SpringSecurity登录和校验流程简述

已于 2024-05-31 10:04:20 修改
阅读量859 收藏 20
点赞数 29
文章标签: spring
于 2024-05-20 22:22:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64618264/article/details/138955896
版权

这里写目录标题

认证: 验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户
授权: 经过认证后判断当前用户是否有权限进行某个操作

一、入门案例实现

搭建springboot工程后,创建启动类和Controller,引入SpringSecurity依赖
尝试访问Controller接口就会自动跳转到SpringSecurity的默认登录界面
输入用户名是user,密码会在控制台输出

SpringSecurity完整流程

原理是一个过滤器链,内部提供了各种功能的过滤器

下面看看入门案例的过滤器链
在这里插入图片描述

UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请

ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和
AuthenticationException 。
FilterSecurityInterceptor:负责权限校验的过滤器。

整体流程概述

在这里插入图片描述

验证用户名和密码正确性

实现UserDetailsService接口重写其中的loadUserByUsername方法,
从数据库查询用户名和密码,查询成功就返回一个UserDetails对象(因为重写的这个方法需要返回这个对象)

实现这个方法后就可以访问接口就会通过这个方式进行登录校验,
如果要测试,需要往用户表中写入用户数据,并且如果你想让用户的密码是明文存储,需要在密码前加{noop}

在这里插入图片描述

需要拦截那些接口

设置SpringSecurity拦截除了登陆接口的一系列接口,继承WebSecurityConfigurerAdapter类,然后重写其中的 configure方法

在这里插入图片描述

自定义LoginService接口

该方法会默认执行第一步的登录校验方法,看是否能够校验成功,校验成功自然也就会返回对象,获取到id以及用户信息然后生成token并且将token返回给前端
在这里插入图片描述

经过前面的三步,已经实现了拦截除登陆接口的所有方法,并且实现了登陆接口的逻辑
其中实现UserDetailsService接口重写其中的loadUserByUsername方法来定义如何检验密码
通过在SpringSecurity配置类的configure方法指定需要拦截的方法
实现登陆接口,就能保证当访问没有被拦截的登陆方法就能根据需要生成token,供给后续SpringSecurity拦截的方法判断是否有访问权限

过滤器

这一步的目的是为了访问其他接口的时候需要校验是否有token 也就是是否已经登录
过滤器会获取请求头中的token,对token进行解析获取其中的userId,然后根据这个userid去redis获取对应的LoginUser对象,然后封装Authentication对象存入SecurityContextHolder(可以后续登出的时候获取到用户信息)
然后在配置类中通过http.addFilterBefore(jwtAuthenticationTokenFilter将token校验过滤器添加到过滤器链中。到此就实现了登陆接口进行校验密码生成token,其他接口访问前需要校验token
该方法需要继承OncePerRequestFilter类重写其中的doFilterInternal方法

在这里插入图片描述

在这里插入图片描述

登出接口

获取SecurityContextHolder中的认证信息,删除redis中对应的数据即可。
在这里插入图片描述
到这一步一个基本的登陆功能就实现了,能够实现登录接口进行登录校验,其他接口进行token校验

授权

授权基本流程

使用默认的FilterSecurityInterceptor来进行权限校验。在
FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。
然后设置我们的资源所需要的权限即可。

注解来指定对应的资源所需的权

首先需要先开启相关配置。

@EnableGlobalMethodSecurity(prePostEnabled = true)

在对应的资源使用@PreAuthorize注解,表示访问该资源需要test权限
在这里插入图片描述

从数据库查询权限信息

RBAC权限模型
基于角色的权限控制(具体应该是用户关联角色,角色关联权限)
所以可以在UserDetailsServiceImpl中去调用mapper的方法查询权限信息封装到LoginUser对象中即可,之后经过权限过滤器就可以校验权限了。
下面这段代码实现了封装权限信息到LoginUser

