SpringSecurity原理

最新推荐文章于 2024-07-27 21:26:45 发布
最新推荐文章于 2024-07-27 21:26:45 发布
阅读量502 收藏 1
点赞数 1
分类专栏: SpringBoot 文章标签: java 后端 Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuemengrui12/article/details/132461897
版权

最近在研究SpringSecurity,肝了好多天,算是有点收获,在这里分享下

SpringSecurity是什么?

SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准。SpringSecurity注重于为Java应用提供认证和授权功能,像所有的Spring项目一样,它对自定义需求具有强大的扩展性。

要对Web资源进行保护,最好的办法莫过于Filter要想对方法调用进行保护,最好的办法莫过于AOP。

SpringSecurity其核心就是一组过滤器链,在spring security中一种过滤器处理一种认证方式,项目启动后将会自动配置

Spring Security进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。

如图所示,一个请求想要访问到API就会从左到右经过蓝线框里的过滤器,其中绿色部分是负责认证的过滤器,蓝色部分是负责异常处理,橙色部分则是负责授权。经过一系列拦截最终访问到我们的API。这里面我们只需要重点关注两个过滤器即可:UsernamePasswordAuthenticationFilter负责登录认证,FilterSecurityInterceptor负责权限授权。 

这里面我们只需要重点关注两个过滤器即可:UsernamePasswordAuthenticationFilter负责登录认证,FilterSecurityInterceptor负责权限授权。

一般Web应用的需要进行认证和授权。

​ 认证(Authentication):验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户

​ 授权(Authorization):经过认证后判断当前用户是否有权限进行某个操作

​ 而认证和授权就是SpringSecurity作为安全框架的核心功能。

 

说明:Spring Security的核心逻辑全在这一套过滤器中,过滤器里会调用各种组件完成功能,掌握了这些过滤器和组件你就掌握了Spring Security!这个框架的使用方式就是对这些过滤器和组件进行扩展。

认证

登录流程:

  1. 通过用户输入的用户名和密码去和数据库中的数据进行比对,登录认证成功之后根据用户名和密码通过jwt生成一个token返回给前端(前端每次请求都会携带token到请求里面),同时将token存入redis(其中用户id作为key,用户信息作为value)(主要是为了不让后续的校验流程频繁的查询数据库)
  2. 这里的UserDetailsService默认是去查内存来认证用户名和密码的,需要自定义UserDetailsService这个接口去查自己的数据库的数据进行认证

校验流程:

  1. 前端每次发送请求的时候,请求头都会携带token。
  2. 后端通过jwt解析出用户的id,然后从redis根据key去拿到用户信息
  3. 通过用户的信息查询用户可以使用的权限,然后返回给前端去访问能访问的资源

前后端进行认证的流程:

整体流程:

其中:

  • Authentication接口:它的实现类,表示当前访问系统的用户,封装了用户相关信息。
  • AuthenticationManager接口:定义了认证Authentication的方法。
  • UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。
  • UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

SpringSecurity的配置类

spring security和spring mvc做了很好的集成,一共只需要做两件事,给web配置类加上@EanbleWebSecurity,继承WebSecurityConfigurerAdapter定义个性化配置。这里我们在加上一个全局的注解@EnableGlobalMethodSecurity(prePostEnabled=true),该注解会在方法执行前进行验证。

  • configure(HttpSecurity httpSecurity):用于配置需要拦截的url路径、jwt过滤器及出异常后的处理器;
  • configure(AuthenticationManagerBuilder auth):用于配置UserDetailsService及PasswordEncoder;
  • UserDetailsService: SpringSecurity定义的核心接口,用于根据用户名获取用户信息,需要自行实现;
  • UserDetails:SpringSecurity定义用于封装用户信息的类(主要是用户信息和权限),需要自行实现;
  • PasswordEncoder:SpringSecurity定义的用于对密码进行编码及比对的接口,目前使用的是BCryptPasswordEncoder;
  • JwtAuthenticationTokenFilter:在用户名和密码校验前添加的过滤器,如果有jwt的token,会自行根据token信息进行登录。

 与SpringSecurity相关的原理大致就这么多,解下来我写具体的使用步骤

参考:

Spring Boot Security - 废物大师兄 - 博客园 (cnblogs.com)

