SpringSecurity源码的初探

最新推荐文章于 2025-04-29 06:39:02 发布
最新推荐文章于 2025-04-29 06:39:02 发布
阅读量728 收藏 27
点赞数 29
分类专栏: Spring Security 文章标签: java spring security 源码解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jy739761380/article/details/145705255
版权

一、SpringSecurity中的核心组件

  在SpringSecurity中的jar分为4个,作用分别为

jar 作用
spring-security-core SpringSecurity的核心jar包,认证和授权的核心代码都在这里面
spring-security-config 如果使用Spring Security XML名称空间进行配置或Spring Security的
Java configuration支持,则需要它
spring-security-web 用于Spring Security web身份验证服务和基于url的访问控制
spring-security-test 测试单元

1.SecurityContextHolder

  首先来看看在spring-security-core中的SecurityContextHolder,这个是一个非常基础的对象,存储了当前应用的上下文SecurityContext,而在SecurityContext可以获取Authentication对象。也就是当前认证的相关信息会存储在Authentication对象中。

image.png

  默认情况下,SecurityContextHolder是通过 ThreadLocal来存储对应的信息的。也就是在一个线程中我们可以通过这种方式来获取当前登录的用户的相关信息。而在SecurityContext中就只提供了对Authentication对象操作的方法

public interface SecurityContext extends Serializable {
   

	Authentication getAuthentication();

	void setAuthentication(Authentication authentication);

}

xxxStrategy的各种实现

image.png

策略实现 说明
GlobalSecurityContextHolderStrategy 把SecurityContext存储为static变量
InheritableThreadLocalSecurityContextStrategy 把SecurityContext存储在InheritableThreadLocal中
InheritableThreadLocal解决父线程生成的变量传递到子线程中进行使用
ThreadLocalSecurityContextStrategy 把SecurityContext存储在ThreadLocal中

2.Authentication

  Authentication是一个认证对象。在Authentication接口中声明了如下的相关方法。

public interface Authentication extends Principal, Serializable {
   

	// 获取认证用户拥有的对应的权限
	Collection<? extends GrantedAuthority> getAuthorities();

	// 获取哦凭证
	Object getCredentials();

    // 存储有关身份验证请求的其他详细信息。这些可能是 IP地址、证书编号等
	Object getDetails();

     // 获取用户信息 通常是 UserDetails 对象
	Object getPrincipal();

    // 是否认证
	boolean isAuthenticated();

    // 设置认证状态
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

image.png

  基于上面讲解的三者的关系我们在项目中如此来获取当前登录的用户信息了。

    public String hello(){
   
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        Object principal = authentication.getPrincipal();
        if(principal instanceof UserDetails){
   
