Spring-Security

最新推荐文章于 2023-03-07 14:36:12 发布
原创 最新推荐文章于 2023-03-07 14:36:12 发布 · 728 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨Spring Security框架中的认证与授权机制,详细介绍了FORM_LOGIN_FILTER过滤器的工作流程,包括认证请求处理、未认证对象创建及验证、认证管理器的功能与Provider的选择过程,以及如何实现权限控制。

Spring-Security是spring的一个权限管理框架,对于我们需要知道的就是他的认证和授权功能。spring3+对于其整个权限管理架构的过滤器链已经进行了屏蔽。我们可以对器过滤器链的某个进行修改获得与我们业务更加合拍的权限管理,我们需要关心的就是spring-security的两个功能,认证和授权。他和Acegi security的认证架构是一致的,不过Acegi security不再进行更新。

认证,对于认证spring提供了不同层次的认证,顺序为:①数字证书认证(X509_FILTER)②CAS认证CAS_FILTER③用户登录域的验证(FORM_LOGIN_FILTER),这也是我们经常使用的验证,对于不是特定的需求,我们一般不进行数字证书等的验证。而只是对其username和password进行验证。

username/password的认证我们使用的是【FORM_LOGIN_FILTER】这个过滤器。这一个过滤器默认的实现类是UsernamePasswordAuthenticationFilter,其继承了AbstractAuthenticationProcessingFilter类,主要的作用为:①判断url请求是否是一个认证请求(默认的认证请求是j_spring_security_check)②对于是认证的请求则进行前期数据判断(for-example:username,password is not null)③创建一个未经认证的Authenticate对象,例如:UsernamePasswordAuthenticationToken对象,其继承【AbstractAuthenticationToken】,将用户名、密码存入其中,可以以UserDetails的对象形式存储,这时我们自定义的authentication中getName方法就要好好写,以后的用户名来源于此方法。④setDetails()使用创建一个额外信息的保存,例如sessionId等主要存放的是request的一些详情;⑤将未认证的Authenticate交予与之关联的认证管理器进行认证⑥对认证通过的对象保存在SecurityContextHolder容器中。⑦多人登录的限制问题session控制, sessionStrategy.onAuthentication(authResult,request, response);

认证管理器中提供了一些列的provider,我们在FORM_LOGIN_FILTER过滤器中创建的未认证的authentication对象会选择一个provider进行认证,认证管理器要做的就是对于不同的authenticate交给不同的认证管理器进行认证,因此每一个provider需要说明其适合于认证哪一种authenticate,所以对于provider需要复写一个方法supports(Class <? extend Object>),Class中isAssignableFrom(Class)判定此Class 对象所表示的类或接口与指定的Class 参数所表示的类或接口是否相同,或是否是其超类或超接口。

对于合适的provider需要对未认证的Authenticate进行认证,一个provider跟一个userDetailsService进行关联。userDetailsService将根据用户名来加载用户信息(loadUserDetailsByUsername(String username)),返回一个UserDetails对象。provider会从userDetails对象中提取password和我们未认证的对象中的密码进行比对,成功则创建一个已认证的对象返回。

  对于认证通过的对象,那么Authenticate中认证标示是true。这时候其SecurityIntercept过滤器会对这个给对象的访问权限进行判断和授权。具体为:①判定Authenticate对象是否为已经认证通过,如果没有,调用认证管理器进行认证。②创建安全环境,将认证通过的{对象、request、response}等包装成一个security0bject对象。这个对象需要继承AbstractSecurityIntercept.③将安全对象(securityObject)交予与之关联的访问决策器accessDecisionManager进行决策。对于授权的这个过滤器其实在服务器启动的时候他就知道了所有的ConfigAttribute(配置属性,使用Map存储),当我们进行请求授权的时候,我们传递过去的安全对象可以解析出一个url,根据这个url使用urlMarcher去返回一个你请求的配置属性。这样将配置属性使用getAttribute()方法获得你访问所需的权限,再使用已认证的Authentication中的getAuthority()方法获得你已经拥有的权限进行对比,看一下你是否有权限访问。

ConfigAttribute和Authority对象相似,都提供了仅仅一个返回String的方法。

决策管理器用来对一个安全对象的请求给予合适的投票器①从securityObject中获得其请求的安全环境属性(ConfigAttribute)②从Authenticate对象中获取GrantAuthority数组对象。③交给投票器链头投票,策管理器中有多个voter,其有一个supports对象,用来指定这个voter用来对那个ConfigAttribute进行vote。

voter(投票器),隶属于决策管理器中,给特定的ConfigAttribute进行投票。同意 1,中立 0,拒绝 -1。对于自己管辖的ConfigAttribute进行投票(1或-1),对于不是自己管辖的ConfigAttribute则返回中立。对于投票成功将有访问的权利。

