Spring Security

最新推荐文章于 2025-05-23 17:03:50 发布
最新推荐文章于 2025-05-23 17:03:50 发布
阅读量159 收藏
点赞数 1
文章标签: java 后端
原文链接:https://shimo.im/docs/vpHYCRCtDgPxqtwH/read
版权

转载自:https://shimo.im/docs/vpHYCRCtDgPxqtwH/read 感谢军哥

核心功能

认证(身份校验,你是谁),授权(你能干什么),攻击防护(防止伪造身份)

认证过程:

在这里插入图片描述

核心组件

  • SecurityContextHolder类
    SecurityContextHolder 是最基本的对象,它负责存储当前安全上下文信息。即保存着当前用户是什么,是否已经通过认证,拥有哪些权限。。。等等。SecurityContextHolder默认使用ThreadLocal策略来存储认证信息,意味着这是一种与线程绑定的策略。在Web场景下的使用Spring Security,在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息。而在非Web场景下,比如Swing环境下,Spring提供在启动时使用策略配置SecurityContextHolder。
    源码中的三种策略:
    在这里插入图片描述
    MODE_THREADLOCAL:SecurityContext 存储在线程中。MODE_INHERITABLETHREADLOCAL:SecurityContext 存储在线程中,但子线程可以获取到父线程中的 SecurityContext。MODE_GLOBAL:SecurityContext 在所有线程中都相同。SecurityContextHolder默认使用MODE_THREADLOCAL模式,即存储在当前线程中。
    在这里插入图片描述
    获取有关当前用户的信息
    在这里插入图片描述
  • Authentication类
    authentication 直译过来是“认证”的意思,在Spring Security 中Authentication用来表示当前用户是谁,一般来讲你可以理解为authentication就是一组用户名密码信息。Authentication也是一个接口
    在这里插入图片描述
    从这个接口中,我们可以得到用户身份信息,密码,细节信息,认证信息,以及权限列表,具体的详细解读如下:
  1. getAuthorities(),权限列表,通常是代表权限的字符串列表;
  2. getCredentials(),密码信息,由用户输入的密码凭证,认证之后会移出,来保证安全性;
  3. getDetails(),细节信息,Web应用中一般是访问者的ip地址和sessionId;
  4. getPrincipal(), 最重要的身份信息,一般返回UserDetails的实现类;
  5. isAuthenticated: 获取当前 Authentication 是否已认证。
  6. setAuthenticated: 设置当前 Authentication 是否已认证(true or false)。
    官方文档里说过,当用户提交登陆信息时,会将用户名和密码进行组合成一个实例UsernamePasswordAuthenticationToken,而这个类是Authentication的一个常用的实现类,用来进行用户名和密码的认证,类似的还有RememberMeAuthenticationToken,它用于记住我功能。
UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, null);SecurityContextHolder.getContext().setAuthentication(token);
  • UserDetails
    上文提到了UserDetails接口,它代表了最详细的用户信息,这个接口涵盖了一些必要的用户信息字段,具体的实现类对它进行了扩展,首先来看一下源码:
    在这里插入图片描述
    它和Authentication接口类似,都包含了用户名,密码以及权限信息,而区别就是Authentication中的getCredentials来源于用户提交的密码凭证,而UserDetails中的getPassword取到的则是用户正确的密码信息,认证的第一步就是比较两者是否相同,除此之外,Authentication#getAuthorities是认证用户名和密码成功之后,由UserDetails#getAuthorities传递而来。而Authentication中的getDetails信息是经过了AuthenticationProvider认证之后填充的。
  • UserDetailsService
    UserDetailsService 只有一个方法,就是从特定的地方(一般是从数据库中)加载用户信息。
    在这里插入图片描述
    通常在spring security应用中,我们会自定义一个CustomUserDetailsService来实现UserDetailsService接口,并实现其public UserDetails loadUserByUsername(final String login);方法。我们在实现loadUserByUsername方法的时候,就可以通过查询数据库(或者是缓存、或者是其他的存储形式)来获取用户信息,然后组装成一个UserDetails,(通常是一个org.springframework.security.core.userdetails.User,它继承自UserDetails) 并返回。在实现loadUserByUsername方法的时候,如果我们通过查库没有查到相关记录,需要抛出一个异常来告诉spring security来“善后”。这个异常是org.springframework.security.core.userdetails.UsernameNotFoundException。
  • AuthenticationManager
    在这里插入图片描述
    AuthenticationManager接口只包含一个方法,那就是认证,它是认证相关的核心接口,也是发起认证的出发点。实际业务中可能根据不同的信息进行认证,所以Spring推荐通过实现AuthenticationManager接口来自定义自己的认证方式.Spring提供了一个默认的实现,ProviderManager。AuthenticationManager 的作用就是校验Authentication,如果验证失败会抛出AuthenticationException异常。AuthenticationException是一个抽象类,因此代码逻辑并不能实例化一个AuthenticationException异常并抛出,实际上抛出的异常通常是其实现类,如DisabledException,LockedException,BadCredentialsException等。BadCredentialsException可能会比较常见,即密码错误的时候。
  • AuthenticationProvider
    在这里插入图片描述
    AuthenticationProvider接口提供了两个方法,一个是真正的认证,另一个是满足什么样的身份信息才进行如上认证。Spring 提供了几种AuthenticationProvider的实现:
DaoAuthenticationProvider从数据库中读取用户信息验证身份
AnonymousAuthenticationProvider匿名用户身份认证
RememberMeAuthenticationProvider已存cookie中的用户信息身份认证
AuthByAdapterProvider使用容器的适配器验证身份
CasAuthenticationProvider根据Yale中心认证服务验证身份,用于实现单点登陆
JaasAuthenticationProvider从JASS登陆配置中获取用户信息验证身份
RemoteAuthenticationProvider根据远程服务验证用户身份
RunAsImplAuthenticationProvider对身份已被管理器替换的用户进行验证
X509AuthenticationProvider从X509认证中获取用户信息验证身份
TestingAuthenticationProvider单元测试时使用

