2.Spring security环境搭建、实现原理、流程分析

已于 2022-12-06 10:24:20 修改
阅读量569 收藏 4
点赞数
分类专栏: spring security 文章标签: spring java spring boot
于 2022-12-05 17:03:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64061088/article/details/128183174
版权

创建项目

spring boot
spring security

  • 认证:判断用户是否是系统合法用户过程
  • 授权:判断系统内用户可以访问或具有访问哪些资源权限

1.创建springboot应用

在这里插入图片描述

2.创建controller

@RestController
public class HelloController {

    @RequestMapping("/hello")
    public String Hello(){
        System.out.println("spring security");
        return "hello spring security";
    }
}

在这里插入图片描述

3.启动项目进行测试

在这里插入图片描述

整合Spring Security

1.引入spring security依赖

<dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.再次启动项目

  • 启动项目后在控制台会生成一个密码
  • 访问hello发现直接跳转到登录页面
    在这里插入图片描述在这里插入图片描述

3.登录系统

  • 默认用户名:user
  • 默认密码:控制台输出的uuid
    在这里插入图片描述
    在这里插入图片描述

这就是Spring Security 的强大之处,只需要引入一个依赖,所有的接口就会自动保护起来!

思考?

  • 为什么引入Spring Security之后没有任何配所有请求就要认证呢?
  • 在项目中明明没有登录界面,登录界面怎么来的呢?
  • 为什么使用user和 控制台密码能登陆,登录时验证数据源存在哪里呢?

实现原理

在 Spring Security 中 认证、授权 等功能都是基于过滤器完成的。

在这里插入图片描述

在这里插入图片描述

需要注意的是,默认过滤器并不是直接放在 Web 项目的原生过滤器链中,而是通过一FilterChainProxy 来统一管理。Spring Security 中的过滤器链通过 FilterChainProxy 嵌入到 Web项目的原生过滤器链中。FilterChainProxy 作为一个顶层的管理者,将统一管理 Security Filter。FilterChainProxy 本身是通过 Spring 框架提供的 DelegatingFilterProxy 整合到原生的过滤器链中。

Security Filters

过滤器过滤器作用默认是否加载
ChannelProcessingFilter过滤请求协议 HTTP 、HTTPSNO
WebAsyncManagerIntegrationFilter将 WebAsyncManger 与 SpringSecurity 上下文进行集成YES
SecurityContextPersistenceFilter在处理请求之前,将安全信息加载到 SecurityContextHolder 中YES
HeaderWriterFilter处理头信息加入响应中YES
CorsFilter处理跨域问题NO
CsrfFilter处理 CSRF 攻击YES
LogoutFilter处理注销登录YES
OAuth2AuthorizationRequestRedirectFilter处理 OAuth2 认证重定向NO
Saml2WebSsoAuthenticationRequestFilter处理 SAML 认证NO
X509AuthenticationFilter处理 X509 认证NO
AbstractPreAuthenticatedProcessingFilter处理预认证问题NO
CasAuthenticationFilter处理 CAS 单点登录NO
OAuth2LoginAuthenticationFilter处理 OAuth2 认证NO
Saml2WebSsoAuthenticationFilter处理 SAML 认证NO
UsernamePasswordAuthenticationFilter处理表单登录YES
OpenIDAuthenticationFilter处理 OpenID 认证NO
DefaultLoginPageGeneratingFilter配置默认登录页面YES
DefaultLogoutPageGeneratingFilter配置默认注销页面YES
ConcurrentSessionFilter处理 Session 有效期NO
DigestAuthenticationFilter处理 HTTP 摘要认证NO
BearerTokenAuthenticationFilter处理 OAuth2 认证的 Access TokenNO
BasicAuthenticationFilter处理 HttpBasic 登录YES
RequestCacheAwareFilter处理请求缓存YES
SecurityContextHolder<br />AwareRequestFilter包装原始请求YES
JaasApiIntegrationFilter处理 JAAS 认证NO
RememberMeAuthenticationFilter处理 RememberMe 登录NO
AnonymousAuthenticationFilter配置匿名认证YES
OAuth2AuthorizationCodeGrantFilter处理OAuth2认证中授权码NO
SessionManagementFilter处理 session 并发问题YES
ExceptionTranslationFilter处理认证/授权中的异常YES
FilterSecurityInterceptor处理授权相关YES
SwitchUserFilter处理账户切换NO

