Spring security知识点整理

最新推荐文章于 2024-02-05 17:07:59 发布
最新推荐文章于 2024-02-05 17:07:59 发布
阅读量279 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java
原文链接:https://juejin.im/post/5a3a2d456fb9a04511714695
本文解析了Spring Security的工作流程,重点介绍了Filter接口的关键作用及其doFilter方法如何贯穿整个认证授权过程。AbstractSecurityInterceptor作为核心类,实现了权限验证、清理工作及结果处理等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1) Filter(javax.servlet.Filter) 接口是整个流程关键的接口. 其中doFilter为关键动作, 用来过滤动作.
2) fi.getChain().doFilter(fi.getRequest(), fi.getResponse());调用沿袭链条
3) AbstractSecurityInterceptor的beforeInvocation在验证这里已经处理验证的比对逻辑, 之后的invocation只是调用了authenticate, 没有验证比对
4) beforeInvocation里含有this.accessDecisionManager.decide(authenticated, object, attributes);逻辑, 这里的AccessDecisionManager可以自定义来实现判断比对逻辑.
5) doFilter逻辑最终调用到rest api 逻辑.
6) AbstractSecurityInterceptor:
AbstractSecurityInterceptor是一个实现了对受保护对象的访问进行拦截的抽象类,其中有几个比较重要的方法。beforeInvocation()方法实现了对访问受保护对象的权限校验,内部
用到了AccessDecisionManager和AuthenticationManager;finallyInvocation()方法用于实现受保护对象请求完毕后的一些清理工作,主要是如果在beforeInvocation()中改
变了SecurityContext,则在finallyInvocation()中需要将其恢复为原来的SecurityContext,该方法的调用应当包含在子类请求受保护资源时的finally语句块中;
afterInvocation()方法实现了对返回结果的处理,在注入了AfterInvocationManager的情况下默认会调用其decide()方法。AbstractSecurityInterceptor只是提供了这几种方法,
并且包含了默认实现,具体怎么调用将由子类负责。每一种受保护对象都拥有继承自AbstractSecurityInterceptor的拦截器类, MethodSecurityInterceptor将用于调用受保护的方法,
而FilterSecurityInterceptor将用于受保护的Web请求。它们在处理受保护对象的请求时都具有一致的逻辑,具体的逻辑如下。
1、先将正在请求调用的受保护对象传递给beforeInvocation()方法进行权限鉴定。
2、权限鉴定失败就直接抛出异常了。
3、鉴定成功将尝试调用受保护对象,调用完成后,不管是成功调用,还是抛出异常,都将执行finallyInvocation()。
4、如果在调用受保护对象后没有抛出异常,则调用afterInvocation()。


7) FilerSecurityInterceptor 继承于AbstractSecurityInterceptor, 且implement Filter接口. AbstractSecurityInterceptor是个虚类, 主要提供beforeInvocation,
finallyInvocation, afterInvocation等几个方法.
8) 整个security的流程就是Filter接口的doFilter. 自定义的doFilter会在父类一层层的走完后调用到(如DemoSecurityInterceptor)
9) 整个security的流程就是Filter接口的doFilter. 这个过程中AbstractSecurityInterceptor作为过滤过程中的父类, 开始和结束都是在这. 然后从AbstractSecurityInterceptor开始,
  doFilter经过filter chain的几个类(包括FilterSecurityInterceptor类),到达自定义的SecurityInterceptor类. doFilter过程中含有3个动作: 1)调用父类的beforeInvocation
  验证; 2) 调用doFilter(位于doFilter的invoke方法里的fi.getChain().doFilter(fi.getRequest(), fi.getResponse());)来到达controller层; 3) 最后afterInvocation
  来清理环境等.


