Spring Security使用和源码解析

最新推荐文章于 2023-05-09 08:05:47 发布
最新推荐文章于 2023-05-09 08:05:47 发布
阅读量377 收藏 2
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yange1025/article/details/82729437
版权
本文详细介绍了Spring Security的认证过程,包括UsernamePasswordAuthenticationToken的生成、AuthenticationManager的认证处理以及SecurityContextHolder的核心组件。还探讨了Spring Security的核心过滤器链,如SecurityContextPersistenceFilter、FilterSecurityInterceptor等。此外,文章提到了如何开启Spring Security,处理多个安全配置,以及如何将自定义过滤器纳入Spring Security的过滤器链中。
摘要由CSDN通过智能技术生成

一个web工程,如果涉及到私人信息或不可公开的资源,则必然要对访问者做过滤和认证,访问者只能获取跟自己相关或有权限访问的信息,这就是我们所熟知的登陆。简单的登陆通常是这样实现的:提供一个登陆接口,和一个过滤器。登陆接口用来用户名和密码校验,并将用户信息保存在http session中。过滤器则用来拦截所有未经授权的访问。

@RestController
@RequestMapping("/login")
public class LoginController {

    public void login(HttpServletRequest request, HttpServletResponse response) {
        String json;
        PrintWriter out = response.getWriter();
        String user = request.getParameter("usr");
        String pwd= request.getParameter("password");      
        if (pwd.equals(getPasswordByUserName(user))) {
            request.getSession().setAttribute("user", user);
            json = "{\"success\":true}";
        }
        else {
            json = "{\"success\":false}";
        }
        out.print(json);
        out.flush;
        out.close;
    }

}
public class AuthenticationFilter implements Filter {
    
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        if (!httpServletRequest.getServletPath().equals("/login")) {
            HttpSession session = ((HttpServletRequest) request).getSession(false);
            if (session == null || session.getAttribute("user") == null) {
                ((HttpServletResponse) response).setStatus(401);
                return;
            }
        }
        chain.doFilter(request, response);
    }

   
}

Spring security 作为一个强大且可高度定制化的认证和访问控制框架,是安全化 spring 应用的实际标准。它为Java应用提供认证和授权的功能,用户能够轻易地扩展以适应自己的需求。

Spring security 认证的过程

  1. 用户向url /login Post登陆请求,该请求从由loginPage指定的前台页面发送,携带表单参数username和password。(/login 是spring security 4 默认拦截的认证url,它并不指向任何物理资源,在spring security 4之前,该url是/j_spring_security_check,参数是j_username和j_password;可以通过login-processing-url自定义认证url。事实上,我们还可以绕过鉴权过滤器,直接向自定义的登陆rest接口post登陆请求,只要我们引入了spring security相关的包,所有认证的逻辑将会在request.login(username, password)里完成,如下所示)。 
        @RequestMapping(value = "/my_login", method = RequestMethod.POST)
    public void login(@RequestParam("username") String username,
                      @RequestParam("password") String password,
                      HttpServletRequest request,
                      HttpServletResponse response) throws DmsException {
        try {
            request.login(username, password);
        }
        catch (ServletException e) {
            throw new MyException("0000", e);
        }

        request.getSession();
    }

     

  2. 根据传入的 username 和 password 生成 UsernamePasswordAuthenticationToken,AuthenticationManager接口的 authenticate 方法将对生成的Authentication进行认证处理。AuthenticationManager的默认实现类是ProviderManager,ProviderManager将认证委托给AuthenticatiionProvider处理。认证的本质是将Authentication和UserDetails中的用户信息进行比较。UserDetails包装的是拥有权限的用户信息,通常是从数据库中获取。
  3. UsernamePasswordAuthenticationFilter 过滤器在登陆成功后会通过SecurityContextHolder.getContext().setAuthentication() 将认证信息Authentication绑定到SecurityContext。
  4. 下一次请求时,过滤器链头的 SecurityContextPersistenceFilter 会从 Session 中获取已登陆用户信息并生成 Authentication,并将 认证信息对象绑定到 SecurityContext。如果是对需要权限的接口或资源的请求,Spring Security将从SecurityContext中获取用户的权限来判定是否可以访问该接口或资源。