可以看出,Spring Security 提供了 30 多个过滤器。默认情况下Spring Boot 在对 Spring Security 进入自动化配置时,会创建一个名为 SpringSecurityFilerChain 的过滤器,并注入到 Spring 容器中,这个过滤器将负责所有的安全管理,包括用户认证、授权、重定向到登录页面等。

SpringBootWebSecurityConfiguration

这个类是 spring boot 自动配置类,通过这个源码得知,默认情况下对所有请求进行权限控制:

@Configuration(proxyBeanMethods = false)
@ConditionalOnDefaultWebSecurity
@ConditionalOnWebApplication(type = Type.SERVLET)
class SpringBootWebSecurityConfiguration {
	@Bean
	@Order(SecurityProperties.BASIC_AUTH_ORDER)
	SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) 
    throws Exception {
			http.authorizeRequests().anyRequest()
      .authenticated().and().formLogin().and().httpBasic();
		return http.build();
	}
}

在这里插入图片描述这就是为什么在引入 Spring Security 中没有任何配置情况下,请求会被拦截的原因

通过上面对自动配置分析,我们也能看出默认生效条件为:

  • 条件一 classpath中存在 SecurityFilterChain.class, HttpSecurity.class
  • 条件二 没有自定义 WebSecurityConfigurerAdapter.class, SecurityFilterChain.class

默认情况下,条件都是满足的。WebSecurityConfigurerAdapter 这个类极其重要,Spring Security 核心配置都在这个类中:
在这里插入图片描述
如果要对 Spring Security 进行自定义配置,就要自定义这个类实例,通过覆盖类中方法达到修改默认配置的目的。

流程分析

在这里插入图片描述

  1. 请求 /hello 接口,在引入 spring security 之后会先经过一些列过滤器
  2. 在请求到达 FilterSecurityInterceptor时,发现请求并未认证。请求拦截下来,并抛出 AccessDeniedException 异常。
  3. 抛出 AccessDeniedException 的异常会被 ExceptionTranslationFilter 捕获,这个 Filter 中会调用 LoginUrlAuthenticationEntryPoint#commence 方法给客户端返回 302,要求客户端进行重定向到 /login 页面。
  4. 客户端发送 /login 请求。
  5. /login 请求会再次被拦截器中 DefaultLoginPageGeneratingFilter 拦截到,并在拦截器中返回生成登录页面。

就是通过这种方式,Spring Security 默认过滤器中生成了登录页面,并返回!

默认用户生成

  1. 查看 SpringBootWebSecurityConfiguration#defaultSecurityFilterChain 方法表单登录
    在这里插入图片描述
    2.处理登录为 FormLoginConfigurer 类中 调用 UsernamePasswordAuthenticationFilter这个类实例
    在这里插入图片描述3.查看类中 UsernamePasswordAuthenticationFilter#attempAuthentication 方法得知实际调用 AuthenticationManager 中 authenticate 方法
    在这里插入图片描述4.调用 ProviderManager 类中方法 authenticate
    在这里插入图片描述
    5.调用了 ProviderManager 实现类中 AbstractUserDetailsAuthenticationProvider类中方法
    在这里插入图片描述
    6.最终调用实现类 DaoAuthenticationProvider 类中方法比较
    在这里插入图片描述

在这里插入图片描述看到这里就知道默认实现是基于 InMemoryUserDetailsManager 这个类,也就是内存的实现!

UserDetailService

通过刚才源码分析也能得知 UserDetailService 是顶层父接口,接口中 loadUserByUserName 方法是用来在认证时进行用户名认证方法,默认实现使用是内存实现,如果想要修改数据库实现我们只需要自定义 UserDetailService 实现,最终返回 UserDetails 实例即可。

public interface UserDetailsService {
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

