spring-security--基础--01--概念和理论

已于 2023-09-13 15:16:24 修改
阅读量259 收藏
点赞数
分类专栏: springSecurity 文章标签: spring java 后端
于 2020-10-26 13:46:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhou920786312/article/details/109288104
版权

spring-security–基础–01–概念和理论

1、介绍

  1. 是一款控制基于SpringAOP或者Servlet过滤器的安全框架。
  2. 责任链的设计模式

1.1、参考手册

https://www.springcloud.cc/spring-security-zhcn.html

2、核心功能

  1. 认证(你是谁)
  2. 授权(你能干什么)
  3. 攻击防护(防止伪造身份)
  4. 一组过滤器链,项目启动后将会自动配置。

在这里插入图片描述

3、结构总览

  1. SpringSecurity 要解决安全访问控制问题,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。
  2. SpringSecurity对Web资源的保护是靠Filter实现的。
  3. 当初始化SpringSecurity时,会创建一个名为SpringSecurityFilterChain的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter,因此外部的请求会经过此类,下图是SpringSecurity过虑器链结构图:

在这里插入图片描述

4、FilterChainProxy

  1. 是一个代理。
  2. 真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter,同时这些Filter作为Bean被Spring管理,它们是SpringSecurity核心,他们并不直接处理用户的认证,也不直接处理用户的授权,而是把它们交给了认证管理器(AuthenticationManager)和决策管理器(AccessDecisionManager)进行处理

下图是FilterChainProxy相关类的UML图示。

在这里插入图片描述

5、主要的几个过滤器

5.1、SecurityContextPersistenceFilter

  1. 这个Filter是整个拦截过程的入口和出口(也就是第一个和最后一个拦截器)
  2. 请求开始时
    1. 从配置好的SecurityContextRepository中获取SecurityContext,然后把它设置给SecurityContextHolder。
  3. 请求完成后
    1. 将SecurityContextHolder持有的SecurityContext保存到配置好的SecurityContextRepository。同时清除securityContextHolder所持有的SecurityContext。

5.2、UsernamePasswordAuthenticationFilter

  1. 用于处理来自表单提交的认证。
    1. 表单必须提供对应的用户名和密码,其内部还有登录成功或失败后进行处理的AuthenticationSuccessHandler和AuthenticationFailureHandler。

5.3、FilterSecurityInterceptor

  1. 是用于保护web资源的
  2. 使用AccessDecisionManager对当前用户进行授权访问

5.4、ExceptionTranslationFilter

  1. 能够捕获来自FilterChain所有的异常,并进行处理。
  2. 它只会处理两类异常:AuthenticationException和AccessDeniedException,其它的异常它会继续抛出。

6、认证流程

在这里插入图片描述

  1. 用户提交用户名、密码被SecurityFilterChain中的UsernamePasswordAuthenticationFilter过滤器获取到,封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。
  2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证
  3. 认证成功后,AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除)Authentication实例。
  4. SecurityContextHolder安全上下文容器将第3步填充了信息的Authentication,通过SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中。

6.1、总结

  1. AuthenticationManager接口(认证管理器)是认证相关的核心接口,也是发起认证的出发点,它的实现类为ProviderManager。
  2. SpringSecurity支持多种认证方式,因此ProviderManager维护着一个List列表,存放多种认证方式,最终实际的认证工作是由AuthenticationProvider完成的。
    1. 、web表单的对应的AuthenticationProvider实现类为DaoAuthenticationProvider,它的内部又维护着一个UserDetailsService负责UserDetails的获取。最终AuthenticationProvider将UserDetails填充至Authentication。

7、认证核心组件的大体关系如下:

在这里插入图片描述

8、SpringSecurity的授权流程如下:

  1. SpringSecurity可以通过http.authorizeRequests()对web请求进行授权保护。
  2. SpringSecurity使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问

8.1、授权流程

在这里插入图片描述

  1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的FilterSecurityInterceptor的子类拦截。
  2. 获取资源访问策略
    1. FilterSecurityInterceptor会从SecurityMetadataSource的子类DefaultFilterInvocationSecurityMetadataSource获取要访问当前资源所需要的权限Collection。
    2. SecurityMetadataSource其实就是读取访问策略的抽象,而读取的内容,其实就是我们配置的访问规则,读取访问策略如:
  3. 最后,FilterSecurityInterceptor会调用AccessDecisionManager进行授权决策,若决策通过,则允许访问资源,否则将禁止访问。

