三、SpringSecurity基础-认证原理

最新推荐文章于 2024-03-17 12:50:52 发布
最新推荐文章于 2024-03-17 12:50:52 发布
阅读量288 收藏 2
点赞数 2
分类专栏: 《Spring Cloud Oauth2微服务授权》 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yqx1714768514/article/details/122530529
版权

1、认证流程原理

1.1、认证流程

SpringSecurity 是基于 Filter 实现认证和授权,底层通过 FilterChainProxy 代理去调用各种 Filter(Filter链),Filter 通过调用 AuthenticationManager 完成认证,通过调用AccessDecisionManager完成授权,SpringSecurity中核心的过滤器链 详情如下:

  •  SecurityContextPersistenceFilter: Filter 的入口和出口,它是用来将 SecurityContext (认证的上下文,里面有登录成功之后的认证授权信息) 对象持久到 Session 的 Filter ,同时会把SecurityContext 设置给 SecurityContextHolder 方便我们获取用户认证授权信息。
  • Username,PasswordAuthenticationFilter : 默认拦截 "/login" 登录请求,处理表单的登录认证,将请求中的人则会认证信息包括 Username,Password 等封装成UsernamePasswordAuthenticationToken,然后调用AuthenticationManager 的认证方法进行认证。
  • BasicAuthenticationFilter: 基本认证,不支持 HttpBasic 认证方式的 Filter。
  • RememberAuthenticationFilter:记住我功能实现的 Filter。
  • AnonymousAuthenticationFilter:匿名Filter,用来处理匿名访问的资源,如用户未登录,SecurityCintext 中没有Authentication,就会创建匿名的Token(AuthenticationToken),然后通过SecurityCintextHodler 设置到 SecurityContext 中。
  • ExceotionTranslationFilter: 用来捕获 FilterChain 所有的异常,进行处理,但是只会处理AuthenticationException 和 AccessDenuedException 异常,其他的异常,会继续抛出。
  • FilterSecurityInterCeptor: 用来做授权的Filter,通过父类(AuthentionSecurityInterceptor.beforeInvocation) 调用AccessDecision.decide 方法对用户进行授权。

