springsecurity oauth2.0 springboot整合 spring security认证与授权4

原创 已于 2023-08-04 11:48:35 修改 · 794 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring boot #java

于 2021-08-01 16:31:37 首次发布
本文深入解析SpringSecurity的工作原理,包括认证、授权流程及关键组件的功能,并演示如何在SpringBoot项目中集成SpringSecurity实现用户认证与资源保护。

一 springsecurity

1.1 spring security的作用

Spring Security 所解决的问题就是 安全访问控制 ,而安全访问控 制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源

Spring Security对Web资源的保护是靠Filter实现的,当初始化Spring Security时,会创建一个名为 SpringSecurityFilterChain Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter,因此外部的请求会经过此 类。如下图所示:

FilterChainProxy是一个代理 ,真正起作用的是 FilterChainProxy SecurityFilterChain 所包含的各个 Filter ,同时 这些Filter 作为 Bean Spring 管理,它们是 Spring Security 核心,各有各的职责,但他们并不直接处理用户的 ,也不直接处理用户的 授权 ,而是把它们交给了认证管理器 (AuthenticationManager)和决策管理器 (AccessDecisionManager)进行处理 ,如下图所示:

 1.2 spring security的过滤器的请求过程

spring Security 功能的实现主要是由一 系列过滤器链 相互配合完成

1.SecurityContextPersistenceFilter 这个Filter是整个拦截过程的入口和出口(也就是第一个和最后一个拦截 器) ,会在请求开始时从配置好的 SecurityContextRepository 中获取 SecurityContext ,然后把它设置给 SecurityContextHolder 。在请求完成后将 SecurityContextHolder 持有的 SecurityContext 再保存到配置好 的 SecurityContextRepository ,同时清除 securityContextHolder 所持有的 SecurityContext
2. UsernamePasswordAuthenticationFilter 用于处理来自表单提交的认证 。该表单必须提供对应的用户名和密 码,其内部还有登录成功或失败后进行处理的 AuthenticationSuccessHandler
AuthenticationFailureHandler ,这些都可以根据需求做相关改变;
3.FilterSecurityInterceptor 是用于保护web资源的,使用AccessDecisionManager对当前用户进行授权访问
4.ExceptionTranslationFilter 能够捕获来自 FilterChain 所有的异常,并进行处理 。但是它只会处理两类异常: AuthenticationException 和 AccessDeniedException,其它的异常它会继续抛出
5.Authentication(认证信息)的结构,它是一个接口,我们之前提到的 UsernamePasswordAuthenticationToken就是它的实现之一:

1Authenticationspring security包中的接口,直接继承自Principal类,而Principal是位于 java.security 包中的。它是表示着一个抽象主体身份,任何主体都有一个名称,因此包含一个getName()方法。

2getAuthorities()权限信息列表,默认是GrantedAuthority接口的一些实现类,通常是代表权限信息的一系 列字符串。

3getCredentials()凭证信息,用户输入的密码字符串,在认证过后通常会被移除,用于保障安全。

4getDetails()细节信息,web应用中的实现接口通常为 WebAuthenticationDetails,它记录了访问者的ip地址和sessionId的值

5getPrincipal()身份信息,大部分情况下返回的是UserDetails接口的实现类,UserDetails代表用户的详细 信息,那从Authentication中取出来的UserDetails就是当前登录用户信息,它也是框架中的常用接口之一。

 1.3 spring security认证流程

1.3.1 .认证流程

1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到, 封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。

