Spring Security(11)——匿名认证

最新推荐文章于 2025-02-18 09:34:05 发布
最新推荐文章于 2025-02-18 09:34:05 发布
阅读量903 收藏
点赞数
分类专栏: spring Security 文章标签: Spring Security ROLE_ANNOYMOUS AnonymousAuthenticationToken AuthenticationTrustResolver 匿名
本文深入探讨Spring Security中关于匿名认证的配置、原理及其实现细节,包括如何启用或禁用匿名认证、相关类的作用及其配置方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

匿名认证

目录

1.1     配置

1.2     AuthenticationTrustResolver

 

       对于匿名访问的用户,Spring Security支持为其建立一个匿名的AnonymousAuthenticationToken存放在SecurityContextHolder中,这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断SecurityContextHolder中持有的Authentication对象是否为null了,而直接把它当做一个正常的Authentication进行使用就OK了。

 

1.1     配置

       使用NameSpace时,http元素的使用默认就会启用对匿名认证的支持,不过我们也可以通过设置http元素下的anonymous元素的enabled属性为false停用对匿名认证的支持。以下是anonymous元素可以配置的属性,以及它们的默认值。

      <security:anonymous enabled="true" key="doesNotMatter" username="anonymousUser" granted-authority="ROLE_ANONYMOUS"/>

 

       key用于指定一个在AuthenticationFilterAuthenticationProvider之间共享的值。username用于指定匿名用户所对应的用户名,granted-authority用于指定匿名用户所具有的权限。

       与匿名认证相关的类有三个,AnonymousAuthenticationToken将作为一个Authentication的实例存放在SecurityContextHolder中;过滤器运行到AnonymousAuthenticationFilter时,如果SecurityContextHolder中持有的Authentication还是空的,则AnonymousAuthenticationFilter将创建一个AnonymousAuthenticationToken并存放在SecurityContextHolder中。最后一个相关的类是AnonymousAuthenticationProvider,其会添加到ProviderManagerAuthenticationProvider列表中,以支持对AnonymousAuthenticationToken的认证。AnonymousAuthenticationToken的认证是在AbstractSecurityInterceptor中的beforeInvocation()方法中进行的。使用http元素定义时这些bean都是会自动定义和添加的。如果需要手动定义这些bean的话,那么可以如下定义:

   <bean id="anonymousAuthFilter"

   class="org.springframework.security.web.authentication.AnonymousAuthenticationFilter">

      <property name="key" value="doesNotMatter" />

      <property name="userAttribute" value="anonymousUser,ROLE_ANONYMOUS" />

   </bean>

 

   <bean id="anonymousAuthenticationProvider"

   class="org.springframework.security.authentication.AnonymousAuthenticationProvider">

      <property name="key" value="doesNotMatter" />

   </bean>

 

       key是在AnonymousAuthenticationProviderAnonymousAuthenticationFilter之间共享的,它们必须保持一致,AnonymousAuthenticationProvider将使用本身拥有的key与传入的AnonymousAuthenticationTokenkey作比较,相同则认为可以进行认证,否则将抛出异常BadCredentialsExceptionuserAttribute属性是以usernameInTheAuthenticationToken,grantedAuthority[,grantedAuthority]的形式进行定义的。

 

1.2     AuthenticationTrustResolver

       AuthenticationTrustResolver是一个接口,其中定义有两个方法,isAnonymous()isRememberMe(),它们都接收一个Authentication对象作为参数。它有一个默认实现类AuthenticationTrustResolverImplSpring Security就是使用它来判断一个SecurityContextHolder持有的Authentication是否AnonymousAuthenticationTokenRememberMeAuthenticationToken。如当ExceptionTranslationFilter捕获到一个AccessDecisionManager后就会使用它来判断当前Authentication对象是否为一个AnonymousAuthenticationToken,如果是则交由AuthenticationEntryPoint处理,否则将返回403错误码。

 

