「技术原理」Spring Security的核心功能和加载运行流程的原理分析

最新推荐文章于 2023-03-02 11:12:28 发布
最新推荐文章于 2023-03-02 11:12:28 发布
阅读量715 收藏 3
点赞数 1
分类专栏: Java Spring 数据结构 文章标签: spring java 安全 程序人生 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64314555/article/details/122170037
版权
SpringSecurity的架构总览Spring Security的简介说明Spring Security对认证、授权和常见漏洞保护提供了全方位支持。使用的版本为:Spring Security 5.5.2。概念释义 认证(Authentication):认证就是对试图访问资源的用户进行验证。 认证的场景就是 登录 流程,常见的方式就是要求提供用户名和密码,当验证通过的时候,就可以执行授权操作。 授权(Authority):授权就是对资源进行权限设置,只有用户具...
摘要由CSDN通过智能技术生成

🍃【Spring专题】「技术原理」Spring Security的核心功能和加载运行流程的原理分析

SpringSecurity的架构总览

Spring Security的简介说明

Spring Security对认证、授权和常见漏洞保护提供了全方位支持。使用的版本为:Spring Security 5.5.2。

概念释义

  • 认证(Authentication):认证就是对试图访问资源的用户进行验证。

    • 认证的场景就是 登录 流程,常见的方式就是要求提供用户名和密码,当验证通过的时候,就可以执行授权操作。

  • 授权(Authority):授权就是对资源进行权限设置,只有用户具备相应权限才能访问。

技术原理

Spring Security 在基于Servlet应用中,其底层是采用了Filter机制实现了对请求的认证、授权和漏洞防御等功能。

简单来说,可以理解为给Servlet设置一些Filters,这些Filters就构成了一个FilterChain。

请求拦截处理

每次当请求进来时,首先会被FilterChain中的Filters 依次捕获得到,每个Filter可以对请求进行一些预处理或对响应进行一些后置处理,最后才会到达Servlet。具体流程如下图所示:

FilterChain的实例对象

FilterChain中的Filter主要有两方面作用:

  • 修改HttpServletRequest或HttpServletResponse,这样FilterChain后续的Filters 或Servlet得到的就是被修改后的请求和响应内容。

  • Filter可以拦截请求,自己作出响应,相当于断开了FilterChain,导致后续的Filters和Servlet无法接收到该请求。

DelegatingFilterProxy

  • 基于Servlet规范,我们可以为 Servlet容器 注入一些自定义Filters,但是在 Spring 应用中,实现了Filter接口的Bean无法被 Servlet容器 感知到,没有调用ServletContext#addFilter方法注册到FilterChain中。

  • Spring 提供了一个DelegatingFilterProxy代理类,DelegatingFilterProxy实现了Filter,因此它可以被注入到FilterChain中,同时,当请求到来时,它会把请求转发到Spring容器 中实现了Filter接口的 Bean 实体,所以DelegatingFilterProxy桥接了 Servlet容器 和 Spring容器。

DelegatingFilterProxy作用示意图大致如下所示:

当请求到来时,DelegatingFilterProxy会从ApplicationContext中获取FilterBean 实体,然后将请求转发给到它,伪代码如下所示:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
    // Lazily get Filter that was registered as a Spring Bean
    // For the example in DelegatingFilterProxy delegate is an instance of Bean Filter0
    Filter delegate = getFilterBean(someBeanName);
    // delegate work to the Spring Bean
    delegate.doFilter(request, response);
}
复制代码

FilterChainProxy

Spring容器中的Filters Bean实体可以注入到Servlet容器中的FilterChain功能,基于此,Spring Security向Spring容器提供了一个FilterChainProxy Bean 实体,该FilterChainProxy实现了Filter接口,因此,请求就会被FilterChainProxy捕获到,这样 Spring Security 就可以开始工作了。