上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
Xayla的博客
04-20 2053
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
Security+知识点
qq_41714951的博客
12-15 2163
Abac 基于属性的访问控制 Rbac 基于角色的访问控制 Dac 自主访问控制 Mac 强制访问控制 Paas 平台即服务 Saas 软件即服务 Laas 基础设施即服务 Baas 后端即服务 Mttr 平均修复时间 Mttf 平均故障间隔 Rto 恢复时间 Rpo 恢复点目标 MITM 中间人攻击 ISA 互连安全协议 NDA 保密协议 MOU 谅解备忘录 SLA 服务级别协议 FUZZER 模糊测试 SPIM 即时聊天软件发的垃圾信息 SPAM 垃圾邮件 RIGHT 系统权限,关机...
spring security相关知识点总结
意田天的博客
11-02 1万+
springSecurity手动登录 springSecurity 每种认证方式都要写一大推类 1.要写Token封装认证信息 2.要写UserDetailsService的实现获取用户信息 3.要写provider调用UserDetailsService并且告诉AuthenticationManager他能认证哪种token 4.要写filter去拦截用户请求,获取用户提交的表单数据,交给AuthenticationManager选择一个provider去认证 5.把filter与provide
7.1 spring security【很多知识点
Mr_zhang66的博客
06-08 408
我们已经把牛客社区功能全部实现,这一章将对项目进行一些补充完善。 完善的内容包括两方面: 1.系统的安全性 2.进一步提高系统的性能 功能强大、方便扩展 认证:判断用户有无登录 如果没有登录,不可能实现 发布帖子,评论的功能。 授权: 认证之后,要判断 该用户有无访问权限,比如给帖子置顶、加精、删除,不是每个用户都能做这些事。 只有管理员、博主来可以。 servlet就是java EE。 要大致了解。spring security 底层的原理,方便之后展开学习 spring MVC的核心组件是 disp
SpringSecurity基础知识
weixin_45089503的博客
11-12 3578
SpringSecurity 1.Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 2.SpringSecurity核心功能:认证(身份校验,你是谁),授权(你能干什么),攻击防护(防止伪造身份 ![springsecurity基本流程](https://img-blog.csdnimg.cn/facca48520114c9b9780717ebf208cdc.PNG?x-oss-process=image/watermark,type_ZHJvaWR
spring security知识点
你一个人,就不想到别处看看? ---- 我怕一转身连你也不见了......
09-26 244
点击查看表单登录配置项的规则:   可以看到其原码如下: <xs:attribute name="login-processing-url" type="xs:token"> <xs:annotation> <xs:documentation>The URL that the login form is po...
Spring高频面试基础问题与知识点整理
热门推荐
张彦峰的博客
04-07 173万+
高频Spring相关基本面试题和知识点整理
JavaspringBoot、springCloud知识点整理;大厂面试题总结。.zip
02-25
本文将深入探讨这三个领域的关键知识点,以及在大厂面试中常见的问题。 首先,我们来了解Java的基础知识。Java的核心特性包括面向对象、自动内存管理(垃圾回收)、平台无关性、多线程和丰富的类库。在面试中,面试...
spring security认证过程知识整理
weixin_43103956的博客
02-05 470
UsernamePasswordAuthenticationFilter :重点:用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。(2)基于用户名密码构建token。
2025年最新Spring-Boot全家桶知识点整理-【项目搭建篇】.zip
最新发布
06-25
2025年Spring Boot全家桶的知识点整理——项目搭建篇,将为我们提供一套全新的、高效率的Spring Boot开发指南,无论是对于新手还是经验丰富的开发者来说,都是不可或缺的学习资源。通过这份文档,我们可以快速掌握...
Spring Security 笔记思维导图
03-01
Spring Boot 整合 Spring Security 包含认证,授权,加密,验证码,前后端分离,记住密码,自定义组件等
Spring Security 业务级知识点整理
black-ant
12-30 1673
这一篇主要是对SpringSecurity知识点梳理。
Spring Security知识点笔记
weixin_44388890的博客
08-20 381
Spring Security知识点笔记 1.spring security 核心功能 spring security 的核心功能主要包括: 认证 授权 防护 (防止伪造身份) 2.核心理解 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 比如,对于username password认证过滤器来说, 会检查是否是一个登录请求;是否包含username
Spring security知识整理
qq_25705173的博客
07-07 880
1) Spring Security中进行身份验证的是AuthenticationManager接口,ProviderManager是它的一个默认实现,但它并不用来处理身份认证,而是委托给配置好的AuthenticationProvider,每个AuthenticationProvider会轮流检查身份认证。检查后或者返回Authentication对象或者抛出异常。 验证身份就是加载响应的UserDetails,看看是否和用户输入的账号、密码、权限等信息匹配。此步骤由实现AuthenticationPro
Spring Security知识点归纳一
qq_31883241的博客
07-11 430
Spring Security:一个身份验证和访问控制框架。 简介: 基于Java EE的企业软件应用程序提供全面的安全服务。特别强调支持使用Spring Framework构建的项目。 最小的Spring Security的maven依赖: <dependency> <groupId>org.springframework.security</groupId&g...
Spring Security知识点
来啊 快活啊
09-26 1102
UserDetailService 是认证的时候用的,是资源服务器用的 数据库名不要用中划线 鉴权的服务器如果加了http.formLogin(),如果鉴权不通过,就会跳转到登录界面;如果不添加这个,如果鉴权不通过,就会返回json格式的信息;所以都是restful,不要加,如果是配置在zuul上,zuul作为UI服务器,还是要加的; 2. 如果一个服务器上同时用SecurityConfigurat
spring security知识点
java_Trainees的博客
10-27 492
首先 spring seciurity就是一种验证身份和授权的框架,就是在我们做登录功能时需要验证并且只有在登录后我们才能跳转其它页面的一种框架,省略了我们写拦截器,过滤器繁琐的步骤。 下面我就来讲一下 学习spring security中自己感觉需要注意的点 以及对他的某些api的理解,希望能减少你刚学习它时的疑惑。 首先就是导入他的相关依赖 因为后面我还用了thremleaf 所以也导入和它整合的依赖 首先 spring seciurity就是一种验证身份和授权的框架,就是在我们做登录功能时需要验
SpringSecurity知识梳理(一)
wzn博客
04-20 283
springsecurity学习 1.springsecurity官网介绍 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求...
SpringSecurity知识总结
friggly的博客
03-22 1336
SpringSecurity知识总结
javaspring基础知识点整理
06-25
以下是一些Spring基础知识点整理: 1. **IoC(Inversion of Control)和DI(Dependency Injection)**:Spring的核心思想就是IoC,它反转了传统的控制流动,使对象之间通过容器管理彼此的依赖关系,而不是硬编码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值