Spring security 基本原理(一)

最新推荐文章于 2024-10-07 18:22:38 发布
原创 最新推荐文章于 2024-10-07 18:22:38 发布 · 281 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring Security

SpringSecurity是一个强大的安全框架,它提供了声明式的安全访问控制。核心功能包括认证和授权,通过一系列过滤器链实现。UsernamePasswordAuthenticationFilter负责获取用户信息,ExceptionTranslationFilter捕获认证异常,FilterSecurityInterceptor执行权限验证。配置SpringSecurity后,所有请求默认需要验证。在SpringBoot应用中,添加依赖并自定义WebSecurityConfigurerAdapter配置,即可快速实现安全控制。用户认证涉及AuthenticationManager、AuthenticationProvider和UserDetailsService等组件,授权则依赖于FilterInvocation、SecurityMetadataSource和AccessDecisionManager。了解这些核心组件,能更好地理解和使用SpringSecurity。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring Security介绍

Spring Security 是一个基于Spring的安全框架,Spring boot更好的集成了Spring Security的开发工作。在Spring 框架基础上,Spring Security 充分利用了依赖注入DI和 面向切面编程AOP功能,为应用系统提供声明式的安全访问控制功能,减少了企业安全控制编写大量重复代码的功能,是一个轻量级的安全框架。

Spring Security 的核心功能有哪些?

1、 认证(Authentication):指的是验证某个用户是否为系统的合法主体,也就是说用户能否访问该系统。
2、授权(Authorization):指的是验证某个用户是否有权限执行某个操作。

Spring Security原理

在这里插入图片描述
Spring Security 功能实现主要是由一系列的过滤器链相互配合完成的。
绿色的过滤器链可以通过配置进行修改的,其他部分的过滤器不能进行更改。

请求过程:

  • 请求通过UsernamePasswordAuthenticationFilter获取用户信息
  • ExceptionTransationFilter是认证异常进行捕获,
  • FilterSecurityInterceptor 是对在 WebSecurityConfigurerAdapter的实现类中的指定的权限进行验证。
  • 处理自己实现的controller 接口代码。

1、springSecurityFilterChain中各个过滤器怎么创建的只需了解即可。不要太过关注。

2、重点记忆UsernamePasswordAuthenticationFilter,ExceptionTranslationFilter, FilterSecurityInterceptor这三个过滤器的作用及源码分析。

3、重点记忆认证中Authentication,AuthenticationManager,ProviderManager, AuthenticationProvider,UserDetailsService,UserDetails这些类的作用及源码分析。

4、重点记忆授权中FilterInvoction,SecurityMetadataSource,AccessDecisionManager的作用。

框架的核心组件

SecurityContextHolder: 提供对SecurityContext的访问。
SecurityContext: 持有uthentication对象和其他可能需要的信息。
AuthenticationManager: 其中可以包含多个AuthenticationProvider。
ProviderManager: 为AuthenticationManager接口的实现类。
AuthenticationProvider: 主要用来进行认证操作的类,调用其中的authenticate()方法进行认证操作。
Authentication: Spring Security方式的认证主体。
GrantedAuthority: 对认证主题的应用层面的授权,含当前用于的权限信息,通常使用角色表示。
**UserDetails:**构建Authentication对象必须的信息,可以自定义,可能需要访问db得到。
**UserDetailsService:**通过username构建UserDetails对象,通过loadUserByUsername根据username获取UserDetails对象。

基于Spring boot的demo

1、 添加依赖

添加依赖后,默认所有的请求就都需要进行验证。

   <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2、自定义配置

实现WebSecurityConfigurerAdapter 类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 定义请求方式 是form表单 还是 basics模式
        http.formLogin()
//          http.httpBasic()
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();
    }
}

3、controller

@Controller
public class HelloController {

    @GetMapping("/hello")
    @ResponseBody
    public String hello () {
        return "hello spring security";
    }
}

当请求 /hello 时会自动跳转到login登录页面。
需要在配置类中 指定为 form表单格式。

basic模式:是通过请求头Authentication: Basic 的方式进行传输用户信息,在BasicAuthenticationFilter中进行base64 解码,获取用户信息。