UserDetails和Authentication对象的关联

①  通过一个未认证的Authentication中的getName方法获取用户名,根据用户名UserDetailsService可以返回一个UserDetails对象,UserDetails对象中的getAuthorities()方法获得的权限集将会给Authentication对象

②  UserDetails对象中的getUsername和getPassword方法可以获得真正的数据用户名和密码,他和Authentication对象中的getCredentials()得到的密码进行比较,获得商户是否正确的一个说法,当然有passwordEncoder的使用会将getCredentials()获得的密码在加密后比较

③  对于UserDetails对象我们还可以保存在已认证的Authentication中。

④  如果认证的时候我们传递了一个未认证的authentication对象,回来的时候我们也有个已近认证的authentication对象,但这两个对象不是同一个,没任何管理。返回来的authentication对象中getPrincipal();就是我们userDetails对象,而未认证的authentication对象中这个方法我们仅仅存储了一个字符串。


胡萝卜_2014
关注
Spring Security认证:获得认证、持久化认证模块详解
lifetime_gear的博客
10-31 1320
目前包含获得认证模块详解与源码解析、持久化认证模块详解。
Shiro学习笔记
qq_42034205的博客
08-09 536
Shiro依赖 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.4.0</version> </dependency>
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 2309
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
Spring Security加密解密
程序员一博
08-03 8714
我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。这是一种可以从任何数据中创建数字“指纹”的方法,常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)等。散列函数通过把消息或数据压缩成摘要信息,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,再重新创建成一个散列值,从而达到加密的目的。散列值通常用一个短的随机字母和数字组成的字
01-SpringSecurity认证、授权
qq_42861526的博客
08-02 968
springSecurity的认证流程
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.0.7.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-security-core-5.0.7.RELEASE.jar; 赠送原API文档:spring-security-core-5.0.7.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.0.7.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 4211
loadUserByUsername携带多个参数
SpringSecurity OAuth2过滤器源码解读。
weixin_45111933的博客
07-31 2651
chain.doFilter源码。2,当用户访问时,比如(/oauth/token)uri时,第一个拦截的filter是ClientCredentialsTokenEndpointFilter,而拦截的方法,在其父类AbstractAuthenticationProcessingFilter的doFilter方法中。3,requiresAuthentication(request,response)方法,该方法主要是进行uri路径的匹配,只有当访问的uri是/oauth/token时,才会返回true。..
Shiro 身份认证中心获取token中账号密码的两种方式
m0_67392811的博客
04-07 2749
/** * 身份认证 * @param authenticationToken * @return * @throws AuthenticationException */ @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException .
spring security详解
You’re a wanderer just like me
02-28 1380
前言 目前手上几个项目用的权限认证都是Spring security,之前通过逛博看底层源码也多少研究了一下,今天就专门来整理一下这一块内容。整个配置下面都有代码块展示,直接复制即可使用。 认证流程 1、通过过滤器过滤到用户请求的接口,获取身份信息(假如有多个认证方式会配置provider的顺序) 2、一般将身份信息封装到封装成Authentication下的实现类UsernamePassword...
spring boot整合spring security(自定义验证方式)
lichuangcsdn的博客
07-03 2711
spring security支持传统的查询数据库方式,也即根据用户名查询出用户信息,然后再比较前端传来的密码和数据库中的密码。 这种方式很常用。但不适合通过第三方进行的授权认证模式。这时候,我们需要自己处理登录验证过程。 针对这些情况,我们需要自定义Authentication Provider @Component public class CustomAuthenticationPr...
SpringSecurity 用户名和密码的校验过程及自定义密码验证
热门推荐
z69183787的专栏
02-06 2万+
1、源码执行过程 1.执行 AuthenticationManager 认证方法 authenticate(UsernamePasswordAuthenticationToken) 2.ProviderManager 实现了 authenticate(UsernamePasswordAuthenticationToken) 3.ProviderManager 是通过自身管理的n个AuthenticationProvider认证提供者去进行认证 4.AuthenticationProvider认证提供
基于Shiro和JWT的无状态安全验证方案
weixin_46628206的博客
03-22 1465
