Spring Security五:Spring security原理

最新推荐文章于 2024-07-25 19:55:26 发布
最新推荐文章于 2024-07-25 19:55:26 发布
阅读量333 收藏
点赞数
分类专栏: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaxiaomao1981/article/details/104489994
版权
java 同时被 2 个专栏收录
45 篇文章 0 订阅
订阅专栏
spring
13 篇文章 0 订阅
订阅专栏

Spring security可以进行认证和授权,认证和授权需要针对每一个请求,所以这个功能,可以用过滤器来实现,spring security正是通过一系列过滤器来实现认证和授权功能的。

我们来看看其中几个比较重要的过滤器,类和接口。

      1. UserDetails

public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}

用来记录用户的信息,包括用户名,权限等信息。

      1. UserDetailsService:

UserDetailsService接口用于返回用户相关数据返回的是一个UserDetails实例,它有loadUserByUsername()方法,该方法可以根据username查询用户实体,可以实现该接口覆盖该方法,实现自定义获取用户过程。

public interface UserDetailsService {
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

 

      1. Authentication

封装用户信息的接口,UsernamePasswordAuthenticationToken是它的实现类,用户登录以后,用户名,密码等信息被封装到了UsernamePasswordAuthenticationToken对象中。

它和UserDetails不同之处在于Authentication记录的是当前登录用户的信息,而UserDetails则是用户信息的封装。

public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

 

getAuthorities方法获取权限信息的列表

getCredentials方法获取用户认证时输入的密码

getDetails方法获取访问者的ip地址和sessionid的值

getPrincipal方法获取用户的信息,大部分情况下返回的是UserDetails接口的实现类

 

      1. AuthenticationManager

是认证相关的核心接口,用来处理认证请求,如果认证成功则返回一个Authentication接口的实例,它的默认实现类是:ProviderManager

 

 

SecurityContext:是安全上下文接口,用来存储认证授权的相关信息,这个接口只有两个方法,Authentication对象的getter、setter。

public interface SecurityContext extends Serializable {

    Authentication getAuthentication();

 

    void setAuthentication(Authentication var1);

}

 

      1. SecurityContextHolder

保存系统当前的安全上下文,包括当前使用系统的用户的信息。

 

      1. PasswordEncoder

该接口有很多实现类,它用来在认证的过程中使用matches方法比对密码,具体如何比对密码则取决于PasswordEncoder的实现类。

public interface PasswordEncoder {

    String encode(CharSequence var1);

    boolean matches(CharSequence var1, String var2);

}

比如不对密码进行加密,采用明文字符串进行比对可以:

@Bean
public PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
}

但是在实际项目中我们往往会对密码进行加密,比较常用的PasswordEncoder实现类有:、

BCryptPasswordEncoder, Pbkdf2PasswordEncoder, SCryptPasswordEncoder

如果使用BcryptPasswordEncoder

则:

@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}

 

认证流程:

1.用户提交用户名密码被UsernamePasswordAuthenticationFilter 过滤器获取到,
封装为Authentication接口的实例,通常情况下是UsernamePasswordAuthenticationToken

2.过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证,认证成功后返回一个被填充满信息的Authentication实例.

3. SecurityContextHolder保存返回的Authentication实例.

 

 

 

授权流程:

1.拦截请求:已认证的用户请求将会被过滤器:FilterSecurityInterceptor拦截。

2. FilterSecurityInterceptor获取访问权限,该权限就是我们配置的访问规则如。

http
.authorizeRequests()
.antMatchers("/r/r1").hasAuthority("p1")
.antMatchers("/r/r2").hasAuthority("p2")

3. FilterSecurityInterceptor会调用访问决策管理器 AccessDecisionManager 进行授权决策,若决策通过,则允许访问资源,否则将禁止访问

AccessDecisionManager:访问决策管理器,用来控制用户是否有相应的权限。

public interface AccessDecisionManager {
/**
* 通过传递的参数来决定用户是否有访问对应受保护资源的权限
*/
void decide(Authentication authentication , Object object, Collection<ConfigAttribute>
configAttributes ) throws AccessDeniedException, InsufficientAuthenticationException;
//..
}

参数说明:

Authentication:要访问资源的访问者

object:要访问的受保护资源

configAttributes:是受保护资源的访问策略

decide方法就是用来判断访问者是否有访问某资源的权限。

它用投票的方式来决定是否有访问某资源的权限

xiaxiaomao1981
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity基本原理
xiomarazark的博客
03-12 565
SpringSecurity基本原理 SpringSecurity本质上是一个过滤器链 代码底层流程:重点看三个过滤器 FilterSecurityInterceptor——是一个方法级的权限过滤器链的最底部 //过滤方法 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
SpringSecurity 原理总结
xxx_live_anyd的博客
11-05 248
SpringSecurity 原理总结
Spring Security 的工作原理
mx132465的博客
07-25 622
Spring Security 提供了高度灵活和可定制的安全解决方案,而且正确配置和理解其工作原理对于确保应用程序的安全性很重要。
Spring Security 原理讲解
qq_34485381的博客
06-19 883
一、整理了解下Spring Security 的工作原理 如上图所示,spring security 的主要工作就是在原有的网络请求的过滤器链(ApplicationFilterChain)中额外添加一条过滤器链(FilterChainProxy),主要用于用户认证与授权。 请求进入web容器经一些容器自身的基础加工后,进入到servlet的滤器链中,spring security 使用DelegatingFilterProxy这个filter,将targetBea...
Spring Security基本原理
bbaiggey_bigdata的博客
07-12 393
Spring Security原理
qixiang_chen的博客
06-30 1492
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
深入探索Spring Security OAuth:构建安全的微服务认证机制
最新发布
09-21
本文将详细介绍Spring Security OAuth的工作原理、配置方法以及如何在Java中实现微服务的API版本兼容性。 Spring Security OAuth为微服务架构提供了强大的安全保障,通过灵活的配置和OAuth 2.0协议的支持,可以有效...
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:
02-19
我刚刚宣布了一门新课程,专用于探索Spring Security 5中的新OAuth2堆栈-了解Spring Security OAuth: : 建立项目 mvn clean install 项目/模块 该项目包含许多模块,以下是每个模块包含的内容的简要说明: ...
springsecurity原理流程图.pdf
09-08
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,它是安全领域中Spring生态系统的一部分。Spring Security旨在为Java应用程序提供一个全面的安全解决方案,尤其适用于企业级应用场景。它主要...
Spring-Security:安全攻击对策
05-13
Spring Security模块配置 模组名称 解释 Spring安全核心 由核心组件组成,以实现身份验证和授权功能 Spring安全网 包含实现Web应用程序安全功能的组件 弹簧安全配置 由组件组成,以支持每个模块提供的组件配置(支持...
Spring Security的工作原理
热门推荐
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
Spring Security 原理
Hypora的博客
12-13 157
spring security 在web应用中是基于filter的; Filter: spring security 维护了一个filter chain,chain中的每一个filter都具有特定的责任,并根据所需的服务在配置中添加。filter的顺序很重要,因为他们之间存在依赖关系。spring security中有如下filter(按顺序的): ChannelProcessingFilt...
spring security原理
成都彭于晏
01-27 1308
总配置类 首先security有一个总配置类,它需要继承WebSecurityConfigurerAdapter,并加上@Configuration和@EnableWebSecurity注解,重写它的两个方法: configure(HttpSecurity http):主要配置 configure(WebSecurity web):对静态资源放行 前者方法里里面需要配置很多东西,有些配置可以单独new个配置类,也可以直接用security自带的: 放行接口:哪些接口不需要鉴权 权限认证:需要有一个权限认
spring security原理(1)
weixin_41490593的博客
03-05 203
这部分是介绍责任链设计模式,因为spring security是基于过滤器链模式的 这里有一篇文章,很好地介绍了责任链模式 https://www.cnblogs.com/java-my-life/archive/2012/05/28/2516865.html 下面了解tomcat中过滤器链全过程 1.java servlet规范中,定义了过滤器和过滤器链技术 2.从tomcat的过滤器链开...
深入理解Spring Security2.0:原理与实践
\n\n、自定义扩展\n\nSpring Security允许开发者编写自定义的认证和授权逻辑,包括自定义AuthenticationProvider、UserDetailsService、AccessDecisionVoter等,以满足特定业务需求。\n\n总结:Spring Security ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaxiaomao1981

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值