默认情况下,DelegatingFilterProxy从Spring容器中获取得到的就是FilterChainProxy实体,而FilterChainProxy也是一个代理类,它最终会将请求转发到 Spring Security 提供的SecurityFilterChain中,流程示意图如下所示:

注:FilterChainProxy就是 Spring Security 真正的入口起始点,调式代码时,将断点设置在FilterChainProxy#doFilter就可以追踪 Spring Security 完整调用流程。

SecurityFilterChain

SecurityFilterChain作用其实跟Servlet的FilterChain一样,同样维护了很多Filters,这些Filters 是由Spring Security提供的,每个 Security Filter 都有不同的职能,比如登录认证、CSRF防御...如下图所示

最低0.47元/天 解锁文章
老程不秃
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列【55】认证篇之集成SAML 2.0登录
记录知识、锤炼自我
06-12 2330
Spring Security提供了作为SP服务提供方进行SAML 2.0登录的功能,基于SAML 2.0 中Web Browser SSO Profile标准规范实现。 自2009年以来,对依赖方SP的支持一直作为一个扩展项目存在。在2019年,开始将其移植到Spring Security本身。类似于2017年开始的对Spring Security的OAuth 2.0支持的过程。
Spring技术内幕-深入解析_Spring架构与设计原理
11-07
Spring技术内幕-深入解析_Spring架构与设计原理》是一本全面而深入的Spring框架指南,不仅提供了理论知识,还包含了大量的实践案例和源代码分析,对于希望深入了解Spring内部工作原理的开发者来说,是一本不可或缺...
SpringSecurity原理和机制
weixin_45984552的博客
07-24 2168
以后每当有请求到来时,SpringSecurity就会先从Session中取出⽤户登录数据,保存到SecurityContextHolder中,⽅便在该请求的后续处理过程中使⽤,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后将SecuritySecurityContextHolder中的数据清空。身份认证,就是判断⼀个⽤户是否为合法⽤户的处理过程。在的架构设计中,认证和授权是分开的,⽆论使⽤什么样的认证⽅式。...
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
Spring Boot:一文搞懂 Spring Security 是如何工作的?
Java技术攻略的博客
03-02 317
Nullable@Nullable这里的 delegate 就是前面架构图中的 Bean Filter0。那 Spring 为什么要设计这样一层代理呢?从前面的分析过程中我们知道,向 ServletContext 中注册 Filter 的时间发生的其实非常早,甚至这个时候 ApplicationContext 都还没有实例化完毕,更别说其中的 Filter Bean了。
spring security执行流程
m0_38105216的博客
01-25 4350
启动的时候把userRespository注入进来 执行流程 首先我们配置SecurityConfiguration它继承WebSecurityConfiguraterAdpter 并且实现 configure是释放静态资源 还实现了configure(HttpSecurity http)主要是对于url请求资源的拦截处理 主要是通过UsernamePasswordAuthe...
Spring技术内幕:深入解析Spring架构与设计原理(第2版)
03-31
通过上述分析可以看出,《Spring技术内幕:深入解析Spring架构与设计原理(第2版)》这本书不仅涵盖了Spring框架的基本概念和技术细节,还深入探讨了Spring的设计理念及其背后的实现原理。对于希望深入了解Spring框架...
spring-framework-5.3.29.tar.gz
08-31
本文将围绕这个版本的源码进行深入探讨,旨在帮助开发者更深入地理解Spring的工作原理和设计理念。 一、Spring核心架构 Spring Framework 的核心组件包括IoC(Inversion of Control)容器、AOP(Aspect Oriented...
Spring Boot面试题(最新版)-重点.pdf
最新发布
10-05
其他问题如热部署、启动方式、异常处理、分页排序、session共享、定时任务等,都是Spring Boot开发中常见的实践,涉及到的技术点广泛,需要具体问题具体分析。总的来说,Spring Boot以其强大的自动化配置和便捷的...
java-spring-bigdata:java基础,Spring和大数据的学习
02-13
此外,深入理解JVM(Java虚拟机)的工作原理,如类加载器、内存模型和性能优化,也是Java开发者必备的知识。 Spring框架是Java企业级应用开发的首选,它提供了一种依赖注入(DI)和面向切面编程(AOP)的解决方案。...