Spring Security的核心组件

  • SecurityContextHolder,提供了一系列静态方法,代理一个SecurityContextHolderStrategy实例,方便用户对安全上下文的访问和设置。其初始化方法在静态块中被调用 
        static {
		initialize();
	}    
    private static void initialize() {
		if (!StringUtils.hasText(strategyName)) {
			// Set default
            // 如果未设置strategyName属性,则默认使用ThreadLocal策略
			strategyName = MODE_THREADLOCAL;
		}

		if (strategyName.equals(MODE_THREADLOCAL)) {
            // 线程局部变量安全持有策略,每个线程分别持有各自的SecurityContext
			strategy = new ThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
            // 可继承线程局部变量安全持有策略,每新起一个线程,则从父线程继承SecurityContext
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_GLOBAL)) {
            // 全局安全上下文持有策略,所有的实例都共享同一个SecurityContext
            // 适用于富客户端应用,如swing应用。
			strategy = new GlobalSecurityContextHolderStrategy();
		}
		else {
			// Try to load a custom strategy
            // 用户可以自定义一个SecurityContextHolderStrategy实现类
			try {
				Class<?> clazz = Class.forName(strategyName);
				Constructor<?> customStrategy = clazz.getConstructor();
				strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
			}
			catch (Exception e
最低0.47元/天 解锁文章
纠结的爆米花
关注
专栏目录
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8087
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
Spring Security源码解析(一)
qq_40577332的博客
05-30 3394
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
spring security源码分析.pdf
07-11
spring security源码分析.pdf
SpringSecurity 源码分析
xiaomin1991222的专栏
03-29 118
      通过SecurityContextHolder.getContext()获得SecurityContext   总接口SecurityContextHolderStrategy private static void initialize() {        if ((strategyName == null) || "".equals(strategyName)) { ...
SpringSecurity 认证流程源码详细解读
m0_51431003的博客
05-09 1762
如果这些校验都通过,就会将 result 返回。没错,他就是在套娃!点进入去之后,我们来到了 AuthenticationManager 接口,但这只是一个接口,显然不是我们要的,具体的实现代码应该在实现类中,所以我们继续选择 ProviderManager ,他是 AuthenticationManager 接口的一个实现类。点进去,发现这是 AbstractUserDetailsAuthenticationProvider 接口中的方法,而且只有一个实现,那我们继续进入实现类实现的方法。
spring.security实战与源码解析
weixin_45797834的博客
07-26 1642
spring.security实战与源码解析
基于Java和HTML的Spring Boot Security框架设计源码解析
09-30
该项目是一个基于Java和HTML的Spring Boot Security框架设计,源码解析文件总计35个,其中包含28个Java源文件、2个XML配置文件、1个Git忽略文件、1个Markdown文件、1个YAML文件、1个HTML文件和1个PNG图片文件。
基于Java语言的Spring Security框架学习与设计源码解析
最新发布
09-30
该项目是针对Java语言的Spring Security框架进行深入学习的项目,内含33个文件,主要由26个Java源文件、2个XML配置文件、1个Git忽略文件、1个属性文件构成,旨在通过源码解析,加深对安全框架的理解和应用
基于Java语言的SpringSecurity框架学习与设计源码解析
09-28
本项目深入探讨了Java语言下的SpringSecurity框架,包含53个文件,涵盖30个Java源文件、10个PNG图片文件、9个XML配置文件,以及少量Git忽略文件和YAML文件。该学习项目旨在帮助开发者理解和掌握SpringSecurity在安全...
