SpringSecurity中文文档(Servlet Anonymous Authentication)

最新推荐文章于 2024-07-08 11:33:03 发布
最新推荐文章于 2024-07-08 11:33:03 发布
阅读量526 收藏 7
点赞数 22
分类专栏: SpirngSecurity中文文档 文章标签: servlet java spring boot spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/znjy111/article/details/140104420
版权

Anonymous Authentication

Overview

通常认为采用“默认拒绝”立场是良好的安全实践,您明确指定允许的内容并拒绝其他所有内容。定义未经身份验证的用户可以访问的内容是类似的情况,特别是对于 Web 应用程序。许多网站要求用户必须经过身份验证才能访问除少数 URL(例如主页和登录页面)之外的内容。在这种情况下,最简单的方法是为这些特定 URL 定义访问配置属性,而不是为每个受保护资源定义。换句话说,有时默认要求 ROLE_SOMETHING 并只允许对此规则的某些例外情况是很好的,例如应用程序的登录、注销和主页。您还可以将这些页面完全从过滤器链中省略,从而绕过访问控制检查,但这可能出于其他原因而不希望这样做,尤其是如果页面对于已认证用户的行为不同的话。

这就是我们所说的匿名身份验证。请注意,一个“匿名认证”的用户和一个未认证的用户之间在概念上没有真正的区别。Spring Security 的匿名身份验证只是为您提供了一个更方便的方式来配置您的访问控制属性。对 servlet API 的调用,例如 getCallerPrincipal,仍然返回 null,即使实际上 SecurityContextHolder 中有一个匿名身份验证对象。

在其它情况下,匿名身份验证也很有用,比如当一个审计拦截器查询 SecurityContextHolder 以识别哪个主体负责某个操作时。如果类知道 SecurityContextHolder 总是包含一个 Authentication 对象,而永远不会包含 null,那么这些类可以被编写得更健壮。

Configuration

当您使用 HTTP 配置时(Spring Security 3.0 中引入),会自动提供匿名身份验证支持。您可以使用 元素来自定义(或禁用)它。除非您使用传统的 bean 配置,否则您无需配置这里描述的 beans。

三个类共同提供匿名身份验证功能。AnonymousAuthenticationToken 是 Authentication 的一个实现,它存储适用于匿名主体的 GrantedAuthority 实例。有一个相应的 AnonymousAuthenticationProvider,它被链入 ProviderManager,以便接受 AnonymousAuthenticationToken 实例。最后,一个 AnonymousAuthenticationFilter 被链在正常身份验证机制之后,并自动向 SecurityContextHolder 添加一个 AnonymousAuthenticationToken,如果那里没有现有的 Authentication。过滤器和身份验证提供者定义如下:

<bean id="anonymousAuthFilter"
	class="org.springframework.security.web.authentication.AnonymousAuthenticationFilter">
<property name="key" value="foobar"/>
<property name="userAttribute" value="anonymousUser,ROLE_ANONYMOUS"/>
</bean>

<bean id="anonymousAuthenticationProvider"
	class="org.springframework.security.authentication.AnonymousAuthenticationProvider">
<property name="key" value="foobar"/>
</bean>

密钥在过滤器和身份验证提供者之间共享,以便前者创建的令牌可以被后者接受。

在这里,使用 key 属性不应被视为提供了任何真正的安全性。它仅仅是一种簿记练习。如果您在可能由认证客户端构建 Authentication 对象的场景中(例如,使用 RMI 调用)共享包含 AnonymousAuthenticationProvider 的 ProviderManager,那么恶意客户端可以提交它自己创建的 AnonymousAuthenticationToken(带有选择的用户名和权限列表)。如果密钥可以被猜测或者被发现,那么令牌将被匿名提供者接受。这对于正常使用来说并不是问题。然而,如果您使用 RMI,您应该使用一个自定义的 ProviderManager,该提供者管理器省略了匿名提供者,而不是共享您用于 HTTP 认证机制的提供者管理器。

userAttribute 以 usernameInTheAuthenticationToken,grantedAuthority[,grantedAuthority] 的形式表示。InMemoryDaoImpl 的 userMap 属性在等号后面使用相同的语法。

如前所述,匿名身份验证的好处是所有 URI 模式都可以应用安全性,如下例所示:

<bean id="filterSecurityInterceptor"
	class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>
<property name="securityMetadata">
	<security:filter-security-metadata-source>
	<security:intercept-url pattern='/index.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
	<security:intercept-url pattern='/hello.htm' access='ROLE_ANONYMOUS,ROLE_USER'/>
	<security:intercept-url pattern='/logoff.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
	<security:intercept-url pattern='/login.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>
	<security:intercept-url pattern='/**' access='ROLE_USER'/>
	</security:filter-security-metadata-source>" +
</property>
</bean>

