SpringSecurity整体架构

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量4.4k 收藏 6
点赞数 1
分类专栏: SpringSecurity 文章标签: 架构 安全 java
赵小奥的专属文章
本文链接:https://blog.csdn.net/z318913/article/details/123486934
版权

Security整体架构

在Spring Security的架构设计中,认证Authentication和授权Authorization是分开的,无论使用什么样的认证方式。都不会影响授权,这是两个独立的存在,这种独立带来的好处之一,就是可以非常方便地整合一些外部的解决方案。
在这里插入图片描述

认证

Authentication Manager

在Spring Security中认证是由Authentication Manager接口来负责的,接口定义为:

在这里插入图片描述

public interface AuthenticationManager {
    Authentication authenticate(Authentication var1) throws AuthenticationException;
}
  • 返回Authentication表示认证成功
  • 返回Authentication Exception异常,表示认证失败。

Authentication Manager主要实现类为Provider Manager,在Provider Manager中管理了众多Authentication Provider实例。在一次完整的认证流程中,Spring Security 允许存在多个Authentication Provider ,用来实现多种认证方式,这些Authentication Provider都是由Provider Manager 进行统一管理的。

在这里插入图片描述

Authentication

认证以及认证成功的信息主要是由Authentication的实现类进行保存的,其接口定义为:

在这里插入图片描述

public interface Authentication extends Principal, Serializable {
	// 获取用户权限信息
    Collection<? extends GrantedAuthority> getAuthorities();
	//获取用户凭证信息,一般指密码
    Object getCredentials();
	//获取用户详细信息
    Object getDetails();
	//获取用户身份信息,用户名、用户对象等
    Object getPrincipal();
	//用户是否认证成功
    boolean isAuthenticated();
	//设置认证标记
    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

SecurityContexHolder

SecurityContextHolderg用来获取登录之后用户信息。Spring Security会将登录用户数据保存在Session 中。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后,Spring Security 会将登录成功的用户信息保存到SecurityContextHolder中。SecurityContextHolder中的数据保存默认是通过ThreadLocal来实现的,使用ThreadLocal创建的变量只能被当前线程访问,不能被其他线程访问和修改,也就是用户数据和请求线程绑定在一起。当登录请求处理完毕后,Spring Security 会将SecurityContextHolder中的数据拿出来保存到Session中,同时将SecurityContexHolder中的数据清空。以后每当有请求到来时,Spring Security就会先从 Session中取出用户登录数据,保存到SecurityContextHolder中,方便在该请求的后续处理过程中使用,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后将Security

SecurityContextHolder中的数据清空。这一策略非常方便用户在Controller、Service层以及任何代码中获取当前登录用户数据。

授权

当完成认证后,接下米就是授权了。在 Spring Securitl 的授权体系中,有两个关键接口,

AccessDecisionManager

AccessDecisionManager(访问决策管理器),用来决定此次访问是否被允许。

在这里插入图片描述

AccessDecisionVoter

AccessDecisionVoter(访问决定投票器),投票器会检查用户是否具备应有的角色,进行投出赞成、反对或者是弃权票。

在这里插入图片描述

AveasDecisionVoter和 AccessDecisionManager都有众多的实现类,在AccessDecisionManager中会换个遍历AccessDecisionVoter,进而决定是否允许用户访问,因而AveasDecisionVoter和AccessDecisionManager两者的关系类似于AuthenticationProvider和ProviderManager的关系。

ConfigAttribute

configAttribute,用来保存授权时的角色信息。
在这里插入图片描述

在Spring security中,用户请求一个资源(通常是一个接口或者一个Java方法)需要的角色会被封装成一个ConfigAttribute对象,在ConfigAttribute 中只有一个getAttribute方法,该方法返回一个Sting字符串,就是角色的名称。一般来说,角色名称都带有一个 ROLE_前缀,投票器AccessDecisionVoter所做的事情,其实就是比较用户所具各的角色和请求某个资源所需的ConfioAutihute之间的关系。

