Spring Security (一) 核心组件

最新推荐文章于 2025-03-20 16:05:47 发布
原创 最新推荐文章于 2025-03-20 16:05:47 发布 · 631 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Spring Security的认证流程,包括SecurityContextHolder的作用、Authentication接口的功能、AuthenticationManager的工作原理、DaoAuthenticationProvider的具体实现以及UserDetails与UserDetailsService的职责。

1、SecurityContextHolder

SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。

获取用户信息

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (!authentication.isAuthenticated()){
    return null;
}

Object principal = authentication.getPrincipal();
String username = null;
if (principal instanceof org.springframework.security.core.userdetails.UserDetails){
     username = ((UserDetails) principal).getUsername();
}else {
    username = principal.toString();
}
return username;

getAuthentication()返回认证信息getPrincipal()返回身份信息。UserDetails是Spring对身份信息封装的一个接口

2、Authentication

/**
 * Authentication在spring security中是最高级别的身份/认证的抽象
 */
public interface Authentication extends Principal, Serializable {
	/**
	 * 权限信息列表,GrantedAuthority的实现类
	 * @return
	 */
	Collection<? extends GrantedAuthority> getAuthorities();

	/**
	 * 密码信息,用户输入的密码字符串,在认证过后通常会被移除,用于保障安全。
	 * @return
	 */
	Object getCredentials();
    
	/**
	 * 细节信息,web应用中的实现接口通常为 WebAuthenticationDetails,它记录了访问者的ip地址和sessionId的值
	 * @return
	 */
	Object getDetails();

	/**
	 * 身份信息
	 * @return
	 */
	Object getPrincipal();

	/**
	 * 是否认证
	 * @return
	 */
	boolean isAuthenticated();

	/**
	 * 设置是否认证
	 * @param isAuthenticated
	 * @throws IllegalArgumentException
	 */
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}
Spring Security是如何完成身份认证的?
  1. 用户名和密码被过滤器获取到,封装成Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。
  2. AuthenticationManager 身份管理器负责验证这个Authentication
  3. 认证成功后,AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除)Authentication实例。
  4. SecurityContextHolder安全上下文容器将第3步填充了信息的Authentication,通过SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中。

3、AuthenticationManager

public interface AuthenticationManager {
	Authentication authenticate(Authentication authentication)
			throws AuthenticationException;
}

AuthenticationManager接口是认证的核心接口,也是发起认证的出发点。在实现需求中,用户可能需要用户名/密码,手机/密码,或者开放平台unionId登录等等,所以AuthenticationManager并不直接认证。

ProviderManagerAuthenticationManager常用的实现类。ProviderManager维护着一个 List<AuthenticationProvider>列表,存放多种认证方式,最终实际的认证工作是由 AuthenticationProvider完成的。在默认策略下,只需要通过一个AuthenticationProvider的认证,即可被认为是登录成功。也就是说,核心的认证入口始终只有一个:AuthenticationManager

ProviderManager代码

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {

    //AuthenticationProvider列表
    private List<AuthenticationProvider> providers;

    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Class<? extends Authentication> toTest = authentication.getClass();
        AuthenticationException lastException = null;
        AuthenticationException parentException = null;
        Authentication result = null;
        Authentication parentResult = null;
        boolean debug = logger.isDebugEnabled();
        
        //AuthenticationProvider列表的Iterator
        Iterator var8 = this.getProviders().iterator();

        //依次认证
        while(var8.hasNext()) {
            AuthenticationProvider provider = (AuthenticationProvider)var8.next();
            //是否支持
            if (provider.supports(toTest)) {
                if (debug) {
                    logger.debug("Authentication attempt using " + provider.getClass().getName());
                }

                try {
                    //认证
                    result = provider.authenticate(authentication);
                    if (result != null) {
                        this.copyDetails(authentication, result);
                        break;
                    }
                } catch (InternalAuthenticationServiceException | AccountStatusException var13) {
                    this.prepareException(var13, authentication);
                    throw var13;
                } catch (AuthenticationException var14) {
                    lastException = var14;
                }
            }
        }

        if (result == null && this.parent != null) {
            try {
                result = parentResult = this.parent.authenticate(authentication);
            } catch (ProviderNotFoundException var11) {
            } catch (AuthenticationException var12) {
                parentException = var12;
                lastException = var12;
            }
        }

        // 如果有Authentication信息,则直接返回
        if (result != null) {
            ////移除密码
            if (this.eraseCredentialsAfterAuthentication && result instanceof CredentialsContainer) {
                ((CredentialsContainer)result).eraseCredentials();
            }

