Spring Security源码解析

最新推荐文章于 2024-08-12 17:06:41 发布
原创 最新推荐文章于 2024-08-12 17:06:41 发布 · 1.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

      现在流行的通用授权框架有apache的shiro和Spring家族的Spring Security,在涉及今天的微服务鉴权时,需要利用我们的授权框架搭建自己的鉴权服务,今天总理了Spring Security,便于在微服务架构体系中拓展.对于shiro之前用过,单体应用使用起来还是很灵活轻便的.

#################################################################

Spring Security是通过AccessDecisionManager进行授权管理的.就先从他开打.

Spring Security访问决策管理中,我们能看到基于实现AccessDecisionManager ,Spring Security内部实现这个接口的有4个类,逐个查看:


AbstractAccessDecisionManager:

这个抽象类从图可以看到实际下面被继承了3个类,分别是3种不同的投票策略.这里不一一说明了,有兴趣的可以翻阅源码.


3种不同的策略分别是:

AffirmativeBased的策略:

  • 只要有投通过(ACCESS_GRANTED)票,则直接判为通过。
  • 如果没有投通过票且反对(ACCESS_DENIED)票在两个及其以上的,则直接判为不通过。

UnanimousBased的策略:

  • 无论多少投票者投了多少通过(ACCESS_GRANTED)票,只要有反对票(ACCESS_DENIED),那都判为不通过。
  • 如果没有反对票且有投票者投了通过票,那么就判为通过。

ConsensusBased的策略:

  • 通过的票数大于反对的票数则判为通过。
  • 通过的票数小于反对的票数则判为不通过。
  • 通过的票数和反对的票数相等,则可根据配置allowIfEqualGrantedDeniedDecisions(默认为true)进行判断是否通过。

###################################################################

源码中可以看出这三种不同的策略都用到了AccessDecisionVoter接口(访问决策投票器),接口定义了投票方法


投票方法Spring Security内部实现了2种,如图


AuthenticatedVoter:先判定用户是否通过登录认证,没有投反对票,在内部根据用户登录包含的角色信息获取用户实际的权限和当前的请求需要的角色匹配

RoleVoter:只处理ROLE_开头的配置角色参数进行投票(可通过配置rolePrefix的值进行改变)

上面已认证投票方法中需要注意的是:

当前的请求需要的角色和用户登录包含的角色信息获取用户实际的权限这2个核心参数Spring Scerity是如何管理的呢?

我们接着往下走读,查看Spring Scerity core源码


这里userdetails目录全是是Spring Security 管理的用户信息.

这里不一一描述了,需要深入了解可以查看官方源码,主要实现思路如下:


UserDetails中getAuthorities方法,用来获取当前用户所具有的角色,在实际项目中可以根据这个方法描述当前用户的角色

最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security源码解析(一)
qq_40577332的博客
05-30 3500
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
spring security 源码解析
stormwyrm的博客
03-30 1868
最近闲暇时间有空来看下spring secrity ,spring secrity 有很多种方式方式,那么我只看了通过数据库获取信息校验,若有什么不妥请及时告知我 spring secrity 第一个入口是一个filter 拦截请求 public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationExcept..
spring security源码解析
最新发布
tbb678822的博客
08-12 1971
spring security源码解析
Spring Security源码分析
sober_pluto的博客
06-19 1058
SpringSecurity源码分析
SpringSecurity源码分析
吴大侠的博客
11-27 259
一、过滤器链加载源码 1.1 过滤器链加载流程分析 1.2 过滤器链加载流程源码分析 1.2.1 spring boot启动中会加载spring.factories文件, 在文件中有对应针对Spring Security的过滤器链的配置信息 # 安全过滤器自动配置 org.springframework.boot.autoconfigure.security.servlet.Security...
Spring Security源码解析(二)
qq_40577332的博客
05-31 1324
上篇文章已经简述了Spring Security是什么和Spring Security的整体架构设计,下面我们分析一下Spring Security主流程的源码,进一步的加深对Spring Security的了解。 Spring Security主流程源码解析 上篇文章中已经提到Spring Security主要的类和接口分别为DetegatingFilterProxy、FilterChainProxy和SecurityFilterChain,对于主流程的源码解析主要围绕这些类进行。本篇文章是根据S..
spring security框架使用及源码解析(保姆级教程)
边走、边悟、迟早变好
06-28 2310
Spring 框架已经作为企业级应用开发的事实上的标准,而作为 Spring 的亲儿子、专注于企业级应用安全领域的 Spring Security 从出生开始自然备受关注。Spring Security 在诞生之后,由于其对Spring框架的无缝集成、灵活度高、场景多样化以及对OAuth标准的实现,能够满足企业在认证和授权上的各种需求;作为 Apache 的顶级项目的 Shiro 差不多能够满足企业级应用系统对于安全性以及稳定性的要求,但是因为出身的问题,关注度持续走低。
spring security源码分析.pdf
07-11
spring security源码分析.pdf
SpringSecurity源码解析
zheyangyebuxingaaa的博客
01-08 628
Springboot 下 SpringSecurity 的自动配置源码解读
SpringSecurity 认证流程源码详细解读
m0_51431003的博客
05-09 2062
如果这些校验都通过,就会将 result 返回。没错,他就是在套娃!点进入去之后,我们来到了 AuthenticationManager 接口,但这只是一个接口,显然不是我们要的,具体的实现代码应该在实现类中,所以我们继续选择 ProviderManager ,他是 AuthenticationManager 接口的一个实现类。点进去,发现这是 AbstractUserDetailsAuthenticationProvider 接口中的方法,而且只有一个实现,那我们继续进入实现类实现的方法。
Spring Security源码解析
yu1755128147的博客
02-16 197
1、在web.xml文件中配置过滤器的filter-name的名字一定需要是springSecurityFilterChain 2、在spring-security.xml文件中配置信息的由来
Spring Security 源码分析
snkkka163的博客
07-26 460
Spring Security 源码分析 1.Spring Security基本执行流程分析: 现在假设我们要发送一个新的请求给我们的项目,默认我们的项目已经配置了Spring Security 这个请求会先进入 1.UsernamePasswordAuthenticationFilter: 验证我们的请求中是否有这个过滤器所需要的信息,比如说账号密码 如果说带了账号密码,那将会尝试使用这些参数进行登录,如果没有带这个过滤器所需要的参数,那就往下走,进入BasicAuthenticationFilter
SpringSecurity源码解析
lz710117239的博客
06-07 813
SpringSecurityspring家族中的一份子,关于使用方式我们不多说,我们看下其执行源码路径如何,介绍依赖于注解的配置。因为我们的项目中采用了Spring5的Reactor响应式框架,它底层是基于netty的网络编程。所以程序入口是在NioEventLoop的run方法中:如下:try { processSelectedKeys(); ...
SpringSecurity源码解析(一)
baidu_40492134的博客
01-25 733
SpringSecurity登录流程源码解析
Spring Security源码解析(一)——认证和鉴权
demon7552003的小本本
07-16 1603
Spring Security解决用户认证(Authentication)和用户授权(Authorization)2个问题。 源码地址:https://github.com/spring-projects/spring-security/tree/5.2.1.RELEASE 认证过程 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager { Authe
springsecurity源码解析
09-15
Spring Security 是一个功能强大且广泛使用的安全框架,用于保护 Java 应用程序的身份验证和授权。它提供了一套全面的安全解决方案,包括认证、授权、攻击防护等功能。 Spring Security源码是开源的,可以从官方仓库(https://github.com/spring-projects/spring-security)获取到。在源码中,主要包含以下几个关键模块: 1. 核心模块(Core):提供了基本的认证和授权功能,包括用户身份认证、访问控制等。核心模块的源码位于 `spring-security-core` 包下。 2. Web 模块(Web):提供了与 Web 应用程序集成的相关功能,如基于 URL 的授权、Web 表单登录、记住我功能等。Web 模块的源码位于 `spring-security-web` 包下。 3. 配置模块(Config):提供了基于 Java 配置和 XML 配置的方式来配置 Spring Security。配置模块的源码位于 `spring-security-config` 包下。 4. 测试模块(Test):提供了用于测试 Spring Security 的工具和辅助类。测试模块的源码位于 `spring-security-test` 包下。 在源码中,你可以深入了解 Spring Security 的内部工作原理、各个组件之间的协作关系以及具体的实现细节。可以通过跟踪调试源码,了解每个功能是如何实现的,从而更好地理解和使用 Spring Security。 请注意,Spring Security源码是非常庞大且复杂的,需要一定的时间和精力去深入研究。建议在阅读源码之前,先对 Spring Security 的基本概念和使用方法有一定的了解,这样会更有助于理解源码中的内容。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值