spring security原理粗略解析

最新推荐文章于 2024-09-27 14:04:34 发布
最新推荐文章于 2024-09-27 14:04:34 发布
阅读量163 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45007916/article/details/108062357
版权

结构总览

Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,SpringSecurity对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。当初始化Spring Security时,会创建一个名为 SpringSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter,因此外部的请求会经过此类,下图是Spring Security过虑器链结构图:
在这里插入图片描述
FilterChainProxy是一个代理,真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter,同时这些Filter作为Bean被Spring管理,它们是Spring Security核心,各有各的职责,但他们并不直接处理用户的认证,也不直接处理用户的授权,而是把它们交给了认证管理器(AuthenticationManager)和决策管理器(AccessDecisionManager)进行处理。

spring Security功能的实现主要是由一系列过滤器链相互配合完成。
在这里插入图片描述
下面介绍过滤器链中主要的几个过滤器及其作用:

SecurityContextPersistenceFilter 这个Filter是整个拦截过程的入口和出口(也就是第一个和最后一个拦截器),会在请求开始时从配置好的 SecurityContextRepository 中获取 SecurityContext,然后把它设置给SecurityContextHolder。在请求完成后将 SecurityContextHolder 持有的 SecurityContext 再保存到配置好的 SecurityContextRepository,同时清除 securityContextHolder 所持有的 SecurityContext;

UsernamePasswordAuthenticationFilter 用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码,其内部还有登录成功或失败后进行处理的 AuthenticationSuccessHandler 和AuthenticationFailureHandler,这些都可以根据需求做相关改变;

FilterSecurityInterceptor 是用于保护web资源的,使用AccessDecisionManager对当前用户进行授权访问

ExceptionTranslationFilter 能够捕获来自 FilterChain 所有的异常,并进行处理。但是它只会处理两类异常:
AuthenticationException 和 AccessDeniedException,其它的异常它会继续抛。

认证流程

在这里插入图片描述
让我们仔细分析认证过程:

  1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到,封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。
  2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证
  3. 认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除) Authentication 实例。
  4. SecurityContextHolder 安全上下文容器将第3步填充了信息的 Authentication ,SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中。可以看出AuthenticationManager接口(认证管理器)是认证相关的核心接口,也是发起认证的出发点,它的实现类为ProviderManager。而Spring Security支持多种认证方式,因此ProviderManager维护着一个List 列表,存放多种认证方式,最终实际的认证工作是由AuthenticationProvider完成的。咱们知道web表单的对应的AuthenticationProvider实现类为DaoAuthenticationProvider,它的内部又维护着一个UserDetailsService负责UserDetails的获取。最终AuthenticationProvider将UserDetails填充至Authentication。
AuthenticationProvider

通过前面的Spring Security认证流程我们得知,认证管理器(AuthenticationManager)委托AuthenticationProvider完成认证工作。
AuthenticationProvider是一个接口,定义如下:

authenticate()方法定义了认证的实现过程,它的参数是一个Authentication,里面包含了登录用户所提交的用户、密码等。而返回值也是一个Authentication,这个Authentication则是在认证成功后,将用户的权限及其他信息重新组装后生成。

Spring Security中维护着一个 List 列表,存放多种认证方式,不同的认证方式使用不同的AuthenticationProvider。如使用用户名密码登录时,使用AuthenticationProvider1,短信登录时使用AuthenticationProvider2等等这样的例子很多。

每个AuthenticationProvider需要实现supports()方法来表明自己支持的认证方式,如我们使用表单方式认证,在提交请求时Spring Security会生成UsernamePasswordAuthenticationToken,它是一个Authentication,里面封装着用户提交的用户名、密码信息。而对应的,哪个AuthenticationProvider来处理它?

我们在DaoAuthenticationProvider的基类AbstractUserDetailsAuthenticationProvider发现以下代码:

也就是说当web表单提交用户名密码时,Spring Security由DaoAuthenticationProvider处理。

public interface AuthenticationProvider {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
boolean supports(Class<?> var1);
} 
public boolean supports(Class<?> authentication) {
return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
}

最后,我们来看一下Authentication(认证信息)的结构,它是一个接口,我们之前提到的
UsernamePasswordAuthenticationToken就是它的实现之一:

public interface Authentication extends Principal, Serializable { 
	Collection<? extends GrantedAuthority> getAuthorities(); 
	Object getCredentials(); 
	Object getDetails(); 
	Object getPrincipal(); 
	boolean isAuthenticated();
	void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

(1)Authentication是spring security包中的接口,直接继承自Principal类,而Principal是位于 java.security包中的。它是表示着一个抽象主体身份,任何主体都有一个名称,因此包含一个getName()方法。

(2)getAuthorities(),权限信息列表,默认是GrantedAuthority接口的一些实现类,通常是代表权限信息的一系字符串。

(3)getCredentials(),凭证信息,用户输入的密码字符串,在认证过后通常会被移除,用于保障安全。

(4)getDetails(),细节信息,web应用中的实现接口通常为 WebAuthenticationDetails,它记录了访问者的ip地址和sessionId的值。

