Spring Security 的工作原理

最新推荐文章于 2025-11-19 17:27:13 发布
原创 最新推荐文章于 2025-11-19 17:27:13 发布 · 931 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #oracle #java

Spring Security 是一个功能强大且广泛应用于保护基于 Spring 框架开发的应用程序的安全框架。

主要有三个阶段

认证(Authentication)阶段:

  • 当用户尝试访问受保护的资源时,首先会被引导至登录页面或触发登录操作。
  • 用户提交包含用户名和密码等登录凭证的信息。
  • Spring Security 接收到这些登录信息后,会将其与预先配置的数据源(如数据库、LDAP 目录服务等)中存储的用户信息进行比对和验证。
  • 如果登录信息与数据源中的记录相匹配,Spring Security 会创建一个包含用户详细信息和权限的认证令牌(Authentication Token)。这个令牌将在后续的请求中用于表示用户的身份。

授权(Authorization)阶段:

  • 每当用户发出对特定资源的请求时,Spring Security 会拦截该请求。
  • 它会获取当前请求中的认证令牌,并从中提取用户的身份和权限信息。
  • 然后,根据预先配置的授权规则和策略,来判断用户是否具备访问所请求资源的权限。
  • 这些授权规则可以基于角色(Role)、权限(Permission)、访问控制列表(ACL)等多种方式进行定义。

安全上下文(Security Context)管理方面:

  • 整个认证和授权的相关信息会被存储在安全上下文中。
  • 安全上下文在应用程序的运行期间是可访问的,使得各个组件能够方便地获取用户的身份和权限信息,从而做出相应的处理决策。

相关整合的配置

  1. 数据源配置:

    • 这是至关重要的一步,需要准确配置数据库连接信息,以确保能够从数据库中获取用户的详细信息、角色和权限数据。例如,如果使用 MySQL 数据库,需要配置数据库 URL、用户名、密码等参数。

  2. 用户详情服务(UserDetailsService)配置:

    • 可以实现自定义的用户详情服务,以满足特定的用户数据获取和处理逻辑。比如,可能需要从多个数据源整合用户信息,或者对用户数据进行额外的转换和处理。

  3. 认证方式配置:

    • Spring Security 支持多种认证方式,如常见的表单登录、HTTP 基本认证、OAuth 认证等。以表单登录为例,可以自定义登录页面的样式、表单字段名称、登录失败处理逻辑等。

  4. 授权规则配置:

    • 可以通过注解(如 @PreAuthorize 、 @PostAuthorize 等)在方法级别进行细粒度的授权控制。也可以在配置文件中,使用通配符和正则表达式来定义针对不同 URL 路径和请求方法的访问权限。 
      /**
 * 安全配置类,用于配置 Spring Security 的相关设置
 */
@Configuration  // 表明这是一个 Spring 配置类
@EnableWebSecurity  // 启用 Spring Security 的 Web 安全功能
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 重写配置认证管理器构建器的方法
     * @param auth 认证管理器构建器
     * @throws Exception 可能抛出的异常
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 配置内存中的认证信息
        auth.inMemoryAuthentication()  // 启用内存认证方式
           .withUser("user1")  // 添加用户 "user1"
           .password("{noop}password1")  // 设置密码
           .roles("USER")  // 赋予 "USER" 角色
           .and()  // 继续添加用户
           .withUser("admin")  // 添加用户 "admin"
           .password("{noop}password2")  // 设置密码
           .roles("ADMIN");  // 赋予 "ADMIN" 角色
    }

    /**
     * 重写配置 HTTP 安全的方法
     * @param http HTTP 安全对象
     * @throws Exception 可能抛出的异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 开始配置授权请求规则
        http.authorizeRequests()  
           .antMatchers("/admin/**").hasRole("ADMIN")  // 匹配 /admin/** 路径,要求具有 "ADMIN" 角色
           .antMatchers("/user/**").hasRole("USER")  // 匹配 /user/** 路径,要求具有 "USER" 角色
           .anyRequest().authenticated()  // 其他任何请求都需要用户已认证
           .and()  // 继续配置
           .formLogin()  // 启用表单登录
           .loginPage("/login")  // 设置登录页面路径
           .defaultSuccessUrl("/home")  // 设置登录成功后的默认跳转路径
           .failureUrl("/login?error=true");  // 设置登录失败后的跳转路径
    }
}

      以上是一个Security配置类的例子可以按照自己的实际需求改变,想要使用还需要引用相关依赖例如

      <dependencies>
    <!-- Spring Security 核心依赖 -->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.7.0</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>5.7.0</version>
    </dependency>
    <!-- 其他可能需要的依赖,例如数据库连接、日志等 -->
    <!-- 具体根据项目需求添加 -->
</dependencies>

