spring security principal credentials authorities details authenticated

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: Spring Security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxcvb12zxcvb12/article/details/106572511
版权

spring security在进行认证时,会将用户名和密码封装成一个Authentication对象,在进行认证后,会将Authentication的权限等信息填充完全返回。Authentication会被存在SecurityContext中,供应用之后的授权等操作使用。此处介绍下Authentication,Authentication存储的就是访问应用的用户的一些信息。下面是Authentication源码:

public interface Authentication extends Principal, Serializable {
    //用户的权限集合
    Collection<? extends GrantedAuthority> getAuthorities();

    //用户登录的凭证,一般指的就是密码
    Object getCredentials();

    //用户的一些额外的详细信息,一般不用
    Object getDetails();

    //这里认为Principal就为登录的用户
    Object getPrincipal();

    //是否已经被认证了
    boolean isAuthenticated();

    //设置认证的状态
    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

讲解了Authentication后,我们回过头来再看attemptAuthentication方法,该方法会调用AuthenticationManager的authenticate方法进行认证并返回一个填充完整的Authentication对象。

  在这里我们又要讲解一下认证的几个核心的类,很重要!

    a). AuthenticationManager  b).ProviderManager  c).AuthenticationProvider  d).UserDetailsService  e).UserDetails

  现在来说一下这几个类的作用以及关联关系。

    a). AuthenticationManager是一个接口,提供了authenticate方法用于认证。

    b). AuthenticationManager有一个默认的实现ProviderManager,其实现了authenticate方法。

    c). ProviderManager内部维护了一个存有AuthenticationProvider的集合,ProviderManager实现的authenticate方法再调用这些AuthenticationProvider的authenticate方法去认证,表单提交默认用的AuthenticationProvider实现是DaoAuthenticationProvider。

    d). AuthenticationProvider中维护了UserDetailsService,我们使用内存中的用户,默认的实现是InMemoryUserDetailsManager。UserDetailsService用来查询用户的详细信息,该详细信息就是UserDetails。UserDetails的默认实现是User。查询出来UserDetails后再对用户输入的密码进行校验。校验成功则将UserDetails中的信息填充进Authentication中返回。校验失败则提醒用户密码错误。