List<String> permissionKeyList =pper.selectPermsByUserId(user.getId());
return new LoginUser(user,permissionKeyList);
乌海黑
关注
  • 29
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity用户密码验证过程
caijibaindashen的博客
04-27 5112
SpringSecurity过滤链当中的UsernamePasswordAuthenticationFilter负责登陆密码验证 AbstractAuthenticationProcessingFilter是UsernamePasswordAuthenticationFilter的父接口,接口当中就有一个this.getAuthenticationManager()方法,获取AuthenticationManager对象。 AuthenticationManager对象当中有一个方法:Authentica
Spring security 自定义密码验证(一)
料峭春风吹酒醒,微冷, 山头斜照却相迎。 回首向来萧瑟处,归去, 也无风雨也无晴!
04-25 8252
搞了好几天,大概总结下。我找到的自定义密码验证有两种方式,按照网上的去写,确实能做到密码验证,但是密码对不上,抛出BadCredentialsException,并不能阻止用户进入权限页面,感觉好像Spring Security对抛出的BadCredentialsException没处理还是咋的,就是没反应,最后改为抛出DisabledException,Spring Security才反应正常,...
spring security】认证过程详解
欢迎来到【战羽】的博客
11-15 1054
spring security 主要有两大功能,即认证和授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 1666
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
Springsecurity的认证流程及鉴权流程流程绝对清晰)
qq_60264381的博客
06-14 1290
我们知道在SpringSecurity中,usernamePassword会拦截登录请求,同时调用ProviderManager。ProviderManager内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制也就是说,ProviderManager会决定调用具体AuthenticationProvider实现类来进行认证。
Spring Security登录流程
记录,记录,记录
02-12 550
1、Authentication 存放用户信息类的顶层接口为Authentication,我们从这个类往下找,发现常用的实现类有UsernamePasswordAuthenticationToken。 我们对与之关联的5个类进行观察: Authentication AbstractAuthenticationToken UsernamePasswordAuthenticationToken GrantedAuthority SimpleGrantedAuthority 我们可以发现,
SpringSecurity登录流程
weixin_45802793的博客
09-27 4123
SpringSecurity登录流程 1.无处不在的Authentication 实现类中,我们最常用的是UsernamePasswordAuthenticationToken 2.登录流程 Spring Security中,认证和授权的校验都是在一系列过滤器链完成的,和认证相关的过滤器就是UsernamePasswordAuthenticationFilter public Authentication attemptAuthentication(HttpServletRequest reque
SpringSecurity的基本登录流程
weixin_41359273的博客
03-24 983
SpringSecurity的基本登录流程1.几个重要的成员1.1 Authentication1.2 AuthenticationProvider1.3 AuthenticationManager1.4 ProviderManager2.基本流程(基于用户名密码登录) 1.几个重要的成员 1.1 Authentication 1)Authentication对象主要保存用户的一些基本信息,用户名,密码,权限等 2)其下还有多个实现类,UsernamePasswordAuthenticationToken
Spring Security---详解登录步骤
m0_53157173的博客
11-18 7168
Spring Security---详解登录步骤步骤分析1.新建项目默认生成密码的源码探究2.用户配置2.1 配置文件2.2 配置类加密方案2.2.1 PasswordEncoder2.2.2 配置3.自定义表单登录页3.1服务端定义3.登录接口4.登录参数4.登录回调4.1 登录成功回调4.2登录失败回调5.注销登录6.前后端分离中,使用 JSON 格式登录1.服务端接口调整2.自定义过滤器 步骤分析 1.新建项目 首先新建一个 Spring Boot 项目,创建时引入 Spring Security
SpringSecurity系列学习(二):密码验证
在数字化道路无限探索
01-12 5101
