由浅入深理解SpringSecurityOauth2框架原理

最新推荐文章于 2024-06-06 22:02:52 发布
最新推荐文章于 2024-06-06 22:02:52 发布
阅读量2.4k 收藏 14
点赞数 6
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuqinduo/article/details/104834011
版权

克服自己消极的、钻牛角尖的扭曲的思想方式,便能增加效率,提高自尊心

文章目录

1.基础知识点

为了理解Security Oauth2 我们要先理解Security ;理解Security ,我们需要先做一些Security组件等基础认识的认识。

Security组件的认识

  • SecurityContextHolder:用来存储安全上下文信息,Spring Security 的校验之后,验证信息存储在SecurityContext

  • Authentication: 在Security领域,用户密码等不叫做用户密码,叫做Authentication。Authentication 在 spring security 中是最高级别的身份 / 认证的抽象。 在进入Security领域前,得把信息封装成Authentication.(如果用一成语来形容,就是入乡随俗),例如我们常用的[clientId,clientSecret ] [username,password]都可以封装成一个(Authentication)UsernamePasswordAuthenticationToken

  • AuthenticationManager: 从组件层面讲,此组件是用来校验Authentication,常见实现类有ProviderManager。但是从代码层面,ProviderManager 将校验的工作交给了另一个组件AuthenticationProvider来完成的。ProviderManager 中维护一个List<AuthenticationProvider>,通过遍历找到支持当前Authentication认证的AuthenticationProvider,交给其进行认证。(这样看AuthenticationManager可以看做是大总管

  • AuthenticationProvider: 就是上面说的代码层面真正Authentication进行校验的组件。常见的AuthenticationProvider有

    (1.DaoAuthenticationProvider: Dao式认证Provider ,从数据库中取出信息与提交的信息进行比对,完成认证。

    (2. AnonymousAuthenticationProvider: 匿名认证Provider

  • UserDetails : 理解UserDetails,我们可以对比Authentication来理解, Authentication是来自用户提交的数据封装,UserDetails 是从数据层获取的用户信息封装。

  • UserDetailsServiceDaoAuthenticationProvider认证器从数据库层取数据是通过UserDetailsService 完成的,取到的是UserDetails 。常见的UserDetailsService

    (1.JdbcDaoImpl

    (2.ClientDetailsUserDetailsService: 查询[clientId,clientSecret ]形式的UserDetails

Filter-Servlet

我们都知道请求经过Filter链到Servlet

过程看起来是这样

在这里插入图片描述

Security原理

牢记,Spring Security在web应用中,是通过filter 介入的。

为了介入到主体ApplicationFilterChain中,这里要介绍一个特殊的Filter ,

DelegatingFilterProxy:

​ 这个Filter很有意思,他内部有一个Filter delegate属性 ,用来代理另一个Filter。当请求执行到DelegatingFilterProxy时,会调用delegate 这个Filter 。DelegatingFilterProxy可以看做是一个可以让Filter链拐弯的 Filter

在这里插入图片描述

FilterChainProxy:

​ 也是一个Filter , Security就是通过把他设置到DelegatingFilterProxy.delegate属性上来介入了主体FilterChain .但是从他名称来看他本身也是一个代理性质的FIlter

​ 他内部维护了一个List<SecurityFilterChain> filterChains来表示不同权限的url对应的不同的过滤器链 ,但是一次请求最多只有一个SpringSecurityFilterChain链。

SpringSecurityFilterChain

​ FilterChainProxy遍历List<SecurityFilterChain> filterChains匹配到一个适用于当前请求的SecurityFilterChain然后就是链式调用了。

Security 常见Filter

  • SecurityContextPersistenceFilter: 位于SecurityFilterChain的顶端。以前我们使用session来存储用户信息,用了Security框架后,用户登录一次,后续通过sessionId 来识别,用户信息存放到SecurityContextHolder中,这个放入的过程就是SecurityContextPersistenceFilter完成的。SecurityContextPersistenceFilter的主要工作创建 SecurityContext 安全上下文信息和请求结束时清空 SecurityContextHolder(用了try,finally组合)