            // //发布登录成功事件
            if (parentResult == null) {
                this.eventPublisher.publishAuthenticationSuccess(result);
            }

            return result;
            //认证失败,包装异常信息
        } else {
            if (lastException == null) {
                lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound", new Object[]{toTest.getName()}, "No AuthenticationProvider found for {0}"));
            }

            if (parentException == null) {
                this.prepareException((AuthenticationException)lastException, authentication);
            }

            throw lastException;
        }
    }

ProviderManager 中的List,会依照次序去认证,认证成功则立即返回,若认证失败则返回null,下一个AuthenticationProvider会继续尝试认证,如果所有认证器都无法认证成功,则ProviderManager 会抛出一个ProviderNotFoundException异常。

4、DaoAuthenticationProvider

DaoAuthenticationProvider最常用的一个实现类

在这里插入图片描述

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {

	private static final String USER_NOT_FOUND_PASSWORD = "userNotFoundPassword";

	private PasswordEncoder passwordEncoder;
    
    //
    private UserDetailsService userDetailsService;
    
    //检索用户,
	protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
            //UserDetailsService  通过用户名去检索用户,实现中一般从数据库中
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}
}

DaoAuthenticationProvider.retrieveUser()只是检索用户,真正认证的逻辑在父类AbstractUserDetailsAuthenticationProvider

AbstractUserDetailsAuthenticationProvider中的认证代码

5、UserDetails与UserDetailsService

UserDetails接口,它代表了最详细的用户信息

public interface UserDetails extends Serializable {

	/**
	 * 权限
	 * @return
	 */
	Collection<? extends GrantedAuthority> getAuthorities();

	/**
	 * 密码
	 * @return
	 */
	String getPassword();


	/**
	 * 用户名
	 * @return
	 */
	String getUsername();


	/**
	 * 是否账号过期
	 * @return
	 */
	boolean isAccountNonExpired();


	/**
	 * 是否锁定
	 * @return
	 */
	boolean isAccountNonLocked();


	/**
	 * 用户凭证(密码)是否过期
	 * @return
	 */
	boolean isCredentialsNonExpired();


	/**
	 * 启用禁用
	 * @return
	 */
	boolean isEnabled();
}

UserDetailsService只负责从特定的地方(通常是数据库)加载用户信息,UserDetailsService常见的实现类有JdbcDaoImplInMemoryUserDetailsManager,前者从数据库加载用户,后者从内存中加载用户,也可以自己实现UserDetailsService,通常这更加灵活。

public interface UserDetailsService {
   UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

认证流程

常是数据库)加载用户信息,UserDetailsService常见的实现类有JdbcDaoImplInMemoryUserDetailsManager,前者从数据库加载用户,后者从内存中加载用户,也可以自己实现UserDetailsService,通常这更加灵活。

public interface UserDetailsService {
   UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

