关于SpringSecurity动态鉴权流程的详细解析

最新推荐文章于 2024-02-14 16:08:52 发布
最新推荐文章于 2024-02-14 16:08:52 发布
阅读量542 收藏 5
点赞数 2
文章标签: java 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ww2651071028/article/details/130259259
版权

楔子

我们讲过了SpringSecurity的认证流程,相信大家认真读过了之后一定会对SpringSecurity的认证流程已经明白个七八分了,本期是我们如约而至的动态鉴权篇,看这篇并不需要一定要弄懂上篇的知识,因为讲述的重点并不相同,你可以将这两篇看成两个独立的章节,从中撷取自己需要的部分。

祝有好收获。

1. 📖SpringSecurity的鉴权原理

之前我们讲认证的时候曾经放了一个图,就是下图:

整个认证的过程其实一直在围绕图中过滤链的绿色部分,而我们今天要说的动态鉴权主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor

1. FilterSecurityInterceptor

想知道怎么动态鉴权首先我们要搞明白SpringSecurity的鉴权逻辑,从上图中我们也可以看出:FilterSecurityInterceptor是这个过滤链的最后一环,而认证之后就是鉴权,所以我们的FilterSecurityInterceptor主要是负责鉴权这部分。

一个请求完成了认证,且没有抛出异常之后就会到达FilterSecurityInterceptor所负责的鉴权部分,也就是说鉴权的入口就在FilterSecurityInterceptor

我们先来看看FilterSecurityInterceptor的定义和主要方法:

public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements
  Filter {

            public void doFilter(ServletRequest request, ServletResponse response,
                    FilterChain chain) throws IOException, ServletException {
                FilterInvocation fi = new FilterInvocation(request, response, chain);
                invoke(fi);
            }
}
复制代码

上文代码可以看出FilterSecurityInterceptor是实现了抽象类AbstractSecurityInterceptor的一个实现类,这个AbstractSecurityInterceptor中预先写好了一段很重要的代码(后面会说到)。

FilterSecurityInterceptor的主要方法是doFilter方法,过滤器的特性大家应该都知道,请求过来之后会执行这个doFilter方法,FilterSecurityInterceptordoFilter方法出奇的简单,总共只有两行:

第一行是创建了一个FilterInvocation对象,这个FilterInvocation对象你可以当作它封装了request,它的主要工作就是拿请求里面的信息,比如请求的URI。

第二行就调用了自身的invoke方法,并将FilterInvocation对象传入。

所以我们主要逻辑肯定是在这个invoke方法里面了,我们来打开看看:

public void invoke(FilterInvocation fi) throws IOException, ServletException {
        if ((fi.getRequest() != null)
                && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
                && observeOncePerRequest) {
            // filter already applied to this request and user wants us to observe
            // once-per-request handling, so don't re-do security checking
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        }
        else {
            // first time this request being called, so perform security checking
            if (fi.getRequest() != null && observeOncePerRequest) {
                fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
            }

            // 进入鉴权
            InterceptorStatusToken token = super.beforeInvocation(fi);

            try {
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            }
            finally {
                super.finallyInvocation(token);
            }