  • UsernamePasswordAuthenticationFilter:表单认证是最常用的一个认证方式,允许表单输入用户名和密码进行登录。他会先将 [username,password]封装成Authentication然后交给authenticationManager 认证,authenticationManager 会选择一个provider ,通过UserDetailsService从redis获取mysql等数据层面获得存储用户信息的数据的UserDetail与Authentication 进行对比。认证成功

  • ExceptionTranslationFilter: 异常转换过滤器位于整个 springSecurityFilterChain 的后方,主要处理两大异常,AccessDeniedException 访问异常和 AuthenticationException 认证异常。根据配置和异常类型,会选择跳转到登录页面,或者404 ,405页面。

代码层面的集成:

代码中使用Security 最重要的是@EnableWebSecurity ,这是代码集成Se

最低0.47元/天 解锁文章
享学源码
关注
  • 6
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
spring security 和spring oauth2 关系(个人笔记)
@chenk的博客
12-09 2267
//OAuth2认证流程 用户发起获取token的请求。 过滤器会验证path是否是认证的请求/oauth/token,如果为false,则直接返回没有后续操作。 过滤器通过clientId查询生成一个Authentication对象。 然后会通过username和生成的Authentication对象生成一个UserDetails对象,并检查用户是否存在。 以上全部通过会进入地址/oauth/token,即TokenEndpoint的postAccessToken方法中。 postAccess
【Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 7464
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
Spring-Security(二)OAuth2认证详解(持续更新)
最新发布
lbmydream的博客
06-06 1310
深入了解Spring Oauth2.0 认证流程及自定义扩展
oauth2-wechat-develop:以接入微信开放平台为例讲解oauth2原理
05-21
以接入微信开放平台为例讲解OAuth2原理 什么是OAuth? OAuth是一个开放授权标准。允许用户让第三方应用访问该用户在某应用(服务)的资源。 OAuth有1.0和2.0版本,今天我们主要讲Oauth2.0,下面看一下Oauth2.0的运行流程 (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。 从上面可以看出,Oauth2.0的运行原理就是:第三方应用请求某个服务应用的用户给予授权,用户统一授权后,第三方应用就可以和服务应用进行后续的获取资源的令牌申请。整个流程的关键点就是用户是否同意授权。 Oauth2.0授权模式总共有四种:
OAuth2.0 原理
热门推荐
安梓晨的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
OAuth 2.0 的四种方式
勿忘初心
04-24 1701
OAuth 2.0 是一种授权机制,主要用来颁发令牌(token)。 RFC 6749 OAuth 2.0 的标准是 RFC 6749 文件。该文件先解释了 OAuth 是什么。 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。…资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。 这段话的意思就是,OAuth 的核心就是向第三方应用颁发令...
SpringSecurity Oauth2.0原理篇(一)
qq_38226564的博客
02-15 1555
Spring Security、SpringBoot、 token、认证码
SpringSecurity整合OAuth2.0
玩转Java
12-10 9732
springsecurity整合aoth2.0
Git由浅入深之存储原理
02-25
在初始化项目仓库时(gitclone或gitinit),Git会在根目录下创建一个.git目录,其下存放着Git操作和存储相关的内容,该目录结构大致如下:如图中所述:HEAD文件指向当前分支;index文件存储着暂存区的内容信息;...
由浅入深掌握Shiro权限框架视频教程
08-12
​ 2、shiro权限框架的核心组件 ​ 3、springboot下shiro的使用 ​ 4、shiro认证鉴权的缓存机制 ​ 5、分布式下使用shrio处理统一会话 ​ 6、密码重试次数,并发登录控制 ​ 7、前后端分离的鉴权方式 ​ 8、...
手写mybatis框架源码由浅入深
01-03