8.2、AccessDecisionManager授权决策

在这里插入图片描述

decide方法就是用来鉴定当前用户是否有访问对应受保护资源的权限

8.3、AccessDecisionManager采用投票的方式来确定是否能够访问受保护资源

在这里插入图片描述

AccessDecisionManager中包含的一系列AccessDecisionVoter将会被用来对Authentication是否有权访问受保护对象进行投票,AccessDecisionManager根据投票结果,做出最终决策。

在这里插入图片描述

8.4、AccessDecisionManager实现类

  1. AffirmativeBased:默认

    1. 只要有AccessDecisionVoter的投票为ACCESS_GRANTED则同意用户进行访问
    2. 如果全部弃权也表示通过
    3. 如果没有一个人投赞成票,但是有人投反对票,则将抛出AccessDeniedException

    在这里插入图片描述

    在这里插入图片描述

  2. ConsensusBased

    1. 如果赞成票多于反对票则表示通过。

    2. 如果反对票多于赞成票则将抛出AccessDeniedException

    3. 如果赞成票与反对票相同且不等于0,并且属性allowIfEqualGrantedDeniedDecisions的值为true,则表示通过,否则将抛出异常AccessDeniedException。

      1. 参数allowIfEqualGrantedDeniedDecisions的值默认为true。

    4. 如果所有的AccessDecisionVoter都弃权了,则将视参数allowIfAllAbstainDecisions的值而定,如果该值为true则表示通过,否则将抛出异常AccessDeniedException。

      1. 参数allowIfAllAbstainDecisions的值默认为false。

  3. UnanimousBased

    1. 与上面两种实现有点不一样,上面两种会一次性把受保护对象的配置属性全部传递给AccessDecisionVoter进行投票,而UnanimousBased会一次只传递一个ConfigAttribute给AccessDecisionVoter进行投票。
    2. UnanimousBased的逻辑具体
      1. 如果受保护对象配置的某一个ConfigAttribute被任意的AccessDecisionVoter反对了,则将抛出AccessDeniedException。
      2. 如果没有反对票,但是有赞成票,则表示通过。(
      3. 如果全部弃权了,则将视参数allowIfAllAbstainDecisions的值而定
        1. true则通过
        2. false则抛出AccessDeniedException。

