Spring Security工作原理和认证流程

已于 2022-07-07 15:55:23 修改
阅读量1.2k 收藏 7
点赞数 3
分类专栏: SpringBoot 文章标签: spring java
于 2021-08-25 16:04:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yx444535180/article/details/119911610
版权

一、工作原理

Spring Security所解决的问题是安全访问控制,而安全访问控制功能就是对所有访问系统的请求进行拦截,校验每个请求是否能访问它所期望的资源。一般可以通过Filter和AOP来实现,Spring Security对web资源的保护是通过Filter来实现的,所以从Filter来入手学习Spring Security的原理。

当初始化Spring Security的时候,会创建SpringSecurityFilterChain的过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter。因此外部的请求会经过此类。下图是Spring Security的过滤器链结构图:
在这里插入图片描述

pom依赖,单独使用Spring Security只需要添加spring-boot-starter-security它是是spring-security的starter。

  <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
  </dependency>

过滤器链的类图:
在这里插入图片描述
最终通过AccessDecisionManager和AuthenticationManager进行授权和认证。

1.1 主要过滤器的作用

在这里插入图片描述
在这里插入图片描述

二 认证流程

在这里插入图片描述

2.1 UsernamePasswordAuthenticationFilter

1.找到UsernamePasswordAuthenticationFilter用于账号密码验证
在这里插入图片描述
2.继承AbstractAuthenticationProcessingFilter,查看doFilter
在这里插入图片描述
3.调用了attemptAuthentication(request, response),这个方法在AbstractAuthenticationProcessingFilter是一个抽象方法在这里插入图片描述
4.实际执行的是UsernamePasswordAuthenticationFilter的attemptAuthentication。
在这里插入图片描述
5.后面又调用AuthenticationManager的authenticate(Authentication authentication),这是一个接口,看看实现类
在这里插入图片描述
6.认证就是从ProviderManager的authenticate开始,ProviderManager维护了一个 AuthenticationProvider的列表,可以自定义类实现AuthenticationProvider从而进行自己的账号密码验证逻辑。当然Spring Security给我们提供了默认的实现DaoAuthenticationProvider

private List<AuthenticationProvider> providers = Collections.emptyList()

在这里插入图片描述
7.遍历providers 调用的authenticate(Authentication authentication)在AbstractUserDetailsAuthenticationProvider里面
在这里插入图片描述
8.DaoAuthenticationProvider的retrieveUser方法中调用UserDetailsService查询用户信息
在这里插入图片描述
9.获取到用户信息之后调用additionalAuthenticationChecks进行密码校验
在这里插入图片描述
10.DaoAuthenticationProvider中的additionalAuthenticationChecks的实现方法进行最终校验
在这里插入图片描述
回到doFilter方法,进入successfulAuthentication(request, response, chain, authenticationResult);
在这里插入图片描述
将认证结果放入安全上下文