当然也可以自己实现AuthenticationProvider接口来自定义认证。这里我们基于最常用的DaoAuthenticationProvider来详细解释一下:
在这里插入图片描述
在Spring Security中。提交的用户名和密码,被封装成了UsernamePasswordAuthenticationToken,而根据用户名加载用户的任务则是交给了UserDetailsService,在DaoAuthenticationProvider中,对应的方法便是retrieveUser,虽然有两个参数,但是retrieveUser只有第一个参数起主要作用,返回一个UserDetails。还需要完成UsernamePasswordAuthenticationToken和UserDetails密码的比对,这便是交给additionalAuthenticationChecks方法完成的,如果这个void方法没有抛异常,则认为比对成功。
总结:
在这里插入图片描述

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 详解
As_Yua的博客
07-31 1万+
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 2万+
本文详细介绍了如何在SpringBoot项目中整合SpringSecurity实现用户身份认证和权限管理。首先,创建SpringBoot项目并导入相关依赖,包括Spring Security、Web、Fastjson、MySQL等。接着,通过自定义用户登录认证流程,使用UserDetailsService接口实现用户
Spring Security 原理
Flying_Fish_roe的博客
09-27 1960
Spring Security 通过其核心组件和灵活的架构提供了强大的安全保护能力。理解其核心原理,如、过滤器链和授权机制,可以帮助开发者更好地设计和实现安全可靠的 Java 应用程序。
springcloud集成Spring Security
youxmm的博客
07-21 3838
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
Spring Security配置
qq_46005551的博客
03-27 2546
2.LoginSuccessHandler(登录成功处理器)六、创建handler(处理器)与config(配置)层。1.LoginFailHandler(登录失败处理器)1.SecurityApplication(主方法)3.NoLoginHandler(未登录处理器)4.NoAuthHandler(无权限处理器)1.CorsConfig(处理跨域申请)四、配置.xml文件(维护SQL语句)七、配置handler(处理器)层。t_user(用户信息表)t_anth (角色表)八、配置congfig层。
SpringSecurity认证
小钟不想敲代码
05-28 5393
SpringSecurity认证
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 7193
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
初识C++:模版
2401_87194328的博客
05-23 218
该博客主要讲解模版的相关内容
Java 09Stream流与File类
asom12的博客
05-20 779
startWith(“张”)
canal实现mysql数据同步
最新发布
那些乐趣的博客
05-23 609
1、canal下载进入页面可以选择需要安装的版本下载canal.deployer-1.1.8.tar.gz和canal.admin-1.1.8.tar.gz2、mysql同步用户创建和授权在canal-admin解压文件的conf中有一个canal_manager.sql,导入到master数据库3、canal admin安装和启动把canal.admin-1.1.8.tar.gz上传到linux解压 tar -zvxf canal.admin-1.1.8.tar.gz。
Android 14 Binderized HAL开发实战指南(AIDL版)
Deep Lee的专栏
05-23 97
本文介绍了如何在Android 14中开发Binderized HAL服务,使用AIDL定义接口并实现HAL服务。首先,环境要求包括Android 14源码编译环境、AOSP android-14.0.0_r7分支、Soong构建系统、Java 17和NDK r25c。项目结构分为接口定义、实现层和SELinux策略。实现步骤包括定义AIDL接口、实现HAL服务、编写服务入口代码,并配置构建文件和SELinux策略。最后,通过VINTF配置确保服务在系统中可用,并提供了客户端调用示例。
Spring Security基础模板指南
在本例中,我们所谈论的“springSecurity模板”指的是一个基于Spring SecuritySpring MVC的项目模板,它为用户提供了快速搭建安全web应用的基础结构。 首先,我们来详细解析一下Spring SecuritySpring Security...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值