本文涉及的源码地址:https://github.com/davidfantasy/shrio-with-jwt-spring-boot-starter 背景说明 用户权限管理是每个信息系统最基本的需求,对基于Java的项目来说,最常用的权限管理框架就是大名鼎鼎的Apache Shiro。Apache Shiro功能非常强大,使用广泛,几乎成为了权限管理的代名词。但对于普通项目来说,Shiro的设...
03-2 shiro身份验证
brusion的博客
09-19 462
03-2 shiro身份验证 在shiro中用户需要提供身份(principals)和证明(credentials)给shiro。从而应用可以验证用户身份。 principals:身份,主体的标识属性(用户名) credentials:证明/凭证,只有主体知道的安全值(密码) Subject:主体 Realm:数据源 本篇内容: 1、通过ini身份验证 2、身份验证流程 3、使用realm身...
SpringSecurity自定义密码验证规则
qq_40068304的博客
01-26 5425
1.创建MyAuthenticationProvider类,自定义密码验证规则 import com.yl.entity.User; import com.yl.security.AccountUser; import com.yl.service.UserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.A
spring-boot-starter-securityspring-security-config 包冲突
最新发布
10-25
<think>我们正在解决Spring Boot项目中`spring-boot-starter-security`与`spring-security-config`包之间的冲突问题。 冲突通常是由于版本不匹配引起的。`spring-boot-starter-security`是一个starter,它会引入一系列Spring Security相关的依赖,包括`spring-security-config`。如果我们单独引入`spring-security-config`且版本与starter中管理的版本不一致,就会导致冲突。 解决步骤: 1. **确认冲突**:使用Maven或Gradle的依赖树命令查看冲突。 2. **统一版本**:由于Spring Boot通过`spring-boot-starter-parent`管理依赖版本,推荐使用Spring Boot的依赖管理,避免手动指定版本。 3. **排除冲突**:如果确实需要引入其他版本的`spring-security-config`,可以在依赖中排除starter中的版本,然后引入指定版本(但需谨慎,确保兼容性)。 具体操作: **Maven项目**: 步骤1:查看依赖树,找到冲突 ``` mvn dependency:tree ``` 步骤2:在`spring-boot-starter-security`中排除`spring-security-config`(如果确实需要引入不同的版本,一般不推荐) ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <exclusions> <exclusion> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> </exclusion> </exclusions> </dependency> ``` 步骤3:然后单独引入你需要的`spring-security-config`版本(注意与Spring Boot版本的兼容性) ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>6.5.6</version> <!-- 确保此版本与Spring Boot管理的其他Spring Security组件兼容 --> </dependency> ``` **Gradle项目**: 步骤1:查看依赖树 ``` gradle dependencies ``` 步骤2:排除依赖并引入指定版本 ```gradle implementation('org.springframework.boot:spring-boot-starter-security') { exclude group: 'org.springframework.security', module: 'spring-security-config' } implementation 'org.springframework.security:spring-security-config:6.5.6' ``` **重要建议**: 1. **优先使用Spring Boot管理的版本**:Spring Boot的starter已经管理了Spring Security组件的版本,通常不需要单独引入`spring-security-config`。如果你需要特定功能,应该升级Spring Boot版本,因为Spring Boot会升级其管理的Spring Security版本。 2. **检查兼容性**:如果你必须使用不同版本的`spring-security-config`,请确保该版本与Spring Boot版本兼容。参考[Spring Boot官方文档](https://docs.spring.io/spring-boot/docs/current/reference/html/dependency-versions.html)中的版本对应关系。 3. **避免手动指定**:在绝大多数情况下,只需引入`spring-boot-starter-security`即可,它会自动引入正确版本的`spring-security-config`。 引用中提到Spring Security的配置(引用[1]和[4])以及版本管理(引用[3]),所以解决冲突的关键在于依赖管理。另外,引用[3]提到Spring Boot 2.0后默认使用Lettuce,这暗示了版本兼容性的重要性。 如果你在项目中同时引入了这两个依赖,且没有版本冲突,其实不需要排除。只有当出现版本不一致导致问题时,才需要按照上述步骤解决。 关于Spring Boot与Spring Security的版本对应关系,可参考以下表格(部分): | Spring Boot版本 | Spring Security版本 | |----------------|---------------------| | 3.2.x | 6.2.x | | 3.1.x | 6.1.x | | 3.0.x | 6.0.x | | 2.7.x | 5.7.x | | 2.6.x | 5.6.x | 对于6.5.6版本的`spring-security-config`,它需要Spring Boot 3.2.0及以上版本。因此,请确保你的Spring Boot版本与之匹配。 例如,使用Spring Boot 3.2.0,则默认的Spring Security版本是6.2.0。