hello world**
关注
专栏目录
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8044
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring SecurityAuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Spring Security 6.x 系列(5)—— Servlet 认证体系结构介绍
热门推荐
gmHappy
11-25 1万+
安全上下文持有者,存储当前认证用户的。:安全上下文,包含当期认证用户的(认证信息),从中获取。:认证信息,用户提供的用于身份认证的凭据的输入。:授予主体的权限(即角色、作用域等)。:认证管理器,是一个接口,定义过滤器执行身份认证的API。:提供者管理器,是的默认实现。: 认证提供者,由选择,用于执行特定类型的身份认证。: 认证入口点,处理认证过程中的认证异常,比如:重定向登录页面:抽象认证处理过滤器,一个Filter抽象类,是身份验证的基础。
SpringSecurity的介绍和使用
weixin_49983224的博客
12-27 1385
一、用法简介 用户登录系统时我们协助SpringSecurity把用户对应的角色、权限装配好,同时把各个资源所要求的权限信息设定好,剩下的“登录验证”和 “权限验证”都交给SpringSecurity 二、权限管理的概念 1.主体 principal 使用系统的用户或设备或从其他系统远程登录的用户等等。简单的说就是那个使用系统那个就是主体。 2.认证 authentication ...
Spring Security】基本原理
懂得一千零一种,赋予你失败的方法!
08-24 1157
文章目录Spring Security 原理一、权限管理中的相关概念二、Spring Security 基本原理1.FilterSecurityInterceptor2.ExceptionTranslationFilter3.UsernamePasswordAuthenticationFilter三、UserDetailsService 接口讲解四、PasswordEncoder 接口讲解总结 Spring Security 原理 一、权限管理中的相关概念 1、主体 英文单词:principal 使用.
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1433
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
spring security系列一:架构概述
weixin_33762321的博客
12-24 238
一直以来都想好好写一写spring security 系列文章,每每提笔又不知何处下笔,又赖于spring security体系强大又过于繁杂,且spring securityauth2.0结合的时候又很难理解,最近项目告一段落,闲来无事好好对spring security 进行总结和回顾。 核心组件 主要介绍一些在Spring Se...
Spring security oauth2 client_credentials认证 最简单示例代码
weixin_30918633的博客
01-17 585
基于spring-boot-2.0.0 1,在pom.xml中添加: <!-- security --> <!-- https://mvnrepository.com/artifact/org.springframework.security.oauth/spring-security-oauth2 --> ...
Spring Security用户名密码认证以及基本认证
szm1160809039的博客
10-11 1413
用户名密码认证是最常用的认证方式之一,
Spring Security身份认证Authentication
daiwuliang的博客
04-26 6187
文章目录Authentication(身份认证框架)的架构SecurityContextHolderAuthenticationManagerAbstractAuthenticationProcessingFilter关于密码存储密码存储的历史Spring Scurity中的密码存储机制用户/密码认证根据HttpRequest提取用户密码的方式区分FormLogin 页面表单登陆默认页面登陆认证自...
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3763
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
Spring Security 介绍
牧民峰博客
04-07 567
简介 Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它能够在web请求级别和方法调用级别处理身份认证和授权。由于是基于Spring框架,它充分地利用了依赖注入和面向切面技术 身份认证和授权(Authentication and Authorization) 应用程序安全性差不多可以归结为两个独立的问题: 身份认证(Authentication)(你是谁...
Spring Security 认证流程
游戈程序员
04-18 308
继承WebSecurityConfigurerAdapter ,在其中进行安全认证的配置 CustomizeAuthenticationFilter extends UsernamePasswordAuthenticationFilter 判断数据格式是否为json格式.如果为json格式,则执行自定义解析,否则执行父类默认的解析. 过程: 解析登录表单中的账户名密码,封装到Spring Se...
Spring-boot-securityprincipal和credientials的含义
weixin_37841024的博客
10-06 1310
当用户经过身份验证后,系统将创建一个Principal对象来表示该用户的身份,并使用Credentials来验证其身份。Principal代表当前与系统交互的用户或实体的身份信息。在Spring Boot Security中,Principal通常代表经过身份验证的用户。需要注意的是,这些术语可能在不同的上下文中有不同的含义,具体取决于系统的实现方式和配置。在Spring Boot Security中,"principal"(主体)和"credentials"(凭据)是两个重要的概念。
SpringSecurity Authentication
Claroja
03-22 407
Authentication是用户认证的信息,会提供给AuthenticationManager,所以刚创建时要设置他的isAuthenticated()返回false 1)principal 对应 UserDetail 2)credentials 对应 password 3)authoritis 对应 GrantedAuthority 参考: https://docs.spring.io/spring-security/site/docs/5.4.5/reference/html5/#servlet-a
Spring Security登录用户数据获取(4)
weixin_43831002的博客
08-03 3325
登录成功之后,在后续的业务逻辑中,开发者可能还需要获取登录成功的用户对象,如果不使用任何安全管理框架,那么可以将用户信息保存在HttpSession中,以后需要的时候直接从HttpSession中获取数据。这里列出来的两种方式是主流的做法,开发者也可以使用一些非主流的方式获取登录成功后的用户信息,例如直接从HttpSession中获取用户登录数据,无论是哪种获取方式,都离不开一个重要的对象:Authentication。...
SpringSecurity相关概念
一名蒟蒻的博客
07-23 501
二、SpringSecurity相关概念 1、概念 主体: 英文单词:principal 含义:使用系统的用户或设备或从其他系统远程登录的用户等等。简单说就是**谁使用系统谁就是主体**。 认证: 英文单词:authentication 含义:权限管理系统确认一个主体的身份,允许主体进入系统。简单说就是**“主体”证明自己是谁**。笼统的认为就是以前所做的登录操作。 授权 英文单词:authorization 含义:将操作系统的“权力” “授予” “主体”,这样主体就具备了操作系统中特
Spring Security教程 第二弹 spring security核心源码分析
学无止境!
10-24 650
1、Spring Security如何灵活集成多种认证技术? 首先是javax.security.auth.Subject类,而一个Subject类包含多个javax.security.Principal类 Principal类源码: public interface Principal { public boolean equals(Object another); public String toString(); public int hashCode(); p...
【设计模式&框架实战】 SpringSecurity中的策略模式(获取Principal-User对象)
CTRA®王大大技术中心
01-23 1312
1、SpringSecurity:策略模式 这段代码采用了声明的:策略模式 strategy 源码如下: public class SecurityContextHolder { public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL"; public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL"; public
spring security 登录成功后通过Principal 获取名返回空
qq_33159000的博客
08-22 1万+
如上图,前端登录后获取用户信息,principal 返回空值,经历种种排查发现,前端请求后端,请求头没有加 bearer 按上图配置问题解决,记录一下下 ...
Spring Security 框架详解与应用
"本文主要探讨了Spring Security这一强大的安全框架,包括它的历史、核心概念以及在系统安全管理中的应用。" Spring Security是一个广泛使用的安全框架,起源于著名的ACEGI Security System,后被纳入Spring框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值