1.3、Security 相关概念

  • Authentication:
    • 认证对象,用来封装用户的认证信息(账户状态,用户名,密码,权限等)所有提交给AuthenticationManager 的认证请求都会被封装成一个Token的实现,比如:最容易理解的 UsernamePasswordAuthenticationToken ,其中就包含了用户名和密码
    • Authentication 常用的实现类:
    • UsernamePasswordAuthenticationToken :用户名密码登录的Token
    • AnonymousAuthenticationToken:针对匿名用户的Token。
    • RememberMeAuthenticationToken:记住我功能的Token。
  • Authentication:
    • 用户认证的管理类,所有的认证请求(比如login) 都会提交到登录信息的Token对象给AuthenticationManager 的 authenticate() 方法来实现认证。AuthenticationManager 会调用 AuthenticationProvider.authenticate 进行认证。认证成功后,返回一个包含了认证信息的 Authentication 对象。
  • AuthenticationProvider:
    • 认证的具体实现类,一个 provider 是一种认证方式的实现,比如提交的用户名密码,我是通过和DB中查询出的user记录作比对实现的,那就有一个DaoProvider;如果我是通过CAS请求单点登录系统实现,那就有一个CASProvider。按照Spring一贯的作风,主流的认证方式它都已经提供了默认实现,比如DAO、LDAP、CAS、OAuth2 等。前面讲了 AuthenticationManager 只是一个代理接口,真正的认证就是由 AUthenticationProvider 类做的。一个 AuthenticationManager 可以包含多个Provider,每个provider通过实现一个support 方法来表示自己支持那种 Token 的认证。
    • AuthenticationManager 默认的实现类是 ProviderManager。
  • UserDetailsService:
    • 用户的认证通过 Provider 来完成,而 Provider 会通过 UserDetailsService 拿到数据库(或内存) 中的认证信息然后和客户端提交的认证信息做校验。虽然叫 Service,但是我更愿意把它认为是我们系统里经常有的UserDao。
最低0.47元/天 解锁文章
贤叔同学
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security源码剖析从入门到精通.跟学尚硅谷
星哲最开心
05-29 1471
Spring Security源码剖析从入门到精通.跟学尚硅谷
SpringSecurity源码学习(一)
仔哥学编程
12-09 402
记录笔者学习SpringSecurity的全过程
spring security认证原理解析
lw12345118的博客
03-02 928
1.SpringSecurity的本质就是一个过滤器链,内部包含了提供各种功能的过滤器,所有的认证流程都是通过过滤器来完成的,下面就是以下就是具体的认证信息用户提交认证请求:用户在应用程序的登录页面输入用户名和密码,提交认证请求。AuthenticationFilter 进行认证:Spring Security 中的 AuthenticationFilter 拦截认证请求,根据配置的认证方式进行认证处理。AuthenticationManager 进行身份验证。
SpringSecurity入门01(含源码)
栋幺栋幺-的博客
04-10 665
SpringSecurity源码浅析,环境:SpringBoot 2.1 + Mybatis + Spring Security 5.0
Spring Security源码
最新发布
moernagedian的博客
03-17 534
WebSecurityConfigurerAdapter已废弃,官方推荐使用HttpSecurity 或WebSecurity。new DebugFilter(filterChainProxy)对filterChainProxy进行装饰。可以通过@EnableWebSecurity(debug = true)开启debug模式。都继承了SecurityBuilder。
Spring Security实现多次登录失败后账户锁定功能
08-25
要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现 UserDetails 和 UserDetailsService 接口的方式告知 Spring ...
浅谈spring security入门
08-18
通过本节内容,大家可以了解Spring Security的基础知识,包括模块介绍、依赖配置、控制层、访问登录页和登录原理分析等。 Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案...
springsecurity2x.pdf
11-03
在 "springsecurity2x.pdf" 中,主要讨论的是Spring Security 2.x版本的相关内容。 1. **Spring Security简介** - **什么是Spring Security?** 它是一个全面的安全框架,提供了认证(Authentication)和授权...
Spring Security单项目权限设计过程解析
08-25
学习 Spring Security 不仅能提升系统的安全性,还能帮助开发者理解 Web 应用的安全原理,为今后的开发工作打下坚实的基础。在实际项目中,还可以根据需求扩展功能,如整合 OAuth2、添加自定义过滤器等,以满足更加...
spring security 中文指南
03-02
这两个概念是安全领域的基础,Spring Security 支持多种认证机制,包括: - HTTP 基本认证(BASIC) - HTTP 摘要认证(Digest) - HTTP X.509 客户端证书交换 - LDAP 认证 - 表单认证 - OpenID 认证 - 请求头...
SpringSecurity原理和机制
weixin_45984552的博客
07-24 2138
以后每当有请求到来时,SpringSecurity就会先从Session中取出⽤户登录数据,保存到SecurityContextHolder中,⽅便在该请求的后续处理过程中使⽤,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后将SecuritySecurityContextHolder中的数据清空。身份认证,就是判断⼀个⽤户是否为合法⽤户的处理过程。在的架构设计中,认证和授权是分开的,⽆论使⽤什么样的认证⽅式。...
SpringSecurity源码分析(一) SpringBoot集成SpringSecurity即Spring安全框架的加载过程
xl649138628的专栏
02-19 1357
SpringSecurity源码学习,本文主要讲述Spring安全框架的加载过程
Markdonw语法
吴大侠的博客
11-25 2593
[TOC] Spring Security功能的实现主要是由一系列过滤器相互配合完 成。也称之为过滤器链,Spring Security默认加载15个过滤器, 但是随着配置可以增加或者删除一些过滤器. 一、过滤器链介绍 过滤器是一种典型的AOP思想,下面简单了解下这些过滤器链,后续再源码剖析中在涉及到过滤器链在 仔细讲解 1.org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter 根据
802.1x认证过程
weixin_33829657的博客
02-26 362
整个802.1x的认证过程可以描述如下   (1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;   (2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;   (3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;   (4) 接入设...
SpringSecurity认证流程详解和代码实现
热门推荐
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 1935
Spring Security配置流程剖析
深入浅出Spring Security(五):认证和授权的过程
紫眸的博客
10-12 4526
上篇回顾 上篇介绍了HttpSecurity如何建造过滤器链,本文主要介绍几个主要的过滤器。 认证过滤器 UsernamePasswordAuthenticationFilter 参数有username,password的,走UsernamePasswordAuthenticationFilter,提取参数构造UsernamePasswordAuthenticationToken进行认证,成功则填...
Spring Security 框架
qq_44182694的博客
05-27 1941
OncePerRequestFilter是Spring Security框架中的一个抽象类,实现了javax.servlet.Filter接口,通过继承它可以方便地实现对请求的过滤。它的作用是确保在请求处理期间只被调用一次,即只会过滤一次该请求,可以避免同一请求被重复处理的问题。OncePerRequestFilter实现了doFilter()方法,该方法在每个请求到达过滤器时会被调用。通过继承该类并重写方法,可以自定义实现请求过滤器的逻辑。
SpringSecurity源码解析
zjl1638908711的博客
10-21 1438
SpringSecurity源码浅解析
spring-security-oauth2 第三方登入
04-22
它通过使用标准 OAuth2 协议的流程,将第三方登录提供商身份验证和用户访问令牌交换工作集成到现有的 Spring Security 基础结构中。 具体来说,Spring Security OAuth2 实现了 OAuth2 的三个角色: 1. Resource ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值