如果你想使用6.5.6,可以在Maven中覆盖版本属性: ```xml <properties> <spring-security.version>6.5.6</spring-security.version> </properties> ``` 这样,所有Spring Security相关的依赖(包括`spring-security-config`)都会升级到6.5.6,而Spring Boot的其他依赖保持不变。这种方式比排除更安全,因为保持了所有Spring Security模块版本一致。 总结:解决冲突的最佳实践是让Spring Boot统一管理版本,不要单独引入`spring-security-config`。如果必须引入,则排除starter中的版本并确保新版本兼容。 相关问题: 1. 如何查看Spring Boot与Spring Security的版本对应关系? 2. 在Maven中如何统一管理Spring Security的版本? 3. 排除依赖后出现ClassNotFoundError如何解决? 4. Spring Boot项目中如何升级Spring Security到指定版本? 5. 如何解决多个Spring Security模块版本不一致的问题? </think>### 解决 Spring Boot Security 依赖冲突的方法 当 `spring-boot-starter-security` 与 `spring-security-config` 发生版本冲突时,可通过以下步骤解决: --- ### 一、冲突原因分析 1. **版本不匹配**:`spring-boot-starter-security` 已包含 `spring-security-config`(如 Spring Boot 3.2.x 默认集成 Security 6.2.x),手动添加不同版本的 `spring-security-config` 会导致冲突[^1] 2. **隐性依赖**:其他依赖可能间接引入不同版本的 Security 组件 3. **配置重叠**:两个依赖提供的安全配置类可能重复加载 --- ### 二、解决方案(Maven项目示例) #### 方法1:统一依赖版本(推荐) 在 `pom.xml` 中仅保留 starter 依赖,移除手动添加的 config 依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- 移除以下手动添加的依赖 --> <!-- <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>xxx</version> </dependency> --> ``` #### 方法2:版本对齐 若需指定 Security 版本,通过属性统一管理: ```xml <properties> <spring-security.version>6.5.6</spring-security.version> </properties> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- 无需单独声明 config --> ``` #### 方法3:依赖排除 当其他组件引入冲突版本时: ```xml <dependency> <groupId>problematic.group</groupId> <artifactId>problematic-artifact</artifactId> <exclusions> <exclusion> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> </exclusion> </exclusions> </dependency> ``` --- ### 三、验证解决方案 1. **检查依赖树**: ```bash mvn dependency:tree -Dincludes=org.springframework.security ``` 输出应显示唯一版本: ``` [INFO] +- org.springframework.boot:spring-boot-starter-security:jar:3.2.0 [INFO] | \- org.springframework.security:spring-security-config:jar:6.2.0 ``` 2. **运行时验证**: ```java // 在启动类中检查版本 @SpringBootApplication public class App { public static void main(String[] args) { System.out.println("Security Config版本: " + HttpSecurity.class.getPackage().getImplementationVersion()); SpringApplication.run(App.class, args); } } ``` --- ### 四、Gradle解决方案 在 `build.gradle` 中统一版本: ```gradle ext { set('springSecurityVersion', '6.5.6') } dependencies { implementation 'org.springframework.boot:spring-boot-starter-security' // 不需要单独引入 config } // 强制所有模块使用统一版本 configurations.all { resolutionStrategy.eachDependency { details -> if (details.requested.group == 'org.springframework.security') { details.useVersion "${springSecurityVersion}" } } } ``` --- ### 五、最佳实践 1. **避免混合配置**:不要同时使用 `@EnableWebSecurity` 和 XML 配置 2. **优先使用 starter**:Spring Boot Starter 已优化依赖管理(引用[1]) 3. **兼容性检查**:通过 [Spring Boot 版本矩阵](https://spring.io/projects/spring-boot#support) 验证版本兼容性 4. **CSRF集成**:冲突解决后,默认 CSRF 保护会自动生效(引用[4]) > 经过上述处理,Security 配置类如 `HttpSecurity` 将正常加载,参考[^1]实现定制化安全配置 --- ### 相关问题 1. 如何查看 Spring Boot Starter 的隐性依赖树? 2. 多模块项目中如何统一管理 Spring Security 版本? 3. Spring Security 6.x 与 Spring Boot 3.x 的兼容性要求有哪些? 4. 依赖冲突导致 CSRF 保护失效时如何排查? 5. 除了 Maven/Gradle,还有哪些工具可以解决 Jar 包冲突?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值