@PreAuthorize 权限控制的原理 - 简书

整合SpringSecurity和JWT实现登录认证和授权_jwtauthenticationtokenfilter_Java升级之路的博客-CSDN博客

爆米花9958
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
springsecurity原理流程图.pdf
09-08
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,它是安全领域中Spring生态系统的一部分。Spring Security旨在为Java应用程序提供一个全面的安全解决方案,尤其适用于企业级应用场景。它主要...
Spring Security原理简介
justlpf的专栏
05-19 3470
参考文章:Spring Boot框架整合Spring Security实现安全访问控制 SpringSecurity核心组件 Spring Security做JWT认证和授权--import SpringBoot中使用Shiro和JWT做认证和鉴权--import Spring Security的安全访问控制分为Authentication(认证)和Authorization(授权,...
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
Spring Security的工作原理
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
SpringSecurity原理简述
莫等闲 白了少年头 空悲切
03-11 3084
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ ​
Spring Security 原理
最新发布
萧曳丶
07-27 417
需求满足:如果应用程序有特定的安全需求,用户可以自定义Spring Security的配置。通过编写自定义过滤器、用户认证提供者、访问决策管理器等组件,用户可以扩展或修改Spring Security的行为以满足特定需求。
SpringSecurity原理分析
Feverasa的博客
12-05 6534
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity原理SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity的基本原理 1、基本流程 ​ SpringSecurity的基本原理就是应用了Tomcat容
Spring Security原理
qixiang_chen的博客
06-30 1471
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
Spring Security原理分析
wh柒八九的博客
09-22 872
本文来简单的分析下Spring Security 使用原理。在前面的几节中,已经对 Spring Security 有了一个比较全的使用体验了,这节我们简单的介绍下 Spring Security 基本的原理。 文章目录Filter 过滤器 Filter 过滤器 如果要对 Web 资源进行保护,最好的办法莫过于 Filter,要想对方法调用进行保护,最好的办法莫过于 AOP。SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链: ...
springsecurity原理
weixin_42383680的博客
05-15 332
在 '快速入门' 中,我们在Boot项目里面引入了Security依赖,实现了当我们访问某个业务接口时,会被Security的login接口拦截,但是如果我们不想使用Security默认的登录页面,那么怎么办呢,还有,springsecurity的校验,我们希望是根据数据库来做校验,那么怎么实现呢。我们需要实现如下【登录-未实现】①、自定义登录接口。用于调用ProviderManager的方法进行认证 如果认证通过生成jwt,然后把用户信息存入redis中。
spring security原理
07-28
- *1* *2* [SpringSecurity原理分析](https://blog.csdn.net/qq_25179481/article/details/121729209)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...
Spring Boot中CrudRepository与JpaRepository
持之以恒!
05-31 1万+
自学Spring Boot的时候看到书上在介绍Spring Data JPA的时候,用的是JpaRepository接口,但看很多的博客用的是CrudRepository,为了搞明白两者的关系,决定好好研究下,先看下两者的接口代码: @NoRepositoryBean public interface CrudRepository<T, ID extends Serializabl...
Spring Boot 的Servlet、Filter 、 Listener和Interceptor
持之以恒!
08-07 6765
先上两个网上找到的图,大家先有个大概认识 1、Servlet 回顾下javaEE的开发步骤(这里是大致配置和流程): 1.在web.xml中配置servlet和servletMapping 2.书写servlet标签里面配置的类,类需要继承HttpServlet,然后复写里面的doGet,doPost方法(当然还有init,des...
SpringBoot异步请求
持之以恒!
01-28 5789
何为异步请求 在Servlet 3.0之前,Servlet采用Thread-Per-Request的方式处理请求,即每一次Http请求都由某一个线程从头到尾负责处理。如果一个请求需要进行IO操作,比如访问数据库、调用第三方服务接口等,那么其所对应的线程将同步地等待****IO操作完成, 而IO操作是非常慢的,所以此时的线程并不能及时地释放回线程池以供后续使用,在并发量越来越大的情况下,这将带来严...
SpringBoot事件的发布和监听
持之以恒!
01-27 5339
Spring的事件 对于SpringApplicationContext(BeanFactory)而言,在整个应用运行过程中(包括应用的启动、销毁), 会发布各种应用事件。开发者也可以实现自己的事件, 从而起到扩展spring框架的作用 。 Spring的事件(Application Event)为 Bean与 Bean之间的消息通信提供了支持。当一个Bean处理完一个任务之后,希望另外一个 ...
Spring Boot JPA 连接数据库
持之以恒!
02-25 2258
何为JPA JPA全称Java Persistence API,是Sun官方提出的一种ORM规范! 对于Sun官网而言, 一是想简化现有Java EE和Java SE应用开发工作。 二是想整合ORM技术,实现天下归一。 对于JPA规范,都在包路径:javax.persistence.*下,像一些常用的如:@Entity、@Id及@Transient都在此路径下。这些也是一些现在市面上常用的O...
SpringBoot整合全局捕获异常
持之以恒!
01-28 2161
异常处理 我们写代码离不开写try-catch语句,在Controller类里面,这也是一种处理异常的方法,但这种方法毕竟有很多弊端,一是我们在每个方法中都写try-catch很麻烦;二是不见得我们的代码能捕获所有异常。事实上SpringBoot 通过 spring-boot-starter-web 启动 WEB 容器的时候,会自动的提供一个映射,URL 是/error,同时会自动加载一个默认的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值