2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证

3. 认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。

4. SecurityContextHolder 安全上下文容器将第3步填充了信息的 Authentication ,通过

SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中。

最低0.47元/天 解锁文章
springBoot-springSecurity-OAuth2
子笙的博客
01-16 2805
springBoot整合OAuth2示例及其代码
学习Spring Boot:(二十八)Spring Security 权限认证
热门推荐
追光者的博客
05-07 1万+
前言 主要实现 Spring Security 的安全认证,结合 RESTful API 的风格,使用无状态的环境。 主要实现是通过请求的 URL ,通过过滤器来做不同的授权策略操作,为该请求提供某个认证的方法,然后进行认证授权成功返回授权实例信息,供服务调用。 基于Token的身份验证的过程如下: 用户通过用户名和密码发送请求。 程序验证。 程序返回一个签名的token 给客户端。 ...
Spring Security学习(五)——账号密码的存取(UserDetailService、PasswordEncoder、DaoAuthenticationProvider)
最新发布
sadoshi的专栏
02-15 891
本文是常见Java Web应用中使用Spring Security的核心。一个Web应用管理系统在用户登陆上最核心的问题就是解决两个问题:1、用户提交的账号密码如何数据库中保存的账号密码匹配上;2、如何保持会话。本文就是解决第一个问题的。
Spring Security权限控制源码分析
NullPointerException的博客
03-30 1194
流程图 类和接口介绍 FilterSecurityInterceptor:是整个权限判断流程的入口,包含着请求的相关信息; AccessDecisionManager:是一个接口,有一个抽象实现(AbstractAccessDecisionManager)和三个具体实现(AffirmativeBased、ConsensusBased和UnanimousBased) AbstractAcces...
Spring Boot Security自定义AuthenticationProvider
wgq2020的博客
11-10 1299
Spring Boot Security是一个强大的身份验证和授权框架,使开发者能够以简单的方式保护应用程序。其中的AuthenticationProvider是用于验证用户身份的核心接口。您可以通过实现此接口来创建自定义身份验证逻辑。以下是一个简单的示例,展示如何使用AuthenticationProvider自定义身份验证。首先,创建一个继承自标准AuthenticationProvider的类,并实现authenticate方法。
spring security oauth2.0 (讲义+代码)
03-10
总而言之,通过学习Spring Security OAuth2.0,开发者能够掌握一套完整的认证授权解决方案,从而为Web应用和API提供安全的访问控制。这个讲义结合代码的实践学习将帮助你深入理解并熟练运用这些概念。
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 是一个基于 Spring Security 框架的授权和身份验证机制,提供了强大的安全功能和灵活的配置选项。Oauth2.0 是一种 industry-standard 授权协议,提供了多种授权方式,例如授权码流程、...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证授权
11-14
分布式系统的认证授权 分布式架构采用 Spring Cloud Alibaba 认证授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
spring boot security 自定义AuthenticationProvider
wgq2020的博客
11-11 427
例如,如果仅支持用户名和密码认证,则返回UsernamePasswordAuthenticationToken.class。Spring Boot Security提供了一种易于扩展的方式来自定义AuthenticationProvider,以便在验证用户时使用自定义逻辑。在authenticate方法中实现自定义的用户认证逻辑。例如,可以从数据库中查询用户信息和密码,然后用户提供的信息进行比较。这样,就可以使用自定义的逻辑来验证用户并授权他们的访问。
SpringSecurity Oauth2 - 04 自定义AuthProvider实现认证登录
你今天真好看呀
11-05 1893
}注意:/api/v1/login 请求资源时受保护的资源,因此需要在资源服务器中放行该请求http . authorizeRequests() // 放行的请求 . antMatchers("/api/v1/login") . permitAll() // 其他请求必须认证才能访问 . anyRequest() . authenticated() . and() . csrf() . disable();} }
SpringBootSpring Security用户授权认证
qq_43880100的博客
10-14 2590
SpringBootSpring Security用户授权认证
Springboot集成SpringSecurity实现认证授权
qq_42067619的博客
05-04 844
最近学习了SpringSecurity的使用,便自己写了个基础项目,使用到的技术有SpringBoot+SpringSecurity+thymeleaf+mybatis,实现了一个简单的“动态用户认证+记住我”功能,认证后根据自身权限显示动态界面内容 项目代码写有详细的代码注释,可直接运行学习,项目结构如下: 源码链接:https://pan.baidu.com/s/11Wvm51SjKYxkj...
Spring Boot整合 Spring SecurityOAuth2
m0_56799642的博客
12-08 3317
OAuth是一种用来规范令牌(Token)发放的授权机制,主要包含了四种授权模式:授权码模式、简化模式、密码模式和客户端模式OAuth相关的名词第三方应用程序,比如这里的虎牙直播;HTTP服务提供商,比如这里的QQ(腾讯);资源所有者,就是QQ的所有人,你;User Agent用户代理,这里指浏览器;认证服务器,这里指QQ提供的第三方登录服务;资源服务器,这里指虎牙直播提供的服务,比如高清直播,弹幕发送等(需要认证后才能使用)。认证服务器主要包含了四种授权模式的实现和Token的生成存储资源服务器。
Spring Security 之多AuthenticationProvider认证模式实现
wejack的专栏
04-09 638
https://blog.csdn.net/yaomingyang/article/details/98785488
SpringSecurity中默认的AuthenticationProvider
zjy660358的专栏
11-11 2252
SpringSecurity, 默认实现AuthenticationManager是ProviderManager,这个主要作用是给Authentication找到支持的Provider,并authenticate 1、只在配置文件中定义用户名和密码 2、自定义userDetailsService 3、Config文件覆盖authenticationManager()方法 @Bean MyAuthenticationProvider myAuthentica.
SpringSecurity身份验证之AuthenticationProvider接口
冲出仁川,走出马德里,故事还会再继续
02-17 6305
理解AuthenticationProvider1、简介1.1 在身份验证期间表示请求1.2 实现自定义身份验证逻辑1.3 应用自定义身份验证逻辑1.3.1 实现步骤1.3.2 重写AuthenticationProvider的supports()方法1.3.3 实现身份验证逻辑1.3.4 在配置类中注册AuthenticationProvider 1、简介   在企业级应用程序中,你可能会发现自己处于这样一种状况:基于用户名和密码的身份验证的默认实现并不适用。另外,当涉及身份验证时,应用程序可能需要实现几
SpringSecurity-7-自定义AuthenticationProvider实现图形验证码
zhoubangbang1的博客
03-26 1631
SpringSecurity-7-自定义AuthenticationProvider实现图形验证码上一章节我们介绍了如何使用过滤器(Filter)实现图形验证,这是属于Servlet层面,比较简单容易理解。那么这次我们介绍SpringSecurity提供的另一种比较高端的实现图形化验证码,这就是AuthenticationProvider自定义认证认证流程 Filter实现图形化验证码我们在SpringSecurity认证流程源码解析中介绍了SpringSecurity认证流程其中介绍了系统的用户信息,
Spring Security OAuth2.0认证授权实战教程
资源摘要信息:"Spring Security OAuth2.0认证授权资料详细介绍了OAuth2.0认证授权原理以及搭建过程。" OAuth2.0是一种行业标准的授权协议,它允许用户授权第三方应用访问他们存储在其他服务提供者上的信息,而不...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值