(注:本文是基于Spring Security3.1.6所写)

(注:原创文章,转载请注明出处。原文地址:http://elim.iteye.com/blog/2163041

 

 

Spring Security 6.x 系列【63】扩展篇之匿名认证
记录知识、锤炼自我
07-19 1485
一般在应用系统中,除了登录、主页外,其他都需要用户经过认证才能访问。一般都采用deny-by-default(默认拒绝)来设置访问控制策略。即明确规定允许哪些可以直接访问,除此之外的都需要认证授权。 在Spring Security中,会将未认证的请求都设置为匿名认证用户,提供了一种更方便的方式来配置访问控制属性。另一方面,未认证时,SecurityContextHolder中也总是包含一个匿名的Authentication对象,避免为NULL,增强了代码健壮性。
spring |Spring Security安全框架 —— 认证流程实现
鳄鱼杆的博客
10-13 924
介绍的话不多说,就一句:Spring Security 是一个安全管理框架。一般用于中大型项目。小项目使用shiro,shiro上手简单。小项目练手用也是相当可以的。好吧!这是三句话,没跑。SpringSecurity5.7.0之前 - 常见的 Spring HTTP Security 配置类都会继承一个 WebSecurityConfigureAdapter 类。 - 从 5.7.0-M2 起,WebSecurityConfigureAdapter 被废弃了,不推荐使用。 - 组件化,更加灵活。
11. pring Security 匿名认证
一个人的人生
11-29 1062
匿名认证 目录 1.1     配置 1.2     AuthenticationTrustResolver          对于匿名访问的用户,Spring Security支持为其建立一个匿名AnonymousAuthenticationToken存放在SecurityContextHolder中,这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断Se
Spring Security 入门(1-5)Spring Security - 匿名认证
weixin_34346099的博客
06-16 264
匿名认证 对于匿名访问的用户,Spring Security 支持为其建立一个匿名AnonymousAuthenticationToken 存放在 SecurityContextHolder 中,这就是所谓的匿名认证。这样在以后进行权限认证或者做其它操作时我们就不需要再判断 SecurityContextHolder 中持有的 Authentication 对象是否为 null 了,而直接把它...
Spring Security OAuth 匿名认证的使用
m13012606980的专栏
09-14 3738
Spring Security OAuth 匿名认证的使用AnonymousAuthenticationFilter配置匿名访问的资源路径自定义匿名访问注解自定义注解AnonymousAccess动态获取匿名访问路径获取@AnonymousAccess标注的接口为空问题反射获取@AnonymousAccess标注的接口 AnonymousAuthenticationFilter spring security 默认提供了一个匿名身份验证的过滤器AnonymousAuthenticationFilter,默认
(翻译)Spring Security-2.0.x参考文档“匿名认证
xyz20003的专栏
08-05 303
匿名认证 17.1. 概述 有时,特别是在web请求URI安全的情况里,为每个安全对象的调用都分配一个配置属性更方便。 不同的是,有时默认需要一个ROLE_SOMETHING更好一些,这个规则只允许一些特定例外,比如登录,注销,系统的首页。 也有需要匿名认证的其他情况,比如审核拦截器查询SecurityContextHolder来确定哪个主体可以使用对应的操作。 如果它们能确定Securi...
SpringSecurity认证与鉴权框架SpringSecurity——认证
低调做人,低调编码,神码都是浮云
06-22 1071
认证与鉴权框架SpringSecurity——认证
SpringSecurity认证与鉴权框架SpringSecurity——授权
低调做人,低调编码,神码都是浮云
06-24 1541
认证与鉴权框架SpringSecurity——授权
SpringSecurity实战入门——认证
GSON的博客
06-19 478