9、授权

9.1、调用accessDecisionManager进行授权决策

在这里插入图片描述

9.2、方式

  1. web授权
    1. 通过url拦截进行授权
    2. 拦截器为FilterSecurityInterceptor
  2. 方法授权
    1. 通过方法拦截进行授权
    2. 拦截器为MethodSecurityInterceptor
  3. 同时通过web授权和方法授权
    1. 先执行web授权,再执行方法授权,最后决策通过则允许访问资源,否则将禁止访问
勤径苦舟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security(1)快速入门
愤怒的菜鸟博客
02-23 243
基本介绍 Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。 是一个比较常用的权限框架,主要的功能是认证和授权。同时对oauth2 也有很好的支持; 认证:认证是否是本系统的用户 授权:判断已经认证了的用户是否有某个操作的权限 官网文档: https://docs.spring.io/spring-security/reference/servlet/getting-started.html 中文文档: https
spring-security-oauth2详细配置demo
09-30
在这个Demo中,我们将探讨OAuth2的核心概念Spring Security OAuth2的主要组件以及如何将它们整合到实际的应用中。 OAuth2是一种开放标准,它允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需...
Spring Security学习(一)
qq_25447799的博客
04-10 761
1、Spring Security的定义 2、使用Spring Security配置实现权限控制 3、使用注解实现权限控制。 4、在Spring security的使用中,为了对方法进行权限控制,通常采用的三个注。
SpringSecurity学习(一)
feijingguan的博客
08-08 534
由于是刚搬到广州找工作,所以对公司的选择要求并不是很高。进了一家技术并不那么新的公司,其他的都懂,就是公司使用的SpringSecurity框架实在没有使用过,所以从官方文档开始读起,并开始做一些笔记 二、SpringSecurity起步 安全的核心概念 认证 1)凭证:            系统用于鉴别当前使用者是否是合法用户的资料 2)两要素认证:        要求输入帐
springsecurity(一)
qq_34172041的博客
03-05 94
spring security Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。 核心功能 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 原理 Spring SecurityJava web的
springSecurity-1
qq_41617261的博客
02-07 109
Spring Security前身是Acegi Security,是Spring项目组中用来提供安全服务的框架 两个主要操作 认证:用户建立一个他所声明的主体。主体一般是指用户,设备或可以在你系统中执行动作的其他系统。可以使用xml配置文件认证或者使用数据库认证 授权:指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主体已经有身份验证过程建立了。 基础入门 1–导入依赖 <dependency> <groupId>org.springframework.se
spring-security-oauth-workshop:Spring安全性OAuth研讨会
01-30
总的来说,"spring-security-oauth-workshop" 提供了一个全面的学习平台,让开发者能够亲手实践Spring Security OAuth2的配置和使用,从而提升在Web安全领域的专业技能。通过这个工作坊,开发者不仅能够掌握理论知识...
livelessons-spring-security
05-02
总结,"livelessons-spring-security"项目是一个绝佳的学习平台,它将理论知识与实际操作相结合,帮助开发者深入理解Spring Security的运作机制和最佳实践。通过逐步解析项目中的代码和设计,我们可以提升在Web应用...
01-SpringSecurity-Demo.zip
09-18
本压缩包"01-SpringSecurity-Demo.zip"包含了SpringSecurity学习的配套代码示例,可以辅助理解并实践SpringSecurity的核心概念。 首先,SpringSecurity基础架构包括以下几个核心组件: 1. **Filter Chain**: 这...
spring-security-sample:弹簧安全样品
06-02
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这个"spring-security-...这个示例不仅提供了理论知识,还提供了实践操作,是学习和掌握Spring Security的宝贵资源。
SpringSecurity基本原理图
11-12
Security基本执行过程的分析和各个环节类执行的分析。
SpringSecurity(一)
攻城狮
10-15 152
先来体验下SpringSecurity 建立Maven工程,引入相关依赖: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0...
SpringSecurity(1)
qq_44194174的博客
11-22 238
Spring Security httpBasic模式 Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。 项目的搭建 1.新建maven项目 2.pom文件 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-b
Spring Security 学习
csdn_CZQ的博客
01-06 130
参考 https://blog.csdn.net/yuanlaijike/article/details/84703690 https://blog.csdn.net/u012702547/article/details/89629415 http://www.zijin.net/news/tech/1190163.html
SpringSecurity学习之路1
kevin
04-30 682
项目结构: 自上而下分别为: ①父模块,主要负责项目管理、版本控制; ②后期为springSecurity加入手机验证登录等功能时使用; ③面向浏览器所做的配置,如集群中session的处理; ④security核心文件都在这里存放; ⑤具体业务。引入了③的配置,刚开始学,先从面向浏览器③开始。 在引入了相关依赖和插件之后,在⑤中写一个hello spring security...
Spring Security学习(翻译官方文档)
weixin_33912453的博客
05-31 2647
本文主要翻译Spring的官方文档,主要介绍SS的基本概念和基本接口和原理。 Spring Security中的两个核心的概念:Authentication(验证);Authorization(授权); Spring Security可以用来实现诸如,OAuth、OpenID、LDAP、CAS、JAAS等系统间的认证很授权。如我们可以使用Spring Security配合OAuth实现单点登录。 ...
SpringSecurity学习
白羊座的橙子
01-10 320
demo : 白羊座的橙子/SpringSecurityDemo 一、SpringSecurity框架简介 SpringSecurity基于Spring框架,提供了一套Web应用安全性的完整解决方案 一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity的重要核心功能 (1)用户认证:系统认为用户是否能登录。用户认证一般要求用户提供用户名和密码,系统校验用户名和密码来完成认证过程 ...
SpringSpring Security学习
最新发布
qq_42575776的博客
09-24 302
Spring Security基于Spring框架,提供了一套Web应用安全性的完整解决方案。Spring Security 的重要核心功能就是解决用户认证和用户授权。
SpringSecurity-01-security简介和快速入门
苍煜
07-25 236
ApacheShiro是一个强大且易用的Java安全框架。可以实现身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API。您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Authentication认证验证是哪个用户登录Authorization授权决定当前登录用户是否有权限去访问受保护的资源通过加密算法保护数据安全。当用户使用你的应用是自身携带的数据。虽然Shiro是设计用来确保任何基于JVM的应用,但是很多时候是用来保护Web应用。......
SSO单点登录实战:Spring-Security与CAS整合指南
"SSO单点登录全流程指南" ...总结来说,这篇资源详细介绍了如何在MyEclipse中结合Spring-Security和CAS实现SSO单点登录的全过程,涵盖了理论知识、实践步骤和技术要点,对于开发者来说是一份宝贵的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值