      将这个依赖导入到maven的pom中

 总结

        Spring Security 提供了高度灵活和可定制的安全解决方案,而且正确配置和理解其工作原理对于确保应用程序的安全性很重要。

DCDDDDcccc
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security工作原理
m0_62222133的博客
10-21 371
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建一个名为 springSecurityFilterChain 的Servlet过滤器,类型为 org.springframework.security.web.FilterChainProxy,它实现了javax.s
SpringSecurity——基本原理
小志的博客
09-22 3592
一、Spring Security的理解 Spring Security最核心的是过滤器链,也就是一组过滤器(Filter),所有的访问服务的请求都会经过spring security的过滤器,服务的响应也会经过spring security的过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
Spring Security 使用方法及实现原理
最新发布
u011265143的专栏
11-19 798
Spring Security 是一个功能强大且高度可定制的**身份验证和访问控制**框架,是 Spring 生态系统中保护基于 Spring 的应用程序的事实标准。它专注于为 Java 应用程序提供全面的安全性解决方案。
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 4415
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
SpringSecurity工作原理小解读
iteye_1043的博客
07-07 355
  SecurityContextPersistenceFilter   ConcurrentSessionFilter   WebAsyncManagerIntegrationFilter   HeaderWriterFilter   CsrfFilter   LogoutFilter   UsernamePasswordAuthenticationFilter   Defau...
Spring Security 原理
Flying_Fish_roe的博客
09-27 2103
Spring Security 通过其核心组件和灵活的架构提供了强大的安全保护能力。理解其核心原理,如、过滤器链和授权机制,可以帮助开发者更好地设计和实现安全可靠的 Java 应用程序。
项目总结:Spring Security工作原理
weixin_46117680的博客
07-25 853
根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。FilterChainProxy是一个代理,真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter,同时这些Filter作为Bean被Spring管理,它们是Spring Security核心,各有各的职责,但他们并不直接处理用户的。
springsecurity原理流程图.pdf
09-08
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,它是安全领域中Spring生态系统的一部分。Spring Security旨在为Java应用程序提供一个全面的安全解决方案,尤其适用于企业级应用场景。它主要...
Spring Security基本原理
花&败
07-17 3504
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
SpringSecurity基本原理
11-12
Security基本执行过程的分析和各个环节类执行的分析。
spring security 工作原理
liming0025的专栏
12-14 615
一、结构概览 spring security 解决的问题就是“安全访问控制”,而这些无法避免对请求进行拦截,所以可以想到其使用的就是常见的Filter链。 SecurityContextPersistenceFilter:守门员,出口也是入口,初始化相关框架环境 UsernamePasswordAuthernticationFilter:账号密码验证 ->AuthenticationManagert FilterSecurityInterceptor:授权验证->AccessDeci
Spring Security原理
qixiang_chen的博客
06-30 1592
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
Spring Security内部工作原理
allway2的博客
11-18 667
Spring 安全性是 Spring提供的一个框架,有助于自定义访问和身份验证过程。它在保护应用程序方面起着非常关键的作用。Spring 安全性,主要侧重于身份验证和授权,为 Java 应用程序提供所有好处。它非常有用,并提供了一种在实际项目中应用的简单方法。并且,允许在实际项目中进行自定义修改。
Spring Security工作原理/总体架构
swadian2008的博客
07-20 1786
这些过滤器的排序是Spring官方提供的,后来Spring可能觉得这样展示的意义不大,删去了这部分内容, 补充了一些从日志查看过滤器加载顺序的说明。//首先说,这里就是 Spring Security工作原理,重中之重,非常重要,虽然讲的是一个异常过滤器,但是实际上是一个执行流程。// 在Spring 中,Spring 管理过滤器的生命周期,所以 Filter 实例也是 Spring 中的一个Bean。//见名知意,过滤器链的代理 FilterChainProxy 中会持有过滤器链的对象。
spring security 基本原理
weixin_47460834的博客
06-27 1410
spring security本质上就是一个过滤器链(javaweb),由很多个过滤器组成,大概有十几个;其中比较典型的过滤器:其实spring security出现得比springboot还要早,但是自从有了spirngboot之后,springboot对spring security提供了自动化配置方案,可以使用更少配置来使用。虽然有springboor,还是要了解spring security过滤器加载过程:在spring security应用中会用到两个重要的接口: 在实际项目中,账号和
Spring Security 原理讲解
qq_34485381的博客
06-19 1066
一、整理了解下Spring Security工作原理 如上图所示,spring security 的主要工作就是在原有的网络请求的过滤器链(ApplicationFilterChain)中额外添加一条过滤器链(FilterChainProxy),主要用于用户认证与授权。 请求进入web容器经一些容器自身的基础加工后,进入到servlet的滤器链中,spring security 使用DelegatingFilterProxy这个filter,将targetBea...
springsecurity工作原理
07-27
Spring Security是一个功能强大的身份验证和授权框架,用于保护Java应用程序中的资源。它基于过滤器链的概念来实现安全性。 Spring Security工作原理可以概括如下: 1. 配置:首先,你需要配置Spring Security来定义安全规则和策略。这通常包括配置文件和注解的使用。 2. 过滤器链:Spring Security使用一条过滤器链来拦截请求并执行安全检查。每个过滤器都有特定的功能,例如身份验证、授权等。 3. 身份验证:当用户发送请求时,Spring Security会检查用户的身份验证信息。这可以是基于表单登录、HTTP基本认证、OAuth等不同的机制。 4. 访问控制:一旦用户通过身份验证,Spring Security会根据已定义的规则和策略来授权用户对资源的访问。这可以通过角色、权限等方式进行配置。 5. 安全上下文:Spring Security会创建一个安全上下文对象来保存用户的安全信息,包括认证状态、角色、权限等。这个上下文对象在整个应用程序中都可以访问。 6. 异常处理:如果用户未通过身份验证或未获得授权,Spring Security会引发相应的异常。你可以定义自己的异常处理程序来处理这些异常。 总体而言,Spring Security通过配置、过滤器链、身份验证、访问控制和安全上下文等机制来保护应用程序的安全性。它提供了灵活的配置选项和扩展点,使开发人员能够根据自己的需求来定制和扩展安全功能。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值