三、总结

在这里插入图片描述

Integer_Double
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程原理和实现机制。 SpringSecurity 基本原理 ---------------...
Spring Security UserDetails实现原理详解
09-07
理解`UserDetails`和`UserDetailsService`的工作原理对于有效地定制和扩展Spring Security的安全策略至关重要。通过深入学习和实践,我们可以更好地掌握Spring Security,确保应用程序的安全性。
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
SpringSecurity原理分析
Feverasa的博客
12-05 6439
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity原理SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity的基本原理 1、基本流程SpringSecurity的基本原理就是应用了Tomcat容
Spring Boot:一文搞懂 Spring Security 是如何工作的?
Java技术攻略的博客
03-02 308
Nullable@Nullable这里的 delegate 就是前面架构图中的 Bean Filter0。那 Spring 为什么要设计这样一层代理呢?从前面的分析过程中我们知道,向 ServletContext 中注册 Filter 的时间发生的其实非常早,甚至这个时候 ApplicationContext 都还没有实例化完毕,更别说其中的 Filter Bean了。
Spring Security工作原理
热门推荐
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1581
以上是10月31日对29日的Security学习进行日常总结。
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringSecurity 认证流程详解有一定了解的都知道,在帐号密码认证的过程中,涉及到了以下几个类:UsernamePasswordAuthenticationFilter(用于请求参数获取),UsernamePasswordAuthenticationToken(表示用户...
Spring Security单项目权限设计过程解析
08-25
学习 Spring Security 不仅能提升系统的安全性,还能帮助开发者理解 Web 应用的安全原理,为今后的开发工作打下坚实的基础。在实际项目中,还可以根据需求扩展功能,如整合 OAuth2、添加自定义过滤器等,以满足更加...
详解Spring Security的Web应用和指纹登录实践
08-26
完成这些后,Spring Security会自动处理后续的授权过程,确保只有经过认证的用户才能访问受保护的资源。 指纹登录的实现涉及到生物识别技术,这通常需要第三方库的支持,如FingerprintManager API(对于Android)...
基于spring security实现登录注销功能过程解析
08-25
主要介绍了基于spring security实现登录注销功能过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security执行流程
m0_38105216的博客
01-25 4346
启动的时候把userRespository注入进来 执行流程 首先我们配置SecurityConfiguration它继承WebSecurityConfiguraterAdpter 并且实现 configure是释放静态资源 还实现了configure(HttpSecurity http)主要是对于url请求资源的拦截处理 主要是通过UsernamePasswordAuthe...
spring security认证原理解析
最新发布
lw12345118的博客
03-02 930
1.SpringSecurity的本质就是一个过滤器链,内部包含了提供各种功能的过滤器,所有的认证流程都是通过过滤器来完成的,下面就是以下就是具体的认证信息用户提交认证请求:用户在应用程序的登录页面输入用户名和密码,提交认证请求。AuthenticationFilter 进行认证Spring Security 中的 AuthenticationFilter 拦截认证请求,根据配置的认证方式进行认证处理。AuthenticationManager 进行身份验证。
SpringSecurity-入门(1)执行流程
weixin_45723088的博客
05-02 472
了解Security安全框架,首先要了解它的执行流程(过滤链) 在不引入Security依赖的情况下 下面这个接口就是一个没有任何限制的接口,可以任意的访问。 @RestController @RequestMapping(value = "/admi") public class AdminDemoController { @RequestMapping(value = "/demo") public String run() { return "successfu
SpringSecurity的基本认证,授权流程原理方法
qq_14930709的博客
06-18 5527
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 ​ 一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认证和授权。 ​ **认证**:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户......
springSecurity工作流程学习
qq_15042899的专栏
06-19 4235
springSecurity执行流程 整个程序执行的过程如下: 1、容器启动时    通过MyInvocationSecurityMetadataSource # loadResourceDefine 加载系统资源与权限列表resourceMap(一个Map结构,资源[url]为key,权限[auth]为value )     2、WEB服务器启动,加载security内置的
Spring Security 认证流程
m0_59448100的博客
10-04 688
Spring Security 认证流程
SpringBoot集成Spring Security——认证流程
qq_37497275的博客
05-26 864
文章目录一、认证流程二、多个请求共享认证信息三、获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Security认证流程,这样才能理解为什么要这样写...
springSecurity运行流程(仅记录)
俗语的博客
12-26 267
1  用户点击登录,进入 UsernamePasswordAuthenticationFilter的 attemptAuthentication方法 此方法内获取账号密码,生成未验证的 authRequest(已经设置好了details,可以引入自定义的UserDetails实现)。 authRequest作为参数进行验证。 2  默认provider验证为 Provide...
Spring Security工作原理是什么?
07-12
Spring Security是一个强大且灵活的身份验证和授权框架,它基于Servlet过滤器、Spring AOP和Spring IoC容器等技术实现。它的工作原理可以简单概括为以下几个步骤: 1. 请求拦截:Spring Security通过一个Servlet过滤器(DelegatingFilterProxy)拦截所有的HTTP请求。 2. 身份验证:当一个请求被拦截时,Spring Security首先会尝试从请求中获取用户的身份凭证(如用户名和密码),然后使用身份凭证进行身份验证。 3. 用户认证Spring Security将用户的身份凭证传递给一个认证管理器(AuthenticationManager),由认证管理器对凭证进行验证,通常会使用一个或多个身份验证提供者(AuthenticationProvider)来完成实际的认证过程。 4. 认证结果处理:认证管理器将认证结果封装成一个认证对象(Authentication),其中包括用户的身份信息和权限信息。如果认证成功,认证对象将被存储在一个安全上下文(SecurityContext)中。 5. 授权验证:在请求处理过程中,Spring Security会根据安全上下文中的认证对象,对用户进行授权验证。它会根据配置的访问规则(如URL路径、HTTP方法等)以及用户的权限信息,判断用户是否有权限执行当前请求。 6. 访问控制:如果用户被授权执行当前请求,Spring Security会允许请求继续处理;否则,它会返回一个错误页面或执行其他自定义的处理逻辑。 总的来说,Spring Security通过请求拦截、身份验证、用户认证、授权验证和访问控制等步骤来保护应用程序的安全性。它提供了丰富的配置选项和扩展点,可以满足各种不同的安全需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值