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 原理
萧曳丶
07-27 908
需求满足:如果应用程序有特定的安全需求,用户可以自定义Spring Security的配置。通过编写自定义过滤器、用户认证提供者、访问决策管理器等组件,用户可以扩展或修改Spring Security的行为以满足特定需求。
SpringSecurity基本原理
11-12
Security基本执行过程的分析和各个环节类执行的分析。
SpringSecurity——基本原理
小志的博客
09-22 3435
Spring Security的理解 Spring Security最核心的是过滤器链,也就是组过滤器(Filter),所有的访问服务的请求都会经过spring security的过滤器,服务的响应也会经过spring security的过滤器再返回给客户端,并且这些过滤器在系统启动时springboot会自动都配置完成。 二、Spring Security基本原理 1、Spring Security基本原理图解 2、spring security核心过滤器 (1)、UsernamePasswo
Spring Security基本原理
bbaiggey_bigdata的博客
07-12 437
Spring Security基本原理
好学若饥,谦卑若愚
04-29 3991
介绍 SpringSecurity核心功能:认证(身份校验,你是谁),授权(你能干什么),攻击防护(防止伪造身份) 原理 REST API:相当于应用的controller,用户的增删该查的些服务 Spring Security过滤器链:这个是最核心的部分,相当于组Filter,请求和响应都会经过过滤器,这些过滤器在系统启动的时候,Spring boot会自动把它们都配置进去 ...
Spring Security原理
qixiang_chen的博客
06-30 1557
Spring Security原理是通过使用过滤器Filter,实现责任链设计模式,通过预先configure(HttpSecurity http)设定责任链过滤规则实现认证和授权。 过滤器通过spring容器托管实现,需要使用代理DelegatingFilterProxy实现 FilterChainProxy 过滤器链代理,是通过DelegatingFilterProxy代理Spring容器中的对象。 官方文档中描述Filter列表包括 https://docs.spring.io/spring
Spring Security OAuth2】- spring security - 基本原理
最新发布
smart_an的专栏
10-07 1019
这里会判定该请求是否能进行访问rest服务;判断的依据是:BrowserSecurityConfig中的配置;如果被拒绝了就会抛出不同的异常(根据具体的原因)。Exception Translation Filter 会捕获抛出的错误,然后根据不同的认证方式进行信息的返回提示注意的是:绿色的过滤器可以配置是否生效,其他的都不能控制;以上就是security最基本的原理,其他的衍生的功能都是基于这个架子进行扩展的。
SpringSecurity基本原理
xiomarazark的博客
03-12 633
SpringSecurity基本原理 SpringSecurity本质上是个过滤器链 代码底层流程:重点看三个过滤器 FilterSecurityInterceptor——是个方法级的权限过滤器链的最底部 //过滤方法 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 1357
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 4280
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是种使用套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于个单独的项目,代码量明显减少,遇到问题也相对来
Spring Security框架原理及解析
多看多听多总结
07-26 2185
Spring Security框架原理及解析
spring security 基本原理
weixin_47460834的博客
06-27 1373
spring security本质上就是个过滤器链(javaweb),由很多个过滤器组成,大概有十几个;其中比较典型的过滤器:其实spring security出现得比springboot还要早,但是自从有了spirngboot之后,springboot对spring security提供了自动化配置方案,可以使用更少配置来使用。虽然有springboor,还是要了解spring security过滤器加载过程:在spring security应用中会用到两个重要的接口: 在实际项目中,账号和
Spring Security基本原理
懂得一千零一种,赋予你失败的方法!
08-24 1302
文章目录Spring Security 原理、权限管理中的相关概念二、Spring Security 基本原理1.FilterSecurityInterceptor2.ExceptionTranslationFilter3.UsernamePasswordAuthenticationFilter三、UserDetailsService 接口讲解四、PasswordEncoder 接口讲解总结 Spring Security 原理 、权限管理中的相关概念 1、主体 英文单词:principal 使用.
Spring Security的工作原理
一个人的江湖
08-24 1万+
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建个名为 springSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.ser
Spring Security 工作原理概览
热门推荐
江南一点雨的专栏
04-27 9万+
本文由读者 muggle 投稿,muggle 是位具备极客精神的90后单身老实猿,对 Spring Security 有丰富的使用经验,muggle 个人博客地址是 h...
Spring Security原理简介
justlpf的专栏
05-19 3523
参考文章:Spring Boot框架整合Spring Security实现安全访问控制 SpringSecurity核心组件 Spring Security做JWT认证和授权--import SpringBoot中使用Shiro和JWT做认证和鉴权--import Spring Security安全访问控制分为Authentication(认证)和Authorization(授权,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值