版权声明:本文由神州数码云基地团队整理撰写,若转载请注明出处。密码存储安全进化史这一节我们还是积累一些知识,迫不及待想编码的小伙伴再忍忍,打好基础才能避免一些坑,一步一脚印。 最开始的时候,密码是明文存储的。黑客只需要攻破你的数据库,就能拿到所有的账号与密码了 为了防止密码泄露,后来在存储密码的时候对密码进行了哈希加密,这种加密是不可逆的。这样黑客即使攻破数据库拿到了账号和密码保存的记录,也不能获得真正的密码,因为存储在数据库里的密码是经过哈希加密算法之后的数据。 黑客为了解决这种情况,使用了彩虹表:预先将
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
使用SpringSecurity3用户验证几点体会(异常信息,验证码)
04-03
NULL 博文链接:https://kennylee26.iteye.com/blog/1473505
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现是认证流程中的一种重要方式,它可以帮助我们实现安全的认证和授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
SpringSecurity的Web应用和指纹登录实践
02-24
Java开发人员在解决Web应用安全相关的问题时,通常会采用两个非常流行的安全框架,Shiro和SpringSecurity。Shiro配置简单,上手快,满足一般应用的安全需求,但是功能相对单一。SpringSecurity安全粒度细,与Spring...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security实现验证码登录功能
08-25
验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序的攻击和恶意攻击。下面是Spring Security实现验证码登录功能的知识点: 知识点一:Spring Security验证码登录功能的实现原理 Spring ...
spring security 密码校验——用户输入的密码和数据库密码值
qq_45947664的博客
10-14 1316
先检查数据库存的密码是否是在securityConfig配置类里注入的加密方法,加密后的结果。在控制台进行打印的结果,存到数据库中,就可以了。eg:用security自带的BC加密。,绝大概率就是这里的问题。
Spring security 自定义密码验证(二)
料峭春风吹酒醒,微冷, 山头斜照却相迎。 回首向来萧瑟处,归去, 也无风雨也无晴!
04-25 3874
第二种自定义密码验证的方式是,实现PasswordEncoder,但个人感觉没实现AuthenticationProvider更加可扩展,方便。因为我加不了存在数据库中的salt进去。在PasswordEncoder的实现类当中,可以选择用spring security自带的Md5PasswordEncoder,ShaPasswordEncoder进行加密。Spring security配置主类:...
SpringSecurity实现密码验证等常用功能
weixin_42426099的博客
04-21 201
本文是在下文的基础上做描述的: https://blog.csdn.net/weixin_42426099/article/details/105620579 让SpringSecurity通过读取数据库存的的用户名和密码来做验证 让SpringSecurity支持采用了frame(框架页)的页面 在SpringSecurity配置文件中加入如下配置: <frame-options ...
springsecurity登录验证流程
05-18
Spring Security登录验证流程主要包括以下几个步骤: 1. 用户在客户端(如浏览器)输入用户名和密码提交登录请求。 2. 服务器端接收到登录请求后,将请求交给Spring Security进行处理。 3. Spring Security会调用配置好的AuthenticationManager进行身份验证。 4. AuthenticationManager会调用配置好的AuthenticationProvider进行身份认证。 5. AuthenticationProvider会根据用户提供的用户名和密码查询数据库或其他存储方式,获取用户的详细信息(如密码、角色、权限等)。 6. 如果用户信息验证成功,则AuthenticationProvider会返回一个Authentication对象,其中包含了用户的详细信息。 7. AuthenticationManager将Authentication对象返回给Spring Security进行后续处理。 8. 如果身份验证成功,则Spring Security会在服务器端建立一个SecurityContext对象,并将Authentication对象存储在其中。 9. 服务器端会生成一个Session ID并返回给客户端,同时将SecurityContext对象保存在服务器端的Session中,以便后续的请求能够使用该Session ID进行访问。 10. 登录成功后,客户端可以携带Session ID进行后续访问,服务器端会根据Session ID获取对应的SecurityContext对象,并使用其中的Authentication对象进行身份验证和权限控制。 以上就是Spring Security登录验证流程。在实际开发中,我们需要根据具体的业务需求和安全策略,对相关的配置进行调整和优化,以确保系统的安全性和稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值