在这里插入图片描述

总结

  • AuthenticationManager、ProviderManger、以及 AuthenticationProvider 关系

在这里插入图片描述

  • WebSecurityConfigurerAdapter扩展 Spring Security 所有默认配置
    在这里插入图片描述
  • UserDetailService 用来修改默认认证的数据源信息
    在这里插入图片描述
一个双子座的Java攻城狮
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
spring_security.zip
09-07
2. **授权服务器**:Spring Security 提供OAuth2 提供者支持,可以搭建自己的授权服务器,实现令牌的颁发和验证。 3. **保护API**:在微服务架构中,Spring Security 可以配合OAuth2 保护后端API,确保只有合法的...
SpringSecurity的执行流程超详细讲解
qq_41473691的博客
09-18 5351
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
springsecurity项目快速搭建
最新发布
weixin_42383680的博客
05-15 268
自定义security的搭建。
Spring Security 中的执行原理流程分析
weixin_63835553的博客
01-30 2768
1.简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 2.认证授权分析 用户在进行资...
Spring Security 安全框架搭建
xzh2022的博客
03-28 1016
SpringBoot系列----Spring Security 安全简介 在Web开发中,安全第一位!!!安全虽属于应用的非功能性需求,但应当在应用开发系统设计之初就考虑进来,若开发后期才考虑安全的问题: ​ 应用会存在严重的安全漏洞,可能造成用户隐私泄露 ​ 应用的基本架构已经确定,再考虑应用安全,修复安全漏洞,需要较大幅度调整系统架构,耗时耗力 ​ 认证,授权(admin,user1,user2,VIP) ​ 功能权限 ​ 访问权限 ​ 菜单权限 ​ … ​ 以前用拦截器、过滤器, 产生大量的
Spring Security系列教程03--Spring Security环境搭建
qq_38737545的博客
03-27 154
spring security环境搭建
spring security oauth2 实现的SSO单点登录案例.rar
03-18
总结来说,这个案例将指导你如何使用Spring Security OAuth2搭建一个完整的SSO系统,包括认证服务器的设置、客户端应用的配置以及OAuth2流程的实现。通过学习这个案例,你可以深入理解SSO的工作原理,并能够将其应用...
SpringBoot_SpringSecurity-源码.rar
10-10
SpringSecurity的认证流程由`UserDetailsService`接口负责,你需要实现这个接口并提供获取用户信息的方法。这个信息通常包括用户名、密码以及角色等,这些信息会被用来验证用户的登录请求。SpringSecurity支持多种...
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
04-09
2. **Spring Security**: Spring SecuritySpring生态系统的安全组件,提供了全面的身份验证和授权服务。它允许开发者为Web应用添加安全性,包括登录、访问控制、CSRF防护等功能。在本项目中,Spring Security...
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
Spring Security 02 搭建环境
weixin_46058921的博客
04-15 812
Spring Security 环境搭建以及 默认用户源码解析
Spring Security 5.7 的简单搭建流程
qq_43670559的博客
04-17 2072
Spring Security 5.7 的简单搭建流程 1 环境搭建 1.1 pom 文件中依赖的引入 该流程搭建的是一个前后端分离的项目,环境搭建使用 Spring boot 2.7.10 和 Spring Security 5.7,数据库使用 MySQL8、druid、 MyBatis-Plus 具体pom文件的引入为: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/
SpringSecurity从入门到源码分析
客官不爱喝酒的博客
03-21 893
security的入门到源码分析,看完后你将了解什么是security,如何在springboot应用中使用,以及如何集成多端登录,他的执行流程是怎么样的?以及如何自定义权限控制,已经过滤器执行流程
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 1万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity的实现思路
oPeiJie1的博客
02-08 328
SpringhSecurity的实现设计思路
Spring Security环境搭建
xiaoxu的博客
04-27 861
默认情况下Spring Boot 在对Spring Security 进入自动化配置时,会创建一个名为 SpringSecurityFilerChairy的过滤器,并注入到Spring 容器中,这个过滤器将负责所有的安全管理,包括用户认证、授权、重定向到登录页面等。这个类是 spring boot ⾃动配置类,通过这个源码得知,默认情况下对所有请求进⾏权限。加入启动器之后默认对所有的请求进行管理,进入默认的登录页面进行认证。需要注意的是,默认过滤器并不是直接放在Web项目的原生过滤器链中,而是通过一个。
项目搭建---SpringSecurity
m0_73302761的博客
07-20 65
这一个配置非常重要,配置了。
SpringSecurity框架快速搭建(SpringBoot整合Security
weixin_67573348的博客
06-16 1227
框架整合
spring security实现原理
09-15
具体来说,Spring Security的基本流程如下: 1. 首先,Tomcat会执行自身已有的Filter。 2. 然后,请求会被交给SpringSecurity定义的FilterChainProxy。 3. FilterChainProxy会根据配置的规则,依次执行Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个双子座的Java攻城狮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值