SpringSecurity源码
05-29
SpringSecurity教程配套源码 专栏地址:http://blog.csdn.net/column/details/springsecurity.html
Spring Security3》第四章第三部分翻译下(密码加salt)
张卫滨的技术记录
08-05 191
  你是否愿意在密码上添加点salt?   如果安全审计人员检查数据库中编码过的密码,在网站安全方面,他可能还会找到一些令其感到担心的地方。让我们查看一下存储的admin和guest用户的用户名和密码值:          用户名 明文密码 加密密码 admin admin 7b2e9f54cdff413fcde01f330...
spring-security3(二)源码分析
蓝色的博客
04-06 138
利用断点走了一遍spring-security源码的核心部分,下面根据自己的理解对源码做了一些解释,过滤器开头的标号是运行时默认配置调用的顺序,理解了原理,我们可以通过继承和实现接口的方式扩展过滤器,权限验证器,数据查询器,投票器等等...... 1.SecurityContextPersistenceFilter 从HttpSession中获取SecurityContext...
Spring Security3源码分析
crazygeek_的专栏
11-20 542
1.登陆页面login.jsp j_spring_security_check这个是spring security里面的约定 j_username:验证用户名 j_password:验证密码 ${sessionScope['SPRING_SECURITY_LAST_USERNAME']}:使用最后一次登录用户名 _spring_security_remember_me:记住我(check
【JavaWeb】Spring Security认证源码阅读执行流程
qq_43654226的博客
03-16 317
写在最前,本人也只是个大三的学生,如果你发现任何我写的不对的,请在评论中指出。   之前写过一份shiro认证、授权的源码解析,但是是建立在以我自己编写的一些过滤器、匹配器上,不是很友好,这次对springsecurity的认证与授权源码分析就靠springsecurity自家提供的UsernamePasswordAuthenticationFilter、UsernamePasswordAuthenticationToken、ProviderManager、DaoAuthenticationProvid.
spring security
qq_45382931的博客
11-07 345
认证,授权,鉴权,权限控制 认证:你是谁 授权:你能做什么 鉴权:你能不能做(你可以用钱买房子,但是你的钱不够) 权限控制:同意/不同意做 Authorization,Authentication的记法 Authorization的or抽象成author,是人做的事,即授权,Authentication是认证 3.SpringSecurity和shiro springsecurity .功能全面 .专为web开发设计 .旧版本不能脱离web使用 .重量级框架 .是构建oauth的基础 shi..
spring_security安全框架详解
热门推荐
Benjamin
09-05 1万+
本文是在项目中用到Spring Security3来进行登录验证时才进行学习的,写的比较片面,请大家提出问题。 首先要在web.xml中配置 <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath*:/applicationContext.xml classpath*:/applicationContext-security.xml <!--classpath*:/applicationC
Spring Cloud OAuth2(二) 扩展登陆方式:账户密码登陆、 手机验证码登陆、 二维码扫码登陆...
weixin_30603633的博客
06-17 5808
概要 基于上文讲解的spring cloud 授权服务的搭建,本文扩展了spring security 的登陆方式,增加手机验证码登陆、二维码登陆。 主要实现方式为使用自定义filter、 AuthenticationProvider、 AbstractAuthenticationToken 根据不同登陆方式分别处理。 本文相应代码在Github上已更新。 GitHub 地址:https://gi...
spring security regexrequestmatcher 认证绕过漏洞(CVE-2022-22978)
qq_41950855的博客
10-18 4453
记录一次漏洞修复过程中遇到的问题:spring security regexrequestmatcher 认证绕过漏洞(CVE-2022-22978)
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 2089
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
Java SSM整合Spring Security源码项目解析
通过上述知识点的说明,可以看出该项目的源码是为了解决在Web应用开发中面临的用户身份认证和访问权限管理问题,通过整合SSM框架和Spring Security框架,提供了一个安全、高效、易于扩展的解决方案。开发者可以基于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值