Spring 家族中的一个安全管理框架。相比与另外一个安全框架,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行和。而认证和授权也是SpringSecurity作为安全框架的核心功能。
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
Spring Security匿名用户
热门推荐
来啊 快活啊
06-13 1万+
Spring Security为我们提供了一个匿名用户的功能,我们可以基于此很容易的实现匿名用户的单独控制,使我们的站点轻松拥有游客用户的功能;如果开启了匿名用户的功能,按照Spring Security Filter的执行顺序,AnonymousAuthenticationFilter在ExceptionTranslationFilter的前面,在各种认证机制和RememberMeAuthenti
SpringSecurity使用注解匿名访问接口
zhk
08-24 911
SpringSecurity使用注解匿名访问接口
匿名认证(Anonymous Authentication)
呜呼哈
04-05 5074
通常认为采用“默认拒绝”是一种良好的安全实践,在这种情况下,您可以明确指定允许的内容,并禁止其他内容。定义未经身份验证的用户可以访问的内容也是类似的情况,特别是对于 web 应用程序。许多站点要求用户必须对除了一些 url (例如主页和登录页面)以外的任何内容进行身份验证。在这种情况下,为这些特定 url 定义访问配置属性比为每个安全资源定义访问配置属性更容易。换句话说,有时候说 role_something 是默认需要的,并且只允许该规则的某些异常,比如用于应用程序的登录、注销和主页。您还可以从过滤器链中
为智慧城市应用提供移动云计算安全通信的高效匿名认证技术
Chahot的博客
03-16 6091
如今,移动用户的数量在近年来有了相当大的增长。用户可以在移动过程中通过移动设备使用多种云计算服务。然而,由于无线通信媒介的开放性,提供对这些服务的安全访问是困难的。本文提出了一种适用于智慧城市移动云计算应用的高效匿名互鉴技术。在这种技术中,移动用户()Ui和服务提供商()Sj都需要向对方证明其合法性,因此合法的Ui可以以高效和安全的方式利用所有的云计算服务。安全分析部分显示了所提出的匿名认证技术在各种安全攻击下的安全强度,性能分析部分表明所提出的方法在计算开销方面比现有方案更有效。
Spring Security 自定义匿名访问注解:让你的权限控制更灵活!
Leaton的博客
02-18 1168
通过本文的学习,你不仅能掌握自定义注解的技巧,还能提升对 Spring Security 权限控制机制的理解。通过本文的学习,我们成功地自定义了一个“匿名访问”注解,并将其集成到 Spring Security 的权限控制体系中。这种方式不仅提升了代码的可维护性和可扩展性,还为我们的项目提供了更灵活的权限控制方案。然而,在实际开发中,我们可能会遇到一些特殊的场景,比如需要为“匿名用户”单独设置访问规则,或者希望以更灵活的方式控制权限。但有时候,默认的注解无法满足我们的需求。中添加对其他注解的支持。
Spring Security 如何允许对同一地址进行匿名和身份验证访问
m13012606980的专栏
09-28 2957
场景描述 可能在开发过程中设置了一个匿名访问地址,但这个地址我们同时也想让它能够进行身份验证访问。就比如一个地址你把它分享出去就可以匿名访问,但如果这个地址如果没有被分享出去在系统内部或者在app中就可以进行身份验证访问。 遇到的问题 Spring Security 版本:4.1.0.RELEASE。现在版本到 5.5.2 为啥不用最新的,我只能说我也想。 Spring Security中默认对匿名访问的设置是如果你当前请求的地址为匿名访问设置,并且没有携带token的话,Spring Security会在
三.SpringSecurity基础-认证原理
墨家巨子@俏如来
08-27 4372
1.认证流程原理 1.1.认证流程 SpringSecurity是基于Filter实现认证和授权,底层通过FilterChainProxy代理去调用各种Filter(Filter链),Filter通过调用AuthenticationManager完成认证 ,通过调用AccessDecisionManager完成授权。流程如下图: SpringSecurity中核心的过滤器链详细如下: SecurityContextPersistenceFilter 这个filter是整个filter链的入口和出口,请
SpringSecurity(九)从请求对象获取登录数据
陈橙橙
03-13 2371