只是六号z
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity框架【详解】
m0_67266585的博客
07-28 1061
SpringSecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求。在Java生态中,目前有和认证和授权。...
SpringSecurity素材.rar
03-02
1. **SpringSecurity简介**:首先会介绍SpringSecurity的基本概念和架构,包括它如何通过层层过滤器保护Web应用,以及它提供的主要组件如Authentication(认证)和Authorization(授权)。 2. **配置SpringSecurity...
Spring Security整体架构
目目沐沐
05-28 1165
Spring Security整体架构
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 3143
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
Spring Security 架构简介
公众号:Java后端
11-26 359
一、技术概述1.1 Spring vs Spring Boot vs Spring Security1.1.1 Spring FrameworkSpring Framework 为开发 Java 应用程序提供了全面的基础架构支持。它包含了一些不错的功能,如 "依赖注入",以及一些现成的模块:Spring JDBCSpring MVCSpring SecuritySpring AOPSpring O...
【译】Spring 官方教程:Spring Security 架构
热门推荐
程序猿DD
01-03 1万+
原文:Spring Security Architecture译者:徐靖峰校对:马超君专题指南本文是 Spring Security 的入门指南,并对 Spring Security 的框架设计和基础组件进行深度解析。我们仅涉及应用程序安全性的基础知识,但这已足够消除开发人员在使用 Spring Security 时遇到的一些困惑。要做到这一点,我们需要了解如何使用过滤器和方法注解来保障Web应用
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
总的来说,将Spring Cloud Gateway与Spring Security相结合,可以构建出一套高效、安全的微服务认证系统,提高整体系统的稳定性和用户体验。这种整合不仅简化了微服务之间的交互,还增强了系统的安全性,是现代...
springsecurity jwt mybatis redis
08-01
SpringSecurity负责整体安全控制,JWT提供无状态的身份验证,MyBatis处理数据库交互,而Redis则作为中间件提升系统性能并协助管理用户会话。这样的架构特别适合大型、分布式项目,既保证了安全性,又优化了性能。...
00SpringCloud整体架构概览1
08-04
整体架构上,SpringCloud包含多个子项目,每个子项目都有自己的发布节奏。为了管理和协调这些子项目,SpringCloud使用了一个版本清单,将特定的SpringCloud版本与各个子项目的版本关联起来。版本命名采用伦敦地铁...
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
1.Spring security架构概览
EdSheeran的博客
01-19 1470
文章目录*Spring security架构概览**1.2Spring security核心功能**1.3Spring security整体架构**1.3.1认证和授权**1.3.1.1认证**1.3.1.2授权**1.3.2Web安全**1.3.3登录数据保存* Spring security架构概览 1.2Spring security核心功能 对于一个安全管理框架而言,无论是shiro还是spring security,最核心的功能,无非就是如下两方面: 认证,即身份验证(你是谁)。 授权,即访问
Spring Security 架构与源码分析
Java知音
06-04 976
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:JadePengcnblogs.com/xiaoqi/p/spring-security.html...
SpringSecurity学习笔记(一)springSecurity整体架构
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-01 1188
首先我们要知道SpringSecuritySpring家族中的一员,是基于spring框架提供的一套web应用安全性的完整解决方案,包括可高度定制的认证、授权、鉴权等一系列的流程。它在和springcloud进行整合时候具有其他的框架无法比拟的优势,因此逐渐成为微服务时代首选的安全框架。除了SpringSecurity以外还有其他的框架也能够提供安全的支持,比如Shiro:阿帕奇旗下的比较老牌的安全框架,轻量、简单、易于集成、可以单独在Javase环境中使用而不用在spring环境中使用。
Spring Security 架构【翻译】
weixin_32501529的博客
02-22 221
这篇指南是对Spring Security的一个入门简介,为我们提供了一个对框架底层设计的深入了解。 这里仅仅涵盖了该框架非常基础的的知识,尽管如此,本文也可以解决开发者在使用本框架的过程中的一些疑惑。 在这里,我们会看看在web应用程序中我们是如何使用filter以及更通用的方法注解两种途径将Spring Security框架应用到我们的项目中的。 当你希望从一个较高水平理解该安全框架是如...
Spring Security 架构
小哲的无何有镜
08-24 180
最近开始准备做一个项目,找了慕课的权限管理系统,开始学习spring seurity框架,这里记录一下这个框架的架构 是什么 一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也...
springSecurity配置详解
andyaqu的专栏
07-25 484
SpringSide 3的官方文档中,说安全框架使用的是Spring Security 2.0。乍一看,吓了我一跳,以为Acegi这么快就被淘汰了呢。上搜索引擎一搜,发现原来Spring Security 2.0就是Acegi 2.0。悬着的心放下来了。虽然SpringSide 3中关于Acegi的配置文件看起来很不熟悉,但是读了Acegi 2.0的官方文档后,一切都释然了。 先来谈一谈A...
SpringSecurity总体架构
daiwuliang的博客
04-25 544
SpringSecurity是能够提供身份认证(Authentication)和访问控制(Authorization)的Java应用框架,同时还支持多种安全机制以及OAuth2、SMAL2等协议,是一款功能强大的框架。 SpringSecurity是基于Servlet Filter实现,在应用中注册一个Filter,其设计思想为委托代理,是用于处理SpringSecurity逻辑功能的入口。Spr...
Spring Security OAuth2.0 整体架构
04-14
Spring Security OAuth2.0 是一个基于Spring Security的OAuth2.0解决方案,它使用Spring框架提供的各种功能进行了编写和维护。它基于OAuth2.0协议实现了一系列安全性的通用解决方案,旨在简化OAuth2.0方案的实现和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值