不借助其他任何框架,从最底层开始着手,用最简单的代码,将mybatis的底层框架,手写出来,让你对mybatis有一个更加深刻和直观的理解 详见:https://blog.csdn.net/weixin_43860634/article/details/127177579
由浅入深解析ChatGPT的技术原理
05-14
由浅入深解析ChatGPT的技术原理 由浅入深解析ChatGPT的技术原理 由浅入深解析ChatGPT的技术原理 由浅入深解析ChatGPT的技术原理 由浅入深解析ChatGPT的技术原理 由浅入深解析ChatGPT的技术原理 由浅入深解析ChatGPT...
Shiro权限框架由浅入深讲解教程课件
01-07
(2)用户分配角色,角色定义权限; (3)访问授权时支持角色或者权限,并且支持多级的权限定义; 对比Spring Security权限框架,Shiro更加简单,且满足大部分开发需求,Shiro在实际项目中使用非常广泛
由浅入深掌握Shiro权限框架资料.zip
07-31
2、shiro权限框架的核心组件;3、springboot下shiro的使用; 4、shiro认证鉴权的缓存机制;5、分布式下使用shrio处理统一会话;6、密码重试次数,并发登录控制;7、前后端分离的鉴权方式;8、建立分布式统一鉴权系统...
由浅入深AngularJS1.0框架
06-13
本课程全程使用目前比较流行的开发工具idea进行开发,涉及到目前互联网项目中最常用的高并发解决方案技术, 如 dubbo,redis,solr,freemarker,activeMQ,springBoot框架,微信支付,nginx负载均衡,电商活动秒杀,spring...
由浅入深探究mysql索引结构原理、性能分析与优化
12-07
由浅入深探究mysql索引结构原理、性能分析与优化
springboot-安全认证security+jwt+OAuth2.0关系梳理
帅哥趣谈
12-22 5759
目录 背景 正文 一、Security的职责: 二、OAuth2.0的流程 三、Jwt是什么 四、总结 背景 前面写过一篇springboot+security+jwt的实战篇,并没有把来龙去脉说清楚,所以想再写一篇把安全认证的前世今生彻底弄清楚。主要从security干什么,OAuth2.0的流程,Jwt是什么来阐述。 正文 一、Security的职责: Spring Security是Spring提供的一个安全框架,提供认证和授权功能,最主要的是它提供了简单的使用方...
Spring Security和oauth2的关系
geejkse_seff的博客
08-02 3733
网上有很多SpringSecurity和oauth2的介绍,但是对于初学者来说,上手比较复杂,本篇从原理上梳理一下两者之间的联系和区别参见【SpringSecurity】基本功能介绍springsecurity的核心功能主要包括认证(你是谁)通过注解开启简单来说,就是需要登录,你需要输入用户名和密码,才能访问某个url。授权(你能干什么)不需要通过指定的开关开启,而是通过配置来增加授权规则来生效,不增加授权规则就不生效一种是同步session不需要再次输入用户名和密码。...
SpringSecurity之Oauth2介绍
justlpf的专栏
04-14 4077
第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript、Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
python爬虫由浅入深
09-10
Python爬虫的学习可以从浅到深逐步进行,以下是一个可能的学习路径: 1. 网络基础知识:了解HTTP协议和HTML基础知识,理解网页结构和标签的含义。 2. requests库:学习使用Python的requests库发送HTTP请求,获取网页内容。可以使用该库来实现简单的网页爬取。 3. BeautifulSoup库:学习使用BeautifulSoup库解析HTML文档,提取所需的信息。该库可以帮助我们以更方便的方式处理网页数据。 4. 数据存储:学习使用CSV、JSON、数据库等方式来存储爬取到的数据,以便后续使用和分析。 5. 爬虫进阶:学习处理JavaScript渲染的页面,使用Selenium库模拟浏览器行为。还可以学习使用代理IP、验证码处理等技术来应对一些反爬机制。 6. 爬虫框架:了解并学习使用一些流行的爬虫框架,如Scrapy,可以大幅度提高爬虫的开发效率和稳定性。 7. 反爬虫策略:学习了解常见的反爬虫策略,如User-Agent伪装、IP封禁等,并学会应对这些策略,提高爬虫的鲁棒性。 8. 数据清洗和分析:学习使用Python的数据处理和分析库,如Pandas、NumPy、Matplotlib等,对爬取到的数据进行清洗和分析。 9. 分布式爬虫:学习使用分布式爬虫框架,如Scrapy-Redis,来提高爬虫的并发能力和抓取速度。 10. 伦理和法律问题:了解爬虫的伦理和法律问题,遵守相关法律法规,不进行非法、恶意的爬取行为。 以上是一个学习Python爬虫的大致路径,根据自己的兴趣和实际需求可以自行调整学习的深度和广度。注意,在进行爬虫时请遵守网站的相关规定和爬虫道德准则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值