过滤器拦截了/login请求并校验用户名,密码。如果认证成功(用户名,密码都对了)就创建一个Authentication对象;认证失败就抛AuthenticationException

  1. 默认只拦截 POST方式的/login请求,如果不符合直接执行下面的过滤器(chain.doFilter(request, response);
  2. 获取请求中的用户名和密码,并创建一个Authentication对象(实际类型是UsernamePasswordAhtienticationToken),这个对象是没有被认证的“认证主体”
  3. 使用成员变量AuthenticationManagerauthenticate()方法进行认证
  4. AuthenticationManager遍历持有的AuthenticationProvider对象,使用能认证此AhthenticationAuthenticationProvider进行认证
  5. AbstractUserDetailsAuthenticationProvider先使用缓存获取user对象,如果获取不到就用持有的UserDetialsServicePasswordEncoderDB中获取User对象并加密密码再封装起来
  6. 拿到user对象后校验对象是否过期,密码是否正确等。没问题后创建一个新的AuthenticationToken作为已经被认证的“认证主体”
  7. AuthenticationToken放到SecurityContext中(SecurityContext以后再说)

上述流程中重要的部分是

  • 过滤器本身和其认证逻辑
  • AuthenticationManager对象。它持有各种AuthenticationProvider,可以完成对不同类型Authentication的认证
  • AuthenticationProvider持有的UserDetialsServicePasswordEncoder。他们的作用是创建UserDetials对象为以后创建被认证的Authentication做铺垫
/* AbstractAuthenticationProcessingFilter 是UsernamePasswordAuthenticationFilter的父类 */
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {

    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;

    // 如果请求不符合要求就直接放过
    if (!requiresAuthentication(request, response)) {
        chain.doFilter(request, response);
        return;
    }
    Authentication authResult;
    try {
        // 认证流程在这里,如果认证失败会抛异常
        authResult = attemptAuthentication(request, response);
        if (authResult == null) {
            return;
        }
    }
    catch (AuthenticationException failed) {
        return;
    }

    if (continueChainBeforeSuccessfulAuthentication) {
        chain.doFilter(request, response);
    }

    // 将Authentication放进SecurityContext中
    successfulAuthentication(request, response, chain, authResult);

}

/* UsernamePasswordAuthenticationFilter */
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
    // 如果请求不是POST方式就抛异常
    if (postOnly && !request.getMethod().equals("POST")) {
        throw new AuthenticationServiceException(
            "Authentication method not supported: " + request.getMethod());
    }

    String username = obtainUsername(request);
    String password = obtainPassword(request);

    // 创建一个未认证的AuthenticationToken
    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
        username, password);
	// 调用AuthenticationManager进行认证
    return this.getAuthenticationManager().authenticate(authRequest);
}

/* ProviderManager */
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    Class<? extends Authentication> toTest = authentication.getClass();

    Authentication result = null;

    // 遍历持有的AuthenticationProvider,如果有AuthenticationProvider能认证Authentication就认证
    for (AuthenticationProvider provider : getProviders()) {
        // AuthenticationProvider是否能认证当前类型的Authentication
        if (!provider.supports(toTest)) {
            continue;
        }
        try {
            // 认证
            result = provider.authenticate(authentication);
            if (result != null) {
                break;
            }
        } catch (AuthenticationException e) {
        }
	}
    if (result != null) {
        return result;
    }
}

/* AbstractUserDetailsAuthenticationProvider */
public Authentication authenticate(Authentication authentication) throws AuthenticationException {

    String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
        : authentication.getName();

    // 尝试从缓存中获取User对象
    boolean cacheWasUsed = true;
    UserDetails user = this.userCache.getUserFromCache(username);

