Spring-Security 核心类详解一

最新推荐文章于 2025-05-26 11:42:05 发布
原创 最新推荐文章于 2025-05-26 11:42:05 发布 · 671 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Spring-Security的核心类,包括SecurityContextHolder、Authentication、AuthenticationManager和AuthenticationProvider。SecurityContextHolder使用ThreadLocal保存SecurityContext,提供全局访问用户认证信息的方式。Authentication接口表示用户认证信息,AuthenticationManager通过AuthenticationProvider列表处理认证请求,实现灵活的认证策略。

1. Spring-Security 核心类图

在这里插入图片描述

2. 核心类说明

2.1. SecurityContextHolder

SecurityContextHolder 是用来保存 SecurityContext 的。SecurityContext 中含有当前正在访问系统的用户的详细信息。默认情况下,SecurityContextHolder 将使用 ThreadLocal 来保存 SecurityContext,这也就意味着在处于同一线程中的方法中我们可以从 ThreadLocal 中获取到当前的 SecurityContext。因为线程池的原因,如果我们每次在请求完成后都将 ThreadLocal 进行清除的话,那么我们把 SecurityContext 存放在 ThreadLocal 中还是比较安全的。这些工作 Spring Security 已经自动为我们做了,即在每一次 request 结束后都将清除当前线程的 ThreadLocal。

SecurityContextHolder 中定义了一系列的静态方法,而这些静态方法内部逻辑基本上都是通过 SecurityContextHolder 持有的 SecurityContextHolderStrategy 来实现的,如 getContext()、setContext()、clearContext()等。而默认使用的 strategy 就是基于 ThreadLocal 的。而默认使用的 strategy 就是基于 ThreadLocal 的 ThreadLocalSecurityContextHolderStrategy。除了ThreadLocalSecurityContextHolderStrategy,Spring-security还定义了两种类型的Strategy实现。

2.1.1. GlobalSecurityContextHolderStrategy

  • 表示全局使用同一个 SecurityContext,如 C/S 结构的客户端

2.1.2. InheritableThreadLocalSecurityContextHolderStrategy

  • InheritableThreadLocal 来存放 SecurityContext,即子线程可以使用父线程中存放的变量。

一般而言,我们使用默认的 strategy 就可以了,但是如果要改变默认的 strategy,Spring Security 为我们提供了两种方法,这两种方式都是通过改变 strategyName 来实现的。SecurityContextHolder 中为三种不同类型的 strategy 分别命名为 MODE_THREADLOCALMODE_INHERITABLETHREADLOCALMODE_GLOBAL。第一种方式是通过 SecurityContextHolder 的静态方法 setStrategyName() 来指定需要使用的 strategy;第二种方式是通过系统属性进行指定,其中属性名默认为 “spring.security.strategy”,属性值为对应 strategy 的名称。

2.2. Authentication

Authentication 是一个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为一个 Authentication 具体实现类的对象,在登录认证成功之后又会生成一个信息更全面,包含用户权限等信息的 Authentication 对象,然后把它保存在 SecurityContextHolder 所持有的 SecurityContext 中,供后续的程序进行调用,如访问权限的鉴定等。

Spring Security 使用一个 Authentication 对象来描述当前用户的相关信息。SecurityContextHolder 中持有的是当前用户的 SecurityContext,而 SecurityContext 持有的是代表当前用户相关信息的 Authentication 的引用。这个 Authentication 对象不需要我们自己去创建,在与系统交互的过程中,Spring Security 会自动为我们创建相应的 Authentication 对象,然后赋值给当前的 SecurityContext。但是往往我们需要在程序中获取当前用户的相关信息,比如最常见的是获取当前登录用户的用户名。在程序的任何地方,通过如下方式我们可以获取到当前用户的用户名。

 public String getCurrentUsername() {
      Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
      if (principal instanceof UserDetails) {
         return ((UserDetails) principal).getUsername();
      }
      if (principal instanceof Principal) {
         return ((Principal) principal).getName();
      }
      return String.valueOf(principal);
   }

此外,调用 SecurityContextHolder.getContext() 获取 SecurityContext 时,如果对应的 SecurityContext 不存在,则 Spring Security 将为我们建立一个空的 SecurityContext 并进行返回。

