说实话,其实Spring Security并没有看起来那么复杂(附源码)

最新推荐文章于 2024-04-18 03:28:58 发布
最新推荐文章于 2024-04-18 03:28:58 发布
阅读量1k 收藏
点赞数 1
分类专栏: Java 面试 架构 文章标签: Java 架构 spring 微服务 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunzhaji3762/article/details/113622955
版权

权限管理是每个项目必备的功能,只是各自要求的复杂程度不同,简单的项目可能一个 Filter 或 Interceptor 就解决了,复杂一点的就可能会引入安全框架,如 Shiro, Spring Security 等。
其中 Spring Security 因其涉及的流程、类过多,看起来比较复杂难懂而被诟病。但如果能捋清其中的关键环节、关键类,Spring Security 其实也没有传说中那么复杂。本文结合脚手架框架的权限管理实现(jboost-auth 模块,源码获取见文末),对 Spring Security 的认证、授权机制进行深入分析。

使用 Spring Security 认证、鉴权机制

Spring Security 主要实现了

  • Authentication(认证——你是谁?)
  • Authorization(鉴权——你能干什么?)

认证(登录)流程

Spring Security 的认证流程及涉及的主要类如下图,

SpringSecurity认è¯

认证入口为 AbstractAuthenticationProcessingFilter,一般实现有 UsernamePasswordAuthenticationFilter

  1. filter 解析请求参数,将客户端提交的用户名、密码等封装为 Authentication,Authentication 一般实现有 UsernamePasswordAuthenticationToken
  2. filter 调用 AuthenticationManager 的 authenticate() 方法对 Authentication 进行认证,AuthenticationManager 的默认实现是
    ProviderManager
  3. ProviderManager 认证时,委托给一个 AuthenticationProvider 列表,调用列表中 AuthenticationProvider 的 authenticate()
    方法来进行认证,只要有一个通过,则认证成功,否则抛出 AuthenticationException 异常(AuthenticationProvider 还有一个 supports() 方法,用来判断该 Provider
    是否对当前类型的 Authentication 进行认证)
  4. 认证完成后,filter 通过 AuthenticationSuccessHandler(成功时) 或 AuthenticationFailureHandler(失败时)来对认证结果进行处理,如返回 token 或 认证错误提示

认证涉及的关键类

  1. 登录认证入口 UsernamePasswordAuthenticationFilter

项目中 RestAuthenticationFilter 继承了 UsernamePasswordAuthenticationFilter, UsernamePasswordAuthenticationFilter 将客户端提交的参数封装为
UsernamePasswordAuthenticationToken,供 AuthenticationManager 进行认证。

RestAuthenticationFilter 覆写了 UsernamePasswordAuthenticationFilter 的 attemptAuthentication(request,response) 方法逻辑,根据
loginType 的值来将登录参数封装到认证信息 Authentication 中,(loginType 为 USER 时为 UsernameAuthenticationToken,
loginType 为 Phone 时为 PhoneAuthenticationToken),供下游 AuthenticationManager 进行认证。

  1. 认证信息 Authentication

使用 Authentication 的实现来保存认证信息,一般为 UsernamePasswordAuthenticationToken,包括

  • principal:身份主体,通常是用户名或手机号
  • credentials:身份凭证,通常是密码或手机验证码
  • authorities:授权信息,通常是角色 Role
  • isAuthenticated:认证状态,表示是否已认证

本项目中的 Authentication 实现:

  • UsernameAuthenticationToken: 使用用户名登录时封装的 Authentication

    • principal => username
    • credentials => password
    • 扩展了两个属性: uuid&#
最低0.47元/天 解锁文章
Java烂猪皮V
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+vue+SpringSecurity电商后台管理系统(源码
06-06
本文将深入探讨如何利用SpringBoot、Vue.js以及SpringSecurity三大技术栈,构建一个强大的电商后台管理系统,并提供源码供读者参考学习。 首先,SpringBoot是Spring框架的轻量级版本,它简化了Spring应用的初始搭建...
Spring Security最难的地方就是这个了
码农小胖哥
12-27 3662
本篇摘自胖哥最新的基于Spring Security 5.6.x的《Spring Security干货》教程。旧版的教程将在2022年1月1日下线,请需要的同学尽快通过本公众号回复“202...
十分钟带你入门SpringSecurity_怎么学springsecurity(1)
2401_84185145的博客
04-18 682
在配置类实现相关的配置@Overridehttp.formLogin()//自定义自己编写的登录页面.loginPage("/login.html")//登录页面设置//填写完用户名和密码之后需要提交表单操作到指定的Controller中.loginProcessingUrl("/user/login")//登录访问路径.defaultSuccessUrl("/index").permitAll()//默认登录成功,跳转到的路径。
spring-secutrity真难学~
weixin_41719737的博客
08-12 438
最近都在学习这个相对较难的知识点~博客应该会断更一段时间~ 需要整合很多以前的知识点串通起来——想想都怕怕 头发都掉了不少~~~图可爱的哪吒 Spring Security..............................................................................................................
阿里大佬整理分享Spring Security王者晋级文档,实在太香了
Java6888的博客
09-25 731
Spring是一个非常流行和成功的 Java 应用开发框架。SpringSecuritySpring家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对...
基于Java的SSM整合Spring Security设计源码
最新发布
05-25
源码为基于Java的SSM整合Spring Security设计,包含13个Java文件、8个JSP文件等,共32个文件。该项目旨在为用户提供一个全面、便捷的SSM整合Spring Security解决方案,通过JavaJavaScript技术的结合,为用户带来...
话说Spring Security权限管理(源码详解)
08-31
总的来说,Spring Security通过`AccessDecisionManager`和`AccessDecisionVoter`的组合,提供了一种灵活的权限管理机制,可以根据业务需求进行定制。理解这些核心组件的工作原理对于深入掌握Spring Security并实现...
狂神说SpringSecurity静态资源.rar
05-04
"狂神说SpringSecurity静态资源.rar"很可能是狂神(一位知名的IT教育博主)分享的一系列关于SpringSecurity教程的资料,包含了模板(templates)和静态资源(static)两个部分。 在SpringSecurity中,静态资源的...
基于SpringBoot+SpringSecurity的RBAC管理系统源码+数据库+项目说明.zip
12-20
基于SpringBoot+SpringSecurity的RBAC管理系统源码+数据库+项目说明.zip 这是一款基于SpringBoot+SpringSecurity的RBAC权限管理系统。原本只想着做成基于SpringSecurity的权限管理系统,但随着功能的增加感觉有些刹...
spring-security实现复杂的权限管理
09-11
spring-security3.17复杂的权限管理实现,包括数据库等,能直接运行!
Spring Security复杂?试试这个轻量、强大、优雅的权限认证框架!
程序猿DD
09-22 930
各位程序猿小伙伴们,中秋快乐~在节日欢快的气氛中大家是不是还在奋笔疾书、沉浸在学习的海洋中呢?小编这两天休息在家一直在想一个问题,那就是我们在开发SpringBoot项目的时候,该怎么做好...
spring security为啥是个垃圾框架?
JavaEdge全是干货的技术号
09-16 436
古时候写代码,权限这块写过一个库,基本就是一个泛型接口,里面有几个方法:如验证输入的principal和credentials,返回token和authorities和roles,role就是一堆authorities集,也就说就是返回一堆authorities。然后每次请求会拿token找到authorities,然后再判断当前请求的资源(其实就是url)包不包括在authorities内。
前后端分离的项目中使用Spring Security有哪些坑?
m0_73414953的博客
08-12 57
出现该bug的原因是当我们认证时调用UserDetails.loadUserByUsername(String username)时,请求的方式为post,接收到的参数是放到路径中的,前端我使用的是axios来发送网络请求,axios.post会将参数默认放到RequestBody中也就是请求体中,我们认证时调用UserDetails.loadUserByUsername(String username)的时候参数是传递不过来的,后端接收不到参数,自然认证也就失败了。其二是在封装权限集合的时候放入默认值。
java安全框架有哪些_Java开发必备教程-细说Spring Security安全框架
weixin_39716160的博客
02-16 557
一、Spring Security介绍spring security 是基于 spring 的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上,spring security 充分利用了依赖注入(DI)和面向切面编程(AOP)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码...
SpringBoot+SpringSecurity踩坑,研究了一宿
qq_54799493的博客
07-11 457
SpringSecurity配置错误,自定义登录页,拦截器不让过
Spring Security没有看起来那么复杂源码
半路雨歌
01-27 296
权限管理是每个项目必备的功能,只是各自要求的复杂程度不同,简单的项目可能一个 Filter 或 Interceptor 就解决了,复杂一点的就可能会引入安全框架,如 Shiro, Spring Security 等。 其中 Spring Security 因其涉及的流程、类过多,看起来比较复杂难懂而被诟病。但如果能捋清其中的关键环节、关键类,Spring Security 其实没有传说中那么复杂。本文结合脚手架框架的权限管理实现(jboost-auth 模块,源码获取见文末),对 Spring Secur
使用SpringSecurity
weixin_34097242的博客
04-29 80
前几天写了一个SpringBoot对拦截器的使用,在实际项目中,对一些情况需要做一些安全验证,比如在没有登录的情况下访问特定的页面应该解释的拦截处理。这一篇介绍使用SpringSecurity来做简单的安全控制,由于SpringSecurity比较复杂,如果有不对的地方可以大家一起学习。 新建项目,前端页面使用thymeleaf,加入security依赖,pom文件如下: <?xml ver...
springsecurity 源码
09-13
Spring Security 是一个用于身份验证和授权的框架,它的源码中包含了很多关于过滤器链和认证流程的实现。 在 Spring Boot 启动时,会加载 spring.factories 文件,该文件中包含了对 Spring Security 过滤器链的配置信息。Spring Security 的过滤器链是配置在 Spring MVC 的核心组件 DispatcherServlet 运行之前。这意味着请求通过 Spring Security 的所有过滤器并不意味着能够正常访问资源,该请求还需要通过 Spring MVC 的拦截器链。 在 Spring Security源码中,可以找到 springSecurityFilterChain 方法,该方法真正声明了过滤器链,并通过 webSecurity.build() 方法构建过滤器。过滤器链的加载流程可以通过查看这段代码来进行源码分析。 另外,认证流程在 Spring Security源码中也有详细的实现。通过分析认证流程源码,可以了解到在用户进行身份验证时,Spring Security 是如何进行认证的[2.1]。这可以帮助我们更好地理解 Spring Security 在认证过程中的各个环节。 总结起来,Spring Security源码包含了过滤器链加载流程和认证流程的实现。通过深入研究这些源码,我们可以更好地理解 Spring Security 的原理和工作机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值