上两篇我们主要讨论了一下从SecurityContextHolder中获取数据以及他的原理,这里我们来看一下第二种方法获取请登录数据,从当前请求种对象种获取。 从请求对象中获取 我们首先来看一下获取登录数据的代码,如下: @GetMapping("/authentication") public void authentication(Authentication authentication){ System.out.println("authentication = "+ a.
spring security 原理
最新发布
05-13
### Spring Security 工作原理及实现机制 #### 一、Spring Security 的核心架构 Spring Security 的核心是基于 **Servlet 过滤器链** 构建的。它通过一系列过滤器(`SecurityFilterChain`),按预定顺序拦截并处理 HTTP 请求,从而提供安全性功能[^2]。 这些过滤器的主要职责包括但不限于: - **身份验证(Authentication)**: 验证用户的身份。 - **授权(Authorization)**: 确定已认证用户是否有权访问某个资源。 - **会话管理(Session Management)**: 控制用户的会话生命周期。 - **跨站请求伪造防护(CSRF Protection)**: 提供针对 CSRF 攻击的安全措施。 - **记住我(Remember-Me)**: 实现自动登录的功能[^3]。 #### 二、Spring Security 的主要组件及其作用 以下是 Spring Security 中的关键组成部分: 1. **WebSecurityConfigurerAdapter** - 用户可以通过自定义 `WebSecurityConfigurerAdapter` 类来配置安全策略。例如,在配置类中指定密码编码方式以及启用某些特性[^1]。 ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() // 允许匿名访问公共路径 .anyRequest().authenticated(); // 所有其他请求都需要认证 http.formLogin(); // 启用表单登录 } } ``` 2. **SecurityFilterChain** - 它是一组按照固定顺序执行的过滤器集合。每个过滤器专注于完成某项具体任务。例如,`UsernamePasswordAuthenticationFilter` 处理基于用户名和密码的登录请求;`AnonymousAuthenticationFilter` 则用于未登录状态下的匿名用户支持[^5]。 3. **AuthenticationManager 和 AuthenticationProvider** - 认证过程由 `AuthenticationManager` 协调完成。它可以委托给多个 `AuthenticationProvider` 来验证不同类型的凭证(如数据库中的用户记录或 LDAP 服务)。如果任意一个 provider 成功返回,则认为整个认证成功[^2]。 4. **AccessDecisionManager** - 授权决策由 `AccessDecisionManager` 负责实施。此管理者依据角色权限判断当前主体是否被允许执行操作或者访问受保护的对象。 5. **Remember Me 功能** - 当启用了 “记住我” 特性后,即使浏览器关闭后再重新打开页面也能保持登录状态。这是由于系统会在客户端存储加密后的 token 数据作为标识符,并在下次加载网页时尝试解析该令牌恢复之前的 session[^3][^5]。 6. **异常处理器 (ExceptionTranslationFilter)** - 此过滤器捕获来自下游过滤器抛出的各种安全相关异常事件(比如 AccessDeniedException 或 AuthenticationCredentialsNotFoundException),并将它们转换成相应的 HTTP 响应码发送回前端显示错误提示信息。 7. **退出登出逻辑 (LogoutFilter)** - LogoutFilter 监听特定 URL 模式的注销请求,清理掉与之关联的所有 sessions 并重定向到指定位置结束本次交互周期。 #### 三、基本流程概述 当一个请求到达服务器端口时,经过如下几个阶段依次流转直至最终响应结果反馈至客户端为止: 1. 初始化阶段 —— 创建上下文环境; 2. 应用层前置条件校验 —— 如 IP 黑白名单限制等初步筛选动作; 3. 主体认证环节 —— 对发起者进行核实确认真实身份; 4. 资源级许可判定 —— 根据既定规则评估能否继续深入探索目标地址内容; 5. 输出渲染呈现 —— 将合法的数据封装好传送给远端设备展示出来。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值