2.3. AuthenticationManager 和 AuthenticationProvider

Spring-Security 最核心的接口是AuthenticationManager。AuthenticationManager 是一个用来处理认证(Authentication)请求的接口。在其中只定义了一个方法 authenticate(),该方法只接收一个代表认证请求的 Authentication 对象作为参数,如果认证成功,则会返回一个封装了当前用户权限等信息的 Authentication 对象进行返回。

public interface AuthenticationManager {

    Authentication authenticate(Authentication authentication)
            throws AuthenticationException;
}
  1. 在 Spring Security 中,AuthenticationManager 的默认实现是 ProviderManager,而且它不直接自己处理认证请求,而是委托给AuthenticationManagerDelegator其所配置的 AuthenticationProvider 列表,然后会依次使用每一个 AuthenticationProvider 进行认证。如果有一个 AuthenticationProvider 认证后的结果不为 null,则表示该 AuthenticationProvider 已经认证成功,之后的 AuthenticationProvider 将不再继续认证。
public class ProviderManager implements AuthenticationManager, MessageSourceAware,InitializingBean {

  private List<AuthenticationProvider> providers = Collections.emptyList();
  private AuthenticationManager parent;

  public ProviderManager(List<AuthenticationProvider> providers) {
      this(providers, null);
  }

  public ProviderManager(List<AuthenticationProvider> providers,
          AuthenticationManager parent) {
      Assert.notNull(providers, "providers list cannot be null");
      this.providers = providers;
      this.parent = parent;
      checkState();
  }
}

从代码中可以看到ProviderManager内部是维护了一个List<AuthenticationProvider>AuthenticationManager自己是一个接口不干活,靠他的实现类ProviderManager去认证请求,他自己又不干活,交给内部的一个AuthenticationProvider列表去认证请求。绕是绕,但是有它的道理,学过shiro的同学可能知道realm这个东西,就跟spring-security中的AuthenticationProvider类似,设计成一个列表,意思是一个用户可能用多种方式进行认证(邮箱登录,手机号码登录,指纹登录?,第三方登录等等乱编的登录)。只需要通过一个即可认证成功即可.如果所有的 AuthenticationProvider 的认证结果都为 null,则表示认证失败,将抛出一个 ProviderNotFoundException。校验认证请求最常用的方法是根据请求的用户名加载对应的 UserDetails,然后比对 UserDetails 的密码与认证请求的密码是否一致,一致则表示认证通过。Spring Security 内部的 DaoAuthenticationProvider 就是使用的这种方式。其内部使用 UserDetailsService 来负责加载 UserDetails,UserDetailsService 将在下节讲解。在认证成功以后会使用加载的 UserDetails 来封装要返回的 Authentication 对象,加载的 UserDetails 对象是包含用户权限等信息的。认证成功返回的 Authentication 对象将会保存在当前的 SecurityContext 中。