springsecurity文档_深入浅出Spring boot,这是我见过最精良的学习文档
weixin_39699313的博客
11-23 213
深入浅出Spring boot,这是我见过最精良的学习文档小编近期收集到一份springboot的学习文档,准备分享给各位小伙伴们学习使用这一份PDF将分成17章带领大家由浅入深学习springboot,对于刚刚接触spring boot不久的同学是一份非常好的教程!文末有领取方式哦!第1章Spring Boot来临第2章聊聊开发环境搭建和基本开发第3章全注解下的Spring IoC第4章开始约定...
SpringSecurity(二)Web安全
陈橙橙
03-10 5298
Web安全 ​ 在SpringSecurity中,认证、授权等功能都是基于过滤器来完成的。如下表: 过滤器 过滤器作用 是否默认加载 ChannelProcessingFilter 过滤请求协议,如HTTPS和HTTP 否 WebAsyncManagerIntegrationFilter 将WebAsyncManager与Spring Security上下文进行集成 是 SecurityContextPersistenceFilter 在处理请求之前,将安全信息加载Security
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 2073
Spring Security配置流程剖析
SpringSecurity-入门(1)执行流程
weixin_45723088的博客
05-02 476
了解Security安全框架,首先要了解它的执行流程(过滤链) 在不引入Security依赖的情况下 下面这个接口就是一个没有任何限制的接口,可以任意的访问。 @RestController @RequestMapping(value = "/admi") public class AdminDemoController { @RequestMapping(value = "/demo") public String run() { return "successfu
Spring Security的认证和授权(1)
weixin_43831002的博客
08-02 1963
Shiro本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务时代,Shiro就显得力不从心了,在微服务面前,它无法充分展示自己的优势。也有开发者选择自己实现安全管理,这一部分人不在少数,但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑各种各样可能存在的网络攻击以及防御策略,从这个角度来说,开发者自己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。...
深入浅出Spring Security(一):三句话解释框架原理
紫眸的博客
10-09 8023
三句话解释框架原理 整个框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain类型是FilterChainProxy 核心过滤器里面是过滤器链(列表),过滤器链的每个元素都是一组URL对应一组过滤器 WebSecurity用来创建FilterChainProxy过滤器,HttpSecurity用来创建过滤器链的每个元素。 框架接口设计 关注两个东西:建造者...
Spring Security系列-Spring Security运行机制分析(四)
马各马它
05-25 284
前言 前面三篇写的关于Spring Security是如何进行用户认证,本篇来看看我们输入的用户名和密码是如何传给AuthenticationManager的。 Filter Spring Security有一个FilterChain,它包含由多个Filter组成的集合。当用户输入用户密码,并提交HttpRequest后,Spring Security通过一系列的Filter对HttpReques...
松哥写的《深入浅出Spring Security》真不错
brucexia的专栏
10-25 1068
安全管理是Java应用开发中无法避免的问题,目前主流的安全管理框架就是SpringSecurity和Shiro,其中Shiro一直以使用简单和轻量级著称。然而,随着SpringBoot和微服务的流行,SpringSecurity受到越来越多开发者的重视,因为SpringSecurity在和SpringBoot整合时具有先天优势。 目前市面上缺少系统介绍SpringSecurity的书籍,网上的博客内容又比较零散,这为很多初次接触SpringSecurityJava工程师学习这门技术带来诸多...
深入探讨Spring核心技术:IoC和AOP原理与配置
在介绍IoC技术之前,我们需要了解一些基本的概念和技术,如接口、工厂模式和反射。接口在Java语言中起到了多继承的作用,使得一个类可以实现多个接口,而不仅限于单一类的继承。工厂模式是一种设计模式,用于创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值