            super.afterInvocation(token, null);
        }
    }
复制代码

invoke方法中只有一个if-else,一般都是不满足if中的那三个条件的,然后执行逻辑会来到

最低0.47元/天 解锁文章
Java技术攻略
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3246
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要这一步。
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
Spring Security 接口认证鉴权入门实践指南
互联网从业者/大数据架构师/全栈开发者
01-11 3058
Web API 接口服务场景里,用户的认证和鉴权是很常见的需求,Spring Security 据说是这个领域里事实上的标准,实践下来整体设计上确实有不少可圈可点之处,也在一定程度上印证了小伙们经常提到的 “太复杂了” 的说法也是很有道理的。 本文以一个简单的 SpringBoot Web 应用为例,重点介绍以下内容: 演示 Spring Security 接口认证和鉴权的配置方法; 以内存和数据库为例,介绍认证和鉴权数据的存储和读取机制; 若干模块的自定义实现,包括:认证过滤器、认证或鉴权失败处理器等
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5121
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
如何利用SpringSecurity进行认证与授权
最新发布
qq_63218110的博客
02-14 3908
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
浅析Spring Security登录验证流程
08-25
Spring Security登录验证流程Spring Security框架中最核心的部分之一,本文将详细介绍Spring Security登录验证流程的源码解析,通过源码讲解登录验证流程,具有很高的参考价值。 一、登录认证基于过滤器链 ...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security并使用JWT(Json Web Token)来实现用户登录和鉴权。首先,我们先理解JWT的基本概念。 **1. JWT概念** JWT是一种开放标准(RFC 7519),用于在...
Spring Boot(四)之使用JWT和Spring Security保护REST API
08-30
"Spring Boot使用JWT和Spring Security保护REST API" Spring Boot中的REST API保护是非常重要的,因为直接暴露API可能会带来很大的风险。因此,本文将介绍使用JWT(Json Web Token)和Spring Security来保护REST ...
Spring源代码解析(九):Spring_Acegi框架鉴权的实现.doc
08-04
总结来说,Spring_Acegi框架通过`Filter`机制实现了Web应用的鉴权流程。`AuthenticationProcessingFilter`作为关键组件,负责处理请求的认证,而`Authentication`对象则是承载用户身份验证信息的核心实体。通过这种...
Spring源代码解析9:SpringAcegi框架鉴权的实现.pdf
10-05
这个流程展示了Spring Acegi(现在已被Spring Security替代)如何执行认证的几个关键步骤:从数据库获取用户信息、检查账户状态、验证凭证,并处理可能的认证异常。这个过程确保了只有经过充分验证且账户状态正常的...
spring security实现动态授权
02-08
通过修改spring security源代码实现动态权限管理。用户信息、角色信息和资源信息保存在数据库中,可动态配置权限,不用重新启动服务。改完即时生效,付例子
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 1929
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图中绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权的流程是这样的:(网上找的图)......
springsecurity认证和授权
qq_45098321的博客
02-22 570
springsecurity
springSecurity+jwt实现分布式鉴权和认证
qq_37824570的博客
03-09 3429
springSecurity+jwt实现分布式鉴权和认证
Spring Security中自定义认证逻辑(防暴力破解)
qq_32238611的博客
06-11 1612
项目开发时,需要对服务接口进行防暴力破解的防护,项目中使用的Spring Security没有对放暴力破解的支持,所以需要自己重写Spring Security中的认证逻辑来实现防暴力破解的能力。本次使用的软件版本如下:Spring Boot 2.6.7 (配套的Spring Security版本是5.6.3)下面是具体的实现案例,先简单梳理下实现方案。基于servlet的应用和基于webflux的应用实现有点不太一样,这边都整理一下,不过差别也不大。新增Spring Security配置类,继承WebSe
初学Spring security+Jwt鉴权流程
weixin_44152952的博客
04-12 1858
具体环节如下: 1.引入相关依赖(包含spring-security,mybatis-plus,mysql,jwt,lombok这几个需要用到的) !注意:这是我们需要去添加的,还有一些其他的在建springboot-web工程的时候就默认创建了 2.接着配置数据库连接,这个根据大家具体的数据库和用户密码设置,这里也提供简单参考 3.需要两个实体类,一个实体类对应数据表的各个属性,另一个实体类负责实现UserDetails类封装一个对象用于在整个认证框架中传递(因为我们想要封装的这个对象
授权系统源码_(十)SpringSecurity授权和鉴权原理
weixin_39603622的博客
12-17 847
一、SpringSecurity框架中的授权源码分析一个完整的权限系统总体上来说可以分为两个方面:1、认证(Authentication)2、授权(Authorization)上篇文章中我们已经自定义了认证流程的骨架,实现了让框架帮我们管理会话以及持久化登录信息到Session的功能。不过默认情况下,所有用户对于所有url,只需要登录就能够访问,这可不是我们想要的。一个完整的系统,应该将用户以某种...
深入理解Spring Security授权机制原理
朱季谦
02-10 1367
原创/朱季谦 在Spring Security权限框架里,若要对后端http接口实现权限授权控制,有两种实现方式。 一、一种是基于注解方法级的鉴权,其中,注解方式又有@Secured和@PreAuthorize两种。 @Secured如: 1 @PostMapping("/test") 2 @Secured({WebResRole.ROLE_PEOPLE_W}) 3 public void test(){ 4 ...... 5 return null; 6 }
Spring Security 工作原理概览
热门推荐
江南一点雨的专栏
04-27 9万+
本文由读者 muggle 投稿,muggle 是一位具备极客精神的90后单身老实猿,对 Spring Security 有丰富的使用经验,muggle 个人博客地址是 h...
spring security方法鉴权
09-02
另外,如果你是在SpringBoot项目中使用Spring Security,可以参考SpringBoot官方文档中关于Spring Security详细说明来进行配置和使用。具体而言,你可以在SpringBoot项目的pom.xml文件中添加相应的依赖来引入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值