认证流程

在这里插入图片描述

SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
Spring Security 核心配置详解
AI天才研究院
08-06 1525
Spring Security个用于认证、授权、加密和保护基于Spring的应用的框架。在 Spring Security 中,用户身份验证由 AuthenticationManager 提供,而访问控制则由 AccessDecisionManager 来处理。Spring Security 对 Web 请求进行拦截并检查是否已经认证通过,如果没有通过,将会拒绝访问请求;通过认证之后,AccessDecisionManager 将对访问请求进行评估,判断当前用户是否拥有相应权限。
Spring Security的基本组件
weixin_40991408的博客
05-20 683
Spring Security的基本组件
SpringSecurity:深入浅出(1)
weixin_30839881的博客
08-15 190
SpringSecurity:深入浅出(1) SecurityContextHolder   SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。   SecurityContextHolder默认使用Thre...
浅析Spring Security 核心组件
qq_44005305的博客
02-09 668
近几天在网上找了Spring Security 和JWT 的例子来学习,项目地址是:作为学习Spring Security还是不错的,通过研究该 demo 发现自己对 Spring Security知半解,并没有弄清楚Spring Seurity的流程,所以才想写篇文章先来分析分析Spring Security核心组件,其中参考了官方文档及其些大佬写的Spring Security分析文章,有雷同的地方还请见谅。
SpringSecurity 核心组件介绍
weixin_57763462的博客
07-05 396
SecurityContextHolder SecurityContextHolder它持有的是安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等,这些都被保存 SecurityContextHolder默认使用ThreadLocal 策略来存储认证信息。看到ThreadLocal 也就意味着,这是种与线程绑定的策略。在web环境下,Spring Security在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证
20个SpringSecurity框架核心组件详解
威哥爱编程,优快云 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
03-22 1384
其运行过程是在用户发送请求时被调用,根据请求的路径匹配相应的 SecurityFilterChain,并按照配置的安全过滤器链对请求进行处理。SecurityContextHolderSpring Security 中非常重要的组件之,它为安全框架的运行提供了关键的支持。通过配置不同的过滤器链,开发人员可以实现灵活的安全策略,包括身份验证、授权、会话管理等功能。通常情况下,开发人员需要实现自己的 UserDetails 类,从数据源中加载用户信息,并提供相应的方法来获取用户的身份信息和权限信息。
【第七篇】SpringSecurity核心组件和核心过滤器
筱白爱学习!的博客
06-14 1371
SpringSecurity中的核心组件、核心过滤器SecurityContextPersistenceFilter和CsrfFilter过滤器详解
SpringSecurity】详细核心类与过滤器流程讲解和封装通用组件实战
最新发布
xiaoxualg的博客
03-20 1493
Spring Security个功能强大且高度可定制的认证和访问控制框架,是保护基于 Spring 的应用程序的标准工具。它是个专注于为 Java 应用程序提供认证和授权的框架,实际上它是 Spring 生态系统中负责安全方面的重要成员。认证回答了"你是谁?"的问题,是确认用户身份的过程。核心工作流程:授权回答了"你能做什么?"的问题,是确定用户是否有权执行特定操作的过程。核心工作流程:表示当前通过认证的用户,通常包含用户标识(如用户名)和授予的权限。表示授予用户的特定权限,通常分为:Spring
SpringCloud】Spring Security核心组件
See_Star的博客
06-01 1280
Spring Security核心组件SecurityContextHolderSecurityContext、Authentication..
浅析 Spring Security 核心组件
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-08 485
前言近几天在网上找了Spring Security 和JWT 的例子来学习,项目地址是https://github.com/szerhusenBC/jwt-spring-security-demo作为学习Spring Security还是不错的,通过研究该 demo 发现自己对Spring Security知半解,并没有弄清楚Spring Seurity的流程,...
Spring (29)Spring Security核心组件
qq_43012298的博客
05-31 527
系列安全拦截器的基类,例如用于方法安全的和用于web请求安全的。这些拦截器会在访问受保护资源前进行拦截,以确保按照的决策执行访问控制。负责做出访问决策,其内部使用组来投票决定是否允许访问特定资源。Spring Security核心组件共同工作,为Spring应用提供了综合的安全解决方案。通过理解和配置这些组件,开发者可以灵活地适应不同的安全需求,保护应用免受未授权访问。
Spring Security 架构简介
公众号:Java后端
11-26 426
、技术概述1.1 Spring vs Spring Boot vs Spring Security1.1.1 Spring FrameworkSpring Framework 为开发 Java 应用程序提供了全面的基础架构支持。它包含了些不错的功能,如 "依赖注入",以及些现成的模块:Spring JDBCSpring MVCSpring SecuritySpring AOPSpring O...
走近科学之探秘 Spring Security核心组件
yangjnsjbad的博客
06-13 621
SecurityContextHolder 顾名思义,他是个 holder,用于持有的是安全上下文(security context)的信息。SecurityContextHolder 记录如下信息:当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色或权限等等。在典型的 web 应用程序中,用户登录次,然后由其会话 ID 标识。服务器缓存持续时间会话的主体信息。有人可能对 Tomcat 建立会话的流程还不熟悉,这里稍微整理下。SecurityContext 对象实际存储于 Tomcat Http
Spring Security——组件
violetlove的专栏
09-05 497
Security Interceptor:         Security Interceptor组件是Spring Security中最重要的组件,它用来鉴定个请求是否可以访问某个资源。包含个抽象类AbstractSecurityInterceptor,以及两个具体的实现类FilterSecurityInterceptor 以及MethodSecurityInterceptor。 ...
spring-security(九)-核心组件
高枫的博客
02-17 398
前言: 本文主要介绍在spring security中的几个核心组件,以及他们之间是怎样相互协作的。 环境: spring boot 版本:1.5.4.RELEASE 1.核心组件SecurityContextHolder SecurityContextHolderspring security中最基本的组件,是用来存储我们应用的安全上下文的,包含了当前系统认证用户的...
SpringSecurity 核心组件介绍 + 认证流程 +内置拦截器顺序
方才coding
06-17 8183
目录 SpringSecurity 核心组件介绍 SecurityContextHolder SecurityContext AuthenticationManager ProviderManager AuthenticationProvider Authentication GrantedAuthority UserDetails UserDetailsServi...
Spring Security详解()认证之核心组件和服务
热门推荐
Jagger的博客
06-22 1万+
文章目录什么是Spring Security验证?1.核心组件1.1 SecurityContextHolder1.2 Authentication1.3 UserDetails 和 UserDetailsService1.4 UserDetailsService1.5 AuthenticationManager1.6 AuthenticationProvider1.7 总结 什么是Spring Security验证? 让我们考虑个大家都很熟悉的标准的验证场景。 提示用户输入用户名和密码进行登录。 该
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值