            UserDetails userDetails = (UserDetails) principal;
            System.out.println(userDetails.getUsername());
            return</
最低0.47元/天 解锁文章
java技术专家 【安全框架第二篇】SpringSecurity源码初探
大壮
12-23 945
java技术专家 安全框架【第二篇】SpringSecurity源码初探
Spring Security 实战内容:Spring Boot 中的 Spring Security 自动配置初探
V539413949的博客
04-09 611
1. 前言 我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找.
spring-security源码
09-04
基于SpringSecurity4.2.2权限框架搭建教程的详细源码,实现用户登录时,验证其合法性,并通过security访问数据库可以获取到相对应角色和资源信息存储到SecurityContext里面等功能。
SpringSecurity代码核心
qq_46624276的博客
04-17 531
认证过滤器:通过attemptAuthentication方法进行认证,获取请求的账号密码为user对象,通过AuthenticationManager的authenticate方法,使用自己编写的UserDetailService进行认证,认证成功则调用successfulAuthentication方法,将用户的权限存储在redis中,返回token public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {
SpringSecurity将认证信息存入安全上下文
最新发布
pan_junbiao的博客
04-29 485
Spring Security 通过其核心组件 ‌SecurityContextHolder‌ 管理认证信息的存储和访问。认证信息存储的组件结构‌:SecurityContextHolder‌:作为安全上下文的持有者,默认使用 ThreadLocal 存储当前线程的 SecurityContext,确保不同线程间的上下文隔离。SecurityContext‌:包含当前用户的认证信息,核心属性为 Authentication 对象。
2.SpringSecurity源码初探
飘然渡沧海的博客
03-03 472
SpringSecurity源码
SpringSecurityOAuth核心源码解析
暴走猿人的博客
04-18 416
上一篇文章,实现了一个简单的SpringSecurityOAuth 应用,这一章,学习一下SpringSecurityOAuth的核心源码。 如上图所示 首先进入TokenEndpoint,来看一下源码 public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam...
spring security源码
qq_42338293的博客
03-21 178
我们在使用spring security时发现配置了一个过滤器 <!--security的过滤器--> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
Spring security初探
04-15
NULL 博文链接:https://yzxqml.iteye.com/blog/1756106
SpringSecurity简单入门
YIYIYI
05-21 483
SpringSecurity简单入门
Spring Security源码分析01.
x.1000001000的博客
01-29 154
安全框架主要实现: 提示:认证和授权 例如: 1、 掌握认证和授权 2、 剖析源码 入门案例: 搭建一个springboot的web工程主要依赖如下: 编写一个测试接口: 通过浏览器url访问该接口: 默认登录用户:user 密码控制台打印的: 这样就完成了一个简单的入门级demo。 security的基本原理: security的本质上一个过滤器链: 重点是三个过滤器: (1)FilterSecurityInterceptor::是一个方法级的权限过滤器, 基本位于过滤链的最底部。 查看源码
SpringSecurity源码
05-29
SpringSecurity教程配套源码 专栏地址:http://blog.youkuaiyun.com/column/details/springsecurity.html
Spring Security源码解析(二)
qq_40577332的博客
05-31 1308
上篇文章已经简述了Spring Security是什么和Spring Security的整体架构设计,下面我们分析一下Spring Security主流程的源码,进一步的加深对Spring Security的了解。 Spring Security主流程源码解析 上篇文章中已经提到Spring Security主要的类和接口分别为DetegatingFilterProxy、FilterChainProxy和SecurityFilterChain,对于主流程的源码解析主要围绕这些类进行。本篇文章是根据S..
Spring Security源码解析
格局决定一切,智恒方远
03-20 1909
      现在流行的通用授权框架有apache的shiro和Spring家族的Spring Security,在涉及今天的微服务鉴权时,需要利用我们的授权框架搭建自己的鉴权服务,今天总理了Spring Security,便于在微服务架构体系中拓展.对于shiro之前用过,单体应用使用起来还是很灵活轻便的.##############################################...
Spring-Security源码解析(权限)
Judy-命中注定与众不同
04-11 941
这里写自定义目录标题前言自定义登陆配置Security流程UsernamePasswordAuthenticationFilterAuthenticationManager和AuthenticationProviderUserDetailsService成功总结 前言 在读这篇文章之前请先读 https://blog.youkuaiyun.com/dtttyc/article/details/88950201...
security源码分析【转】
weixin_44771582的博客
02-28 108
https://www.cnblogs.com/xiaoqi/p/spring-security.html
Spring Security 源码解读 :基本架构及初始化
weixin_41866717的博客
02-02 1594
Spring Security 源码解读
SpringSecurity 认证流程源码详细解读
m0_51431003的博客
05-09 2005
如果这些校验都通过,就会将 result 返回。没错,他就是在套娃!点进入去之后,我们来到了 AuthenticationManager 接口,但这只是一个接口,显然不是我们要的,具体的实现代码应该在实现类中,所以我们继续选择 ProviderManager ,他是 AuthenticationManager 接口的一个实现类。点进去,发现这是 AbstractUserDetailsAuthenticationProvider 接口中的方法,而且只有一个实现,那我们继续进入实现类实现的方法。
SpringSecurity初探之认证源码分析
cjのice_bear
03-23 1961
首先,笔者初学SpringSecurity,因此本文章提供的观点不一定正确,笔者也没有具体求证(主要是能力有限)。因此请读者带着批判质疑的眼光浏览。 大概的原理分析(其实是别人分析过,这边进行总结) spring Security实现安全的级别有两种:web访问级别和方法调用级别。 首先我们需要知道的是:web访问级别通过一系列过滤器链实现安全,方法调用级别则是通过AOP实现安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

10年JAVA大数据技术研究者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值