    // 缓存中获取不到就重新获取并缓存起来
    if (user == null) {
        cacheWasUsed = false;

        try {
            // 调用UserDetailsService获取user对象并使用PasswordEncoder加密密码
            user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
        }
        catch (UsernameNotFoundException notFound) {
        }
    }

    try {
        // 前置检查
        preAuthenticationChecks.check(user);
        // 检查密码是否正确
        additionalAuthenticationChecks(user,
                                       (UsernamePasswordAuthenticationToken) authentication);
    }
    catch (AuthenticationException exception) {
    }

    // 后置检查。前后置检查都在检查user是否已经过期
    postAuthenticationChecks.check(user);

    // 将user缓存起来
    if (!cacheWasUsed) {
        this.userCache.putUserInCache(user);
    }

    Object principalToReturn = user;

	// 创建一个被认证的Authentication(能执行到这里还没抛异常说明user认证成功了)
    return createSuccessAuthentication(principalToReturn, authentication, user);
}

FilterSecurityInterceptor

这个过滤器被放在过滤器链的最后面,控制鉴权流程,用于检查此次请求是否有权限访问资源,如果不能就抛AccessException

  1. SecurityContext中获取Authentication对象,如果没有认证就认证一下(调用AuthenticationManager认证)
  2. 获取当前请求资源所需要的权限
  3. 调用AccessDecisionManager持有的投票器进行投票,根据投票结果判定请求携带的Authentication是否有权限访问资源。判定标准根据AccessDecisionManager不同的实现类决定。例如一票否决,一票通过,多数服从少数等标准