SpringBoot开发——Spring Security中获取当前登录用户信息的方式
bjzhang75的博客
10-02 1844
Spring Security中获取当前登录用户信息的方式
Spring Security 核心配置详解
AI天才研究院
08-06 1533
Spring Security个用于认证、授权、加密和保护基于Spring的应用的框架。在 Spring Security 中,用户身份验证由 AuthenticationManager 提供,而访问控制则由 AccessDecisionManager 来处理。Spring Security 对 Web 请求进行拦截并检查是否已经认证通过,如果没有通过,将会拒绝访问请求;通过认证之后,AccessDecisionManager 将对访问请求进行评估,判断当前用户是否拥有相应权限。
spring security类图
04-14
自己总结的spring security类图
Spring Security 简明架构
Kaybee - 练级之路
10-09 444
Spring Security 简明架构 Spring Security 主要涉及2大核心功能: Authentication and Access Control authentication - who are you? (你是谁)- 认证 access control or authorization - what are you allowed to do? (你能干什么) - 授权 ...
Spring Security核心类
weixin_30552635的博客
04-14 166
核心类简介 Authentication Authentication 是个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为个 Authentication 具体实现类的对象,在登录认证成功之后又会生成个信息更全面,包含用户权限等信息的 Authentication 对象,然后把它保存在 SecurityContextHolder 所持有的 SecurityCo...
Spring Security核心类
txd2016_5_11的博客
01-29 538
Spring Security核心类包括:Authentication、SecurityContextHolder、AuthenticationManager 和 AuthenticationProvider、UserDetailsService、JdbcDaoImpl、InMemoryDaoImpl以及GrantedAuthority。 、Authentication         A...
Spring-Security-Demo-master.zip
12-26
Spring SecuritySpring Boot整合实操详解》 在IT领域,Spring SecuritySpring Boot是两个极为重要的组件,它们为开发者提供了强大的安全管理和应用程序构建能力。本篇将详细讲解如何将Spring Security集成到...
Spring-Security-源码分析及认证流程
lbmydream的博客
06-06 1350
快速了解Spring Security 认证流程
SpringSecurity】详细核心类与过滤器流程讲解和封装通用组件实战
xiaoxualg的博客
03-20 1501
Spring Security个功能强大且高度可定制的认证和访问控制框架,是保护基于 Spring 的应用程序的标准工具。它是个专注于为 Java 应用程序提供认证和授权的框架,实际上它是 Spring 生态系统中负责安全方面的重要成员。认证回答了"你是谁?"的问题,是确认用户身份的过程。核心工作流程:授权回答了"你能做什么?"的问题,是确定用户是否有权执行特定操作的过程。核心工作流程:表示当前通过认证的用户,通常包含用户标识(如用户名)和授予的权限。表示授予用户的特定权限,通常分为:Spring
详解springsecurity组件
最新发布
工匠精神coding,终生学习
05-26 762
详解springsecurity架构、认证流程、安全以及代码组件
spring-security核心类解析--整理中....
徐靖峰的专栏
03-31 4618
前言这篇文章可能会陆续更新很久,主要是不定有空,有精力整理那么多。不太习惯连载教程,网上其他的博客也很多了。可不太令我满意的是,大多数spring-security的配置都是停留在xml配置,springboot如何整合spring-security讲解的不多。所以本篇博客的定位是基于javaConfig,结合springboot的些自动配置,详解spring-security核心类和接
Spring Security架构和核心类
bangiao的博客
02-03 452
剩下的还有些涉及到登录成功后怎么做, 登录失败后怎么做, 出现认证异常怎么做, 出现拒绝访问异常怎么做这每个背后都会有个接口, 提供功能, 都会有默认实现, 这里讲的全是传统web, 以后前后端分离会讲我想想还有什么没想到的…OAuth?还是JWT相关?忘了是直接使用的这个[外链图片转存中…(img-itryaGJZ-1675433602434)]剩下的还有些涉及到登录成功后怎么做, 登录失败后怎么做, 出现认证异常怎么做, 出现拒绝访问异常怎么做。
spring security 核心类
DQchat的博客
08-14 255
Authentication Authentication 是个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为个 Authentication 具体实现类的对象,在登录认证成功之后又会生成个信息更全面,包含用户权限等信息的 Authentication 对象,然后把它保存在 SecurityContextHolder 所持有的 SecurityContext 中,供...
SpringSpring Security 核心类介绍及Spring Security 的验证机制
No8g攻城狮的博客
07-01 1735
Authentication 用来表示用户认证信息,在用户登录认证之前,Spring Security 会将相关信息封装为个 Authentication 具体实现类的对象,在登录认证成功之后又会生成个信息更全面、包含用户权限等信息的 Authentication 对象,然后把它保存在 SecurityContextHolder 所持有的 SecurityContext 中,供后续的程序进行调用,如访问权限的鉴定等。SecurityContext 中含有当前所访问系统的用户的详细信息。
spring security核心类说明
天地为炉
08-08 655
Authentication SecurityContextHolder AuthenticationManager和AuthenticationProvider 认证成功后清除凭证 UserDetailsService JdbcDaoImpl InMemoryDaoImpl GrantedAuthority 原文:http://elim.iteye.com/blog/2...
Spring Security(03)——核心类简介
Elim的博客
11-13 269
核心类简介 目录 1.1     Authentication 1.2     SecurityContextHolder 1.3     AuthenticationManager和AuthenticationProvider 1.3.1    认证成功后清除凭证 1.4     UserDetailsService 1.4.1    JdbcDaoImpl 1.4.2   ...
Spring Security:架构及其核心类
weixin_40270125的博客
01-05 467
这篇文章主要是阅读Spring Security官方文档后,关于Spring Security中的身份验证和访问控制原理的摘要。 1Spring Security核心组件 1.1 SecurityContextHolder, SecurityContext and Authentication Objects The most fundamental object isSecuri...
浅析Spring Security 核心组件
qq_44005305的博客
02-09 668
近几天在网上找了Spring Security 和JWT 的例子来学习,项目地址是:作为学习Spring Security还是不错的,通过研究该 demo 发现自己对 Spring Security知半解,并没有弄清楚Spring Seurity的流程,所以才想写篇文章先来分析分析Spring Security核心组件,其中参考了官方文档及其些大佬写的Spring Security分析文章,有雷同的地方还请见谅。
Spring Security核心类介绍
ruanhao1203的专栏
01-24 1137
1.1     Authentication        Authentication是个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为个Authentication具体实现类的对象,在登录认证成功之后又会生成个信息更全面,包含用户权限等信息的Authentication对象,然后把它保存在SecurityContextHolder所持有的SecurityContext
spring-security-web 5.6.1 中文API文档详解
1. spring-security-web-5.6.1.jar:这是个Java归档文件,包含了Spring Security Web模块的核心功能代码,用于在Java项目中引入Spring Security Web模块。 2. spring-security-web-5.6.1-javadoc.jar:这是个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值