AuthenticationTrustResolver

匿名身份验证讨论的最后一部分是 AuthenticationTrustResolver 接口,以及其相应的 AuthenticationTrustResolverImpl 实现。这个接口提供了一个 isAnonymous(Authentication) 方法,允许感兴趣的类考虑到这种特殊类型的认证状态。ExceptionTranslationFilter 在处理 AccessDeniedException 实例时使用这个接口。如果抛出了 AccessDeniedException 并且认证是匿名类型的,过滤器不会抛出 403(禁止)响应,而是启动 AuthenticationEntryPoint,以便主体可以正确地进行认证。这是一个必要的区别。否则,主体总是被视为“已认证”,并且永远不会有机会通过表单、基本、摘要或其它一些正常认证机制登录。

我们经常看到在早期的拦截器配置中,ROLE_ANONYMOUS 属性被替换为 IS_AUTHENTICATED_ANONYMOUSLY,这在定义访问控制时实际上是相同的东西。这是使用 AuthenticatedVoter 的一个例子,我们在授权章节中会介绍它。它使用一个 AuthenticationTrustResolver 来处理这个特定的配置属性,并授予匿名用户访问权限。AuthenticatedVoter 方法更强大,因为它可以让您区分匿名、记住我和完全认证的用户。然而,如果您不需要这个功能,您可以坚持使用 ROLE_ANONYMOUS,它由 Spring Security 的标准 RoleVoter 处理。

Getting Anonymous Authentications with Spring MVC

SpringMVC 使用自己的参数解析器解析主体类型的参数。

这意味着像这样的构造:

@GetMapping("/")
public String method(Authentication authentication) {
	if (authentication instanceof AnonymousAuthenticationToken) {
		return "anonymous";
	} else {
		return "not anonymous";
	}
}

即使对于匿名请求,也将始终返回“非匿名”。原因是 Spring MVC 使用 HttpServletRequest#getPrincipal 解析参数,而当请求是匿名时,该参数为 null。

如果您希望获得匿名请求中的身份验证,请改为使用@CurrentSecurityContext:

Use CurrentSecurityContext for Anonymous requests

@GetMapping("/")
public String method(@CurrentSecurityContext SecurityContext context) {
	return context.getAuthentication().getName();
}
嗨!陌生人
关注
专栏目录
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8012
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
SpringSecurity6 | 核心过滤器
热门推荐
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
spring security中文
11-22
本书的写作遵循了这样的一个开发模式,这个模式我们感觉提供了一个有用的前提来解决复杂的话题—— 即使用一个基于Spring3的web工程作为基础,以理解使用Spring Security3使其保证安全的概念和策略。 不管你是不是已经使用Spring Security还是只是对这个软件有兴趣,就都会在本书中得到有用的信息。 在本节的内容中,你能够: l 检查一个虚拟安全审计的结果 l 讨论web应用通常的一些安全问题 l 学习软件安全中的几个核心词汇和概念
SpringSecurity中文文档Servlet CAS)
znjy111的博客
07-01 927
JA-SIG 生产了一个名为 CAS 的企业级单点登录系统。与其它倡议不同,JA-SIG 的中央认证服务是开源的,广泛使用,易于理解,平台独立,并支持代理功能。Spring Security 完全支持 CAS,并为从单个应用程序部署的 Spring Security 迁移到由企业级 CAS 服务器保护的多个应用程序部署提供了简单的迁移路径。你可登入 www.apereo.org 了解更多有关 CAS 的资料。您还需要访问此站点来下载 CAS 服务器文件。
SpringSecurity中文文档Servlet Authorization Architecture )
最新发布
znjy111的博客
07-08 1014
在确定了用户将如何进行身份验证之后,还需要配置应用程序的授权规则。Spring Security 中的高级授权功能是其受欢迎的最有说服力的原因之一。无论您选择如何进行身份验证(无论是使用 Spring Security 提供的机制和提供者,还是与容器或其他非 Spring Security 身份验证授权机构集成) ,授权服务都可以在您的应用程序中以一致和简单的方式使用。您应该考虑附加授权规则来请求 URI 和方法。在这两种情况下,您都可以侦听并响应每个授权检查发布的授权事件。
spring 无侵入文档_疯狂!膜拜!阿里出品Spring Security王者晋级文档
weixin_39807352的博客
10-25 219
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring SecuritySpring 家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security...
SpringSecurity中文文档ServletApplication-GettingStarted)
znjy111的博客
06-25 760
SpringSecurity 通过使用标准的 Servlet 过滤器与 Servlet 容器集成。这意味着它适用于运行在 Servlet 容器中的任何应用程序。具体地说,您不需要在基于 Servlet 的应用程序中使用 Spring 来利用 Spring Security
Spring Security基础理论学习
qq_38586378的博客
08-19 390
前言 想着既然项目中用到Spring Security框架,那为了以后面试说到这个项目的时候不害怕被问框架问题,干脆就好好学一下,基础、实战、源码分析一个一个来。 参考资料 Spring Security参考手册: https://www.springcloud.cc/spring-security-zhcn.html#true-java https://docs.spring.io/spring-security/site/docs/5.1.12.RELEASE/reference/htm...
SpringSecurity
weixin_45701868的博客
07-08 2074
SpringSecurity
spring security 参考手册中文
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Spring Security 5.1 中文 参考手册 中文文档
06-25
Spring Security 5.1 中文 参考手册 中文文档 中文文档都是由软件翻译,翻译内容未检查校对,文档内容仅供参考。
spring-security 官方文档 中文
10-12
spring security官方文档 中文版 看了下翻译 还是可以的 比其他查到的专业点 希望可以帮助到大家
Spring Security 参考手册Spring Security中文
05-29
很多独立软件供应商,因为灵活的身份验证模式二选择Spring Security。这样做允许他们快速的集成到他们的终端客户需求的解决方案而不用进行大量工程或者改变客户的环境。如果上面的验证机制不符合你的需求,Spring Security 是一个开放的平台,要实现你 自己的验证机制检查。 为了阅读方便,自己导出的文档,格式为HTML,文件也相对较小。 文档原地址:https://springcloud.cc/spring-security-zhcn.html
Spring Security 参考手册_Spring Security中文版.pdf
10-12
一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。   spring security的主要核心功能为 认证和授权,所有的架构也是基于这两个核心功能去实现的。
Spring Security 参考手册_Spring Security中文
01-02
Spring security 是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准。 Spring Security 为基于javaEE的企业应用程序提供一个全面的解决方案。正如你将从这个参考指南发现的,我们试图为你提供一个有用的并且高度可配置的安全系统。
SpringSecurity中文文档Authentication—Session Management
Logger
03-06 764
文章目录Detecting TimeoutsConcurrent Session ControlSession Fixation Attack Protection Detecting Timeouts 您可以将Spring Security配置为检测无效会话ID的提交,并将用户重定向到适当的URL。这是通过会话管理元素实现的: @Override protected void configure(HttpSecurity http) throws Exception{ http .
SpringSecurity中文文档——Architecture
Logger
03-01 2336
Spring Security 的 Serlvet支持是基于Servelt的过滤器实现的,下图展示了一个HTTP请求典型的分层处理过程。 当客户端发送一个请求到应用时,容器会创建一个过滤器链FilterChain,包含Filter和基于请求URI处理HttpServletRequest 的Servlet。在SpringMVC应用中,Servlet是DispatcherServlet的一个实例。一个Servlet最多只能处理一个HttpServletRequest和HttpServletResponse。
Spring Security 3》中文版 张卫滨译
04-25
Spring Security 3》中文版 张卫滨译 译者BLOG: http://lengyun3566.iteye.com/
springsecurity anonymous 方法
04-09
Java中,Spring Security是一个功能强大的安全框架,用于保护应用程序的安全性。它提供了一系列的安全特性和功能,其中之一就是anonymous(匿名)方法。 在Spring Security中,anonymous方法允许未经身份验证的用户访问应用程序的某些资源或功能。这意味着用户可以在不提供任何身份验证信息的情况下访问这些资源。 要在Spring Security中使用anonymous方法,你需要在Spring Security配置文件中进行相应的配置。以下是一个示例配置: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .anonymous() .and() .formLogin() .and() .logout(); } } ``` 在上面的示例中,`.antMatchers("/public/**").permitAll()`表示允许未经身份验证的用户访问以"/public/"开头的URL路径。`.anyRequest().authenticated()`表示其他所有请求都需要进行身份验证。 通过使用`.anonymous()`方法,你可以配置Spring Security允许匿名访问的URL路径。在上面的示例中,我们允许未经身份验证的用户访问"/public/"路径下的资源。 需要注意的是,anonymous方法只是Spring Security提供的一种安全配置选项之一,你可以根据具体的需求和场景进行灵活配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值