(5)getPrincipal(),身份信息,大部分情况下返回的是UserDetails接口的实现类,UserDetails代表用户的详细信息,那从Authentication中取出来的UserDetails就是当前登录用户信息,它也是框架中的常用接口之一。

UserDetailsService

1)认识UserDetailsService
现在咱们现在知道DaoAuthenticationProvider处理了web表单的认证逻辑,认证成功后既得到一个Authentication(UsernamePasswordAuthenticationToken实现),里面包含了身份信息(Principal)。这个身份信息就是一个 Object ,大多数情况下它可以被强转为UserDetails对象。

DaoAuthenticationProvider中包含了一个UserDetailsService实例,它负责根据用户名提取用户信息UserDetails(包含密码),而后DaoAuthenticationProvider会去对比UserDetailsService提取的用户密码与用户提交的密码是否匹配作为认证成功的关键依据,因此可以通过将自定义的 UserDetailsService 公开为spring bean来定义自定义身份验证。

其实UserDetailsService只负责从特定的地方(通常是数据库)加载用户信息,仅此而已。而DaoAuthenticationProvider的职责更大,它完成完整的认证流程,同时会把UserDetails填充至Authentication

public interface UserDetails extends Serializable {
	Collection<? extends GrantedAuthority> getAuthorities();
	String getPassword();
	String getUsername();
	boolean isAccountNonExpired();
	boolean isAccountNonLocked();
	boolean isCredentialsNonExpired();
	boolean isEnabled();
}
PasswordEncoder

认识PasswordEncoder
DaoAuthenticationProvider认证处理器通过UserDetailsService获取到UserDetails后,它是如何与请求Authentication中的密码做对比呢?

在这里Spring Security为了适应多种多样的加密类型,又做了抽象,DaoAuthenticationProvider通过PasswordEncoder接口的matches方法进行密码的对比,而具体的密码对比细节取决于实现:

public interface PasswordEncoder {
	String encode(CharSequence var1);
	boolean matches(CharSequence var1, String var2);
	default boolean upgradeEncoding(String encodedPassword) {
		return false;
	}
}

而Spring Security提供很多内置的PasswordEncoder,能够开箱即用,使用某种PasswordEncoder只需要进行如下声明即可,如

@Bean
public PasswordEncoder passwordEncoder() {
	return NoOpPasswordEncoder.getInstance();
}

NoOpPasswordEncoder采用字符串匹配方法,不对密码进行加密比较处理

使用BCryptPasswordEncoder

在安全配置类中定义

@Bean
public PasswordEncoder passwordEncoder() {
	return new BCryptPasswordEncoder();
}