上述流程中重要的部分是

  • 过滤器本身
  • AccessDecisionManager和投票器

ps:通常鉴权流程交给这个过滤器就足够了,无需创建新的鉴权过滤器

AnonymousAuthenticationFilter

匿名的“权限主体”过滤器

  1. 如果你没有经过认证就访问被保护起来的资源,这个过滤器会检测到SecurityContext中没有Authentication对象,并为其创建一个AnonymousAuthenticationToken类型的Authentication并放进SecurityContext
  2. 匿名的“认证主体”只有ROLE_ANONYMOUS权限。在访问被保护起来的资源时会被FilterSecurityInterceptor判定为没有权限访问资源的
刻舟求虐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot整合Spring Security自定义验证代码
嗡汤圆的博客
02-25 5万+
最终效果 1、实现页面访问权限限制 2、用户角色区分,并按照角色区分页面权限 3、实现在数据库存储用户信息以及角色信息 4、自定义验证代码
Spring Security学习总结一
elimago的专栏
08-22 1428
Spring Security学习总结一在认识Spring Security之前,所有的权限验证逻辑都混杂在业务逻辑,用户的每个操作以前可能都需要对用户是否有进行该项操作的权限进行判断,来达到认证授权的目的。似这样的权限验证逻辑代码被分散在系统的许多地方,难以维护。AOP(Aspect Oriented Programming)和Spring Security为我们的应用程序很好的解决了此
Spring Security用户认证和权限控制(默认实现
Java大数据联盟
03-28 3万+
不使用oauth
springsecurity默认用户生成
sdaujsj1的博客
07-03 420
springboot背后默默做了很多事情:SpringSecurity定义UserDetails接口来规范开发者自定义的用户对象负责提供用户数据源的接口是UserDetailsServicespringSecurity为UserDetailsService提供了默认实现默认是InMemoryUserDetailsManagerspringboot之所以零配置使用SpringSecurity 是因为他提供了很多自动化配置,针对UserDetailsService的自动化配置是UserDetailsServi
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
springboot+ spring security实现登录认证
05-04
默认情况下,Spring Security提供了一个简单的登录页面,但我们可以创建自己的视图并重定向到它: ```java http.formLogin() .loginPage("/login") // 自定义登录页面路径 .defaultSuccessUrl("/", true); // ...
Spring Security UserDetails实现原理详解
09-07
Spring Security 是一个强大的安全框架,用于管理Web应用的认证和授权。在Spring Security,`UserDetails` 是一个核心概念,它代表了系统的用户信息。本文将深入探讨`UserDetails`的实现原理,并通过示例代码进行...
Spring security实现登陆和权限角色控制
09-09
在这个场景,我们将探讨如何使用Spring Security实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
SpringSecurity如何实现配置单个HttpSecurity
08-18
今天,我们将详细介绍如何使用 Spring Security 实现配置单个 HttpSecurity。 一、创建项目并导入依赖 在使用 Spring Security 之前,我们需要创建一个 Spring Boot 项目,并导入相关依赖。我们可以使用 Maven 或 ...
Spring Security实现不同接口安全策略方法详解
09-07
Spring Security实现不同接口的安全策略是一项关键任务,尤其在处理多种应用场景,如无状态的JSON Web Token (JWT) 和基于Session的传统后端渲染应用时。本文将深入探讨如何利用Spring Security为不同接口定制...
SpringSecurity常用过滤器介绍
wuxiaopengnihao1的博客
07-29 2376
首当其冲的一个过滤器,非常重要主要是使用SecurityContextRepository在session保存或更新一个SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续filter建立所需的上下文,SecurityContext存储了当前用户的认证和权限信息。Csrf又称跨域请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息,如果不包含则报错,起到防止csrf攻击的效果。...
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 3942
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
Spring Security
KingCruel的专栏
01-21 735
Spring Security 1、pom.xml 文件添加依赖 spring-boot-starter-web spring-boot-starter-security jjwt fastjson <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
shiro学习21-shiro提供的filter-AnonymousFilter
iteye_14612的博客
02-20 1068
不知道你们怎么想的,反正我刚上来是没看出这个有什么用,匿名的filter也就是不用添加拦截的路径的filter还用写吗,不把这个路径配置在shiroFilterFactoryBean不就完了吗,而且他的onPreHandle里面直接返回的true,没有任何的判断操作,直到我看了他的javadoc才明白了作者的用意——实现更广范围的过滤。 Javadoc的意思是这样的:假设我们有这样的...
JAVA——springSecurity——自定义配置的一些补充:Anonymous匿名用户、重写loadUserByUsername()方法、自定义WebSecurityConfig配置等
weixin_56039103的博客
07-16 899
publicstaticResponseResultSUCCESS=newResponseResult(200,"成功");publicstaticResponseResultINTEVER_ERROR=newResponseResult(500,"服务器错误");主要有三项1.SpringSecurity自带HttpBasic基础认证模式2.默认formLogin表单模式。
Springboot同一接口不同实现默认实现加载方法】
xiaobai_gongzi的博客
08-13 3657
默认加载同一接口的不同实现的其一个实现实现方法
shiro 重写AuthorizationFilter 让shiro没有权限的时候不重定向,而是执行一个回显操作(初探)
qq_43077857的博客
07-08 6125
这里在项目需求完成的过程 以前没有权限直接跳转403.html 这样代码非常不灵活 而且前端如果不是html的页面没有权限经常跳不到403的页面 会报一个302的错误 我这里想重写下这个配置后直接跳转到403页面的方式 最好能够返回一段json 这样我前端直接判断json的数据后前端做跳转到403页面 找了一下shiro页面重定向的代码是这个AccessControlFilter的onAc...
Spring项目集成ShiroFilter简单实现权限管理
weixin_33860737的博客
02-13 263
Shiros是我们开发常用的用来实现权限控制的一种工具包,它主要有认证、授权、加密、会话管理、与Web集成、缓存等功能。我是从事javaweb工作的,我就经常遇到需要实现权限控制的项目,之前我们都是靠查询数据获取列表拼接展示的,还有的是及时的判断权限的问题的,现在有了Shiros了,我们就可以统一的进行设置权限问题,Shrios的实现也是很简单的,下面让我们来看看具体实现步骤 ...
springsecurity默认用户名密码
最新发布
09-19
Spring Security 默认不提供用户名和密码,而是通过配置文件进行自定义设置。在Spring Security的配置文件,可以通过使用`UserDetailsService`接口的实现来创建用户,并配置他们的用户名和密码。下面是一个示例...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值