加密方法测试

@Test
public void test1(){
	//对原始密码加密
	String hashpw = BCrypt.hashpw("123",BCrypt.gensalt());
	System.out.println(hashpw);
	//校验原始密码和BCrypt密码是否一致
	boolean checkpw = BCrypt.checkpw("123","$2a$10$NlBC84MVb7F95EXYTXwLneXgCca6/GipyWR5NHm8K0203bSQMLpvm");
	System.out.println(checkpw);
}
Hai-Yang-code
关注
Spring Security详解
jzhf2012的专栏
01-04 1836
简介 Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 Spring Security 的前身是
Spring Security 实战内容:Spring Boot 中的 Spring Security 自动配置初探
V539413949的博客
04-09 527
1. 前言 我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找.
springSecurity配置详解
andyaqu的专栏
07-25 513
SpringSide 3的官方文档中,说安全框架使用的是Spring Security 2.0。乍一看,吓了我一跳,以为Acegi这么快就被淘汰了呢。上搜索引擎一搜,发现原来Spring Security 2.0就是Acegi 2.0。悬着的心放下来了。虽然SpringSide 3中关于Acegi的配置文件看起来很不熟悉,但是读了Acegi 2.0的官方文档后,一切都释然了。 先来谈一谈A...
Spring Security 原理
最新发布
Flying_Fish_roe的博客
09-27 1072
Spring Security 通过其核心组件和灵活的架构提供了强大的安全保护能力。理解其核心原理,如、过滤器链和授权机制,可以帮助开发者更好地设计和实现安全可靠的 Java 应用程序。
SpringSecurity——基本原理
小志的博客
09-22 3224
一、Spring Security的理解 Spring Security最核心的是过滤器链,也就是一组过滤器(Filter),所有的访问服务的请求都会经过spring security的过滤器,服务的响应也会经过spring security的过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
SpringSecurity基本原理
喝醉的咕咕鸟
03-20 576
SpringSecurity原理图SpringSecurity中存在各种各样的拦截器用于处理不同的业务请求,如UsernamePasswordAuthenticationFilter:用于处理用户名和密码登陆;RememberMeAuthenticationFilter:用于实现记住我功能;OAuth2AuthenticationProcessingFilter:用于实现Sp...
spring security 基本原理
weixin_47460834的博客
06-27 1297
spring security本质上就是一个过滤器链(javaweb),由很多个过滤器组成,大概有十几个;其中比较典型的过滤器:其实spring security出现得比springboot还要早,但是自从有了spirngboot之后,springboot对spring security提供了自动化配置方案,可以使用更少配置来使用。虽然有springboor,还是要了解spring security过滤器加载过程:在spring security应用中会用到两个重要的接口: 在实际项目中,账号和
SpringBoot整合SpringSecurity(七)权限原理
fulinlin的博客
11-15 1171
序言 要想用活Spring Security的权限,必须要懂其大概的一个流程和原理,这样才能快速定位问题,和改造已有项目。 过滤链 首先呢要知道这个过滤链, 在配置了spring security了之后,会在运行项目的时候,DefaultSecurityFilterChain会输出相关log [main] o.s.s.web.DefaultSecurityFilterChain : Cre...
概述篇:SpringSecurity的前世今生
小奇学编程的博客
09-12 579
Spring Security的前世今生 前世今生 Spring Security的前身并非称呼为Spring Security,而是叫Acegi Security;但这并不意味着它与Spring毫无关系,它仍然是为Spring提供安全支持的。 Acegi Security搭上了Spring的便车,摇身一变成为Spring Security,但即便如此其还是继承了Acegi Security的臃肿繁琐的配置,学习成本相对还是十分的高。 直到有一天,Spring Boot横空出世,提出约定优于配置等理念,极大
针对 SpringSecurity 做了一个详细分析,让你明白它是如何执行的
互联网架构小马的博客
10-26 1232
纸上得来终觉浅,绝知此事要躬行。 不知道你们在使用SpringSecurity安全框架的时候,有没有想过 debug 一步一步看它是如何实现判断是否可以访问的? 如下: @PreAuthorize("hasRole('ROLE_ADMIN')") @RequestMapping("/role/admin1") String admin() { return "role: ROLE_ADMIN"; } 为什么我们写上这个注解可以了呢?如何进行判断的呢? 前面写过一次‍ SpringSe.
Spring Security学习之OAuth介绍
qq_38586378的博客
09-10 772
OAuth概念 OAuth:解决了在用户不提供密码给第三方应用的情况下,让第三方应用有权获取用户数据及基本信息的难题 Open Authorization开放授权,是一种资源提供商用于授权第三方应用代表资源所有者获得有限访问权限的授权机制。由于整个授权过程中,第三方应用无需触及用户的密码即可取得部分资源的使用权限,所有OAuth是安全开放的。 例如登录CSDN的时候支持QQ、新浪微博、百度、开源中国和GitHub: 在选择QQ作为第三方登录的时候,会跳转到QQ站点(避免在CSD...
Spring Security原理
qixiang_chen的博客
06-30 1508
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
spring security原理
西瓜
08-16 271
https://www.cnblogs.com/vincent2010/p/4911057.html https://blog.csdn.net/lbqssss/article/details/78971037
SpringSecurity原理
wenye____的博客
11-06 199
认证是指验证用户身份。Spring Security提供了多种身份验证方式,例如用户名和密码,LDAP,OpenID等。在认证过程中,Spring Security会使用认证管理器和用户详细信息服务来验证用户的凭据。Spring Security使用过滤器链来拦截和处理用户的请求。Spring Security是一个全面的安全框架,支持多种安全功能,例如防止跨站点请求伪造(CSRF),安全会话管理,密码加密等。Spring SecuritySpring框架中的一个安全性框架,用于保护Web应用程序。
Spring Security基本原理
花&败
07-17 3383
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
Spring Security】基本原理
懂得一千零一种,赋予你失败的方法!
08-24 1195
文章目录Spring Security 原理一、权限管理中的相关概念二、Spring Security 基本原理1.FilterSecurityInterceptor2.ExceptionTranslationFilter3.UsernamePasswordAuthenticationFilter三、UserDetailsService 接口讲解四、PasswordEncoder 接口讲解总结 Spring Security 原理 一、权限管理中的相关概念 1、主体 英文单词:principal 使用.
springsecurity的工作原理
qq_39368007的博客
01-02 806
结构总览 Spring Security所解决的问题就是安全访问控制, 而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。 根据前边知识的学习,可以通过Filter或AOP等技术来实现, Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。 当初始化Spring Security时,会创建一个名为SpringSecurityFilterChain 的Servle
Spring Security 3.0深度解析原理与实战
Remember-me的实现原理被详细解析,并对其安全性进行了讨论。最后,书中介绍了密码修改管理的实现,这是提高用户安全性的另一个重要方面。 Spring Security 3.0中文手册不仅涵盖了基本的安全概念和实践,还提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值