【第七篇】SpringSecurity核心组件和核心过滤器

最新推荐文章于 2025-04-16 09:50:16 发布
置顶 最新推荐文章于 2025-04-16 09:50:16 发布
阅读量1.2k 收藏 12
点赞数 18
分类专栏: 爱学习→SpringSecurity 文章标签: java springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43552143/article/details/139650644
版权

一、SpringSecurity中的核心组件

在SpringSecurity中的jar分为4个,作用分别为

jar 作用
spring-security-core SpringSecurity的核心jar包,认证和授权的核心代码都在这里面
spring-security-config 如果使用SpringSecurity XML命名空间进行配置或者SpringSecurity的<br />Java configuration支持,则需要它
spring-security-web 用于SpringSecurity web身份验证服务和基于url的访问控制
spring-security-test 用于单元测试

1.SecurityContextHolder

        在spring-security-core中的SecurityContextHolder,是一个非常基础的对象,存储了当前应用的上下文SecurityContext,而在SecurityContext可以获取Authentication对象。也就是指当前认证的相关信息会存储在Authentication对象中。

image.png

  默认情况下,SecurityContextHolder是通过 ThreadLocal来存储对应的信息的。也就是在一个线程中可以通过这种方式来获取当前登录的用户的相关信息。而在SecurityContext中就只提供了对Authentication对象操作的方法

public interface SecurityContext extends Serializable {

	Authentication getAuthentication();

	void setAuthentication(Authentication authentication);

}

xxxStrategy的各种实现

image.png

策略实现 说明
GlobalSecurityContextHolderStrategy 把SecurityContext存储为static变量
InheritableThreadLocalSecurityContextStrategy 把SecurityContext存储在InheritableThreadLocal中InheritableThreadLocal解决父线程生成的变量传递到子线程中进行使用
ThreadLocalSecurityContextStrategy 把SecurityContext存储在ThreadLocal中

2.Authentication

        Authentication是一个认证对象。在Authentication接口中声明了如下的相关方法。

public interface Authentication extends Principal, Serializable {

	// 获取认证用户拥有的对应的权限
	Collection<? extends GrantedAuthority> getAuthorities();

	// 获取哦凭证
	Object getCredentials();

    // 存储有关身份验证请求的其他详细信息。这些可能是 IP地址、证书编号等
	Object getDetails();

     // 获取用户信息 通常是 UserDetails 对象
	Object getPrincipal();

    // 是否认证
	boolean isAuthenticated();

    // 设置认证状态
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

public String hello(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        Object principal = authentication.getPrincipal();
        if(principal instanceof UserDetails){
            UserDetails userDetails = (UserDetails) principal;
            System.out.println(userDetails.getUsername());
            return "当前登录的账号是:" + userDetails.getUsername();
        }
        return "当前登录的账号-->" + principal.toString();
    }

调用 getContext()返回的对象是 SecurityContext接口的一个实例,这个对象就是保存在线程中的,Spring Security中的认证大都返回一个 UserDetails的实例作为principa。

3.UserDetailsService

        在Authentication中存储当前登录用户的是Principal对象,而通常情况下Principal对象可以转换为UserDetails对象。UserDetails是Spring Security中的一个核心接口。它表示一个principal,但是是可扩展的、特定于应用的。UserDetails是数据库中用户表记录和Spring Security在 SecurityContextHolder中所必须信息的适配器。

public interface UserDetails extends Serializable {

	// 对应的权限
	Collection<? extends GrantedAuthority> getAuthorities();

	// 密码
	String getPassword();

	// 账号
	String getUsername();

	// 账号是否过期
	boolean isAccountNonExpired();

	// 是否锁定
	boolean isAccountNonLocked();

	// 凭证是否过期
	boolean isCredentialsNonExpired();

	// 账号是否可用
	boolean isEnabled();

}

这个接口的默认实现就是 User

image.png

这个UserDetails对象的来源是有一个特殊接口UserDetailsService,在这个接口中定义了一个loadUserByUsername的方法,接受一个用户名,来实现根据账号的查询操作,返回的是一个UserDetails对象。

public interface UserDetailsService {

	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

}

UserDetailsService接口的实现有如下:

image.png

  Spring Security提供了许多 UserDetailsSerivice

最低0.47元/天 解锁文章
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理过滤器链代理的原理作用。这节课我们接着学习SpringSecurity过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
spring security原理机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security的基本组件
weixin_40991408的博客
05-20 665
Spring Security的基本组件
SpringSecurity框架核心组件详解
weixin_46619605的博客
10-14 1304
SpringSecurity框架核心组件详解。
Spring Security的作用
u010089926的博客
03-12 821
Spring Security 提供了一系列并发支持类,用于在多线程环境中传递管理。
浅析 Spring Security 核心组件
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-08 456
前言近几天在网上找了一个 Spring Security JWT 的例子来学习,项目地址是https://github.com/szerhusenBC/jwt-spring-security-demo作为学习Spring Security还是不错的,通过研究该 demo 发现自己对Spring Security一知半解,并没有弄清楚Spring Seurity的流程,...
SpringCloud】Spring Security核心组件
See_Star的博客
06-01 1184
Spring Security核心组件SecurityContextHolder、SecurityContext、Authentication..
Spring Security 核心组件
小汤圆
08-11 181
AuthenticationManagerBuilder
Spring框架中的过滤器、拦截器与Spring Security:深入比较与应用实践
最新发布
m0_75236543的博客
04-16 1144
Spring框架是一个轻量级的开源Java平台,它为现代Java应用程序开发提供了全面的基础设施支持。Spring核心特性包括依赖注入(DI)、面向切面编程(AOP)、事务管理、数据访问等,这些特性使得开发者能够构建松耦合、易于测试维护的企业级应用。:提供IoC容器依赖注入功能Spring AOP:提供面向切面编程实现Spring MVC:基于模型-视图-控制器模式的Web框架:认证授权框架:简化数据访问操作:快速应用开发的约定优于配置解决方案。
Spring Security核心过滤器链分析
过滤器链是Spring Security实现安全机制的核心组件,它定义了请求进入Spring MVC控制器前的一系列处理步骤。了解这些过滤器的工作原理它们在安全链条中的位置至关重要。 首先,我们看到列表中的第一个过滤器是...
浅析Spring Security 核心组件
qq_44005305的博客
02-09 631
近几天在网上找了一个 Spring Security JWT 的例子来学习,项目地址是:作为学习Spring Security还是不错的,通过研究该 demo 发现自己对 Spring Security一知半解,并没有弄清楚Spring Seurity的流程,所以才想写一篇文章先来分析分析Spring Security核心组件,其中参考了官方文档及其一些大佬写的Spring Security分析文章,有雷同的地方还请见谅。
spring-security-core-4.1.3.RELEASE.jar
11-03
spring-security-core-4.1.3.RELEASE.jar下载
spring-security-core-2.0.5.RELEASE.jar
04-14
spring-security-core-2.0.5.RELEASE.jar
spring-security-core-5.6.1-API文档-中文版.zip
05-09
赠送jar包:spring-security-core-5.6.1.jar; 赠送原API文档:spring-security-core-5.6.1-javadoc.jar; 赠送源代码:spring-security-core-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-core-5.6.1.pom; 包含翻译后的API文档:spring-security-core-5.6.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-core:5.6.1; 标签:springcoresecurityspringframework、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码结构保持不变,注释说明精准翻译,请放心使用。
spring-security-core-3.1.0.RC1.jar
04-29
很全的security jar 包
spring-security-core-3.1.0.RELEASE
10-01
spring-security-core-3.1.0.RELEASE,使用这个工具包可以不用自己写MD5加密了
Spring (29)Spring Security核心组件
qq_43012298的博客
05-31 462
是一系列安全拦截器的基类,例如用于方法安全的用于web请求安全的。这些拦截器会在访问受保护资源前进行拦截,以确保按照的决策执行访问控制。负责做出访问决策,其内部使用一组来投票决定是否允许访问特定资源。Spring Security核心组件共同工作,为Spring应用提供了综合的安全解决方案。通过理解配置这些组件,开发者可以灵活地适应不同的安全需求,保护应用免受未授权访问。
认证鉴权框架SpringSecurity-2--重点组件过滤器链篇
weisian的博客
11-14 1261
这4个接口中,每一个都是当认证或者授权过程中发生结果后触发,可以是失败的场景也可以是成功后触发。1个成功后执行,3个为失败后促发执行。
Spring Security Core
漫游学海之旅
10-15 789
Spring Security Core 核心组件 SecurityContextHolder,提供访问SecurityContext的 SecurityContext,存储Authentication 可能的请求安全信息 Authentication,表示在Spring Security机制中的一个访问者 GrantedAuthority,反映访问者在应用范围的权限 UserDetails,...
Spring Security深度解析:11大过滤器详解
1. HttpSessionContextIntegrationFilter:这是Spring Security过滤器链的第一个过滤器,它负责在执行其他过滤器之前检查SecurityContext是否存在于用户的session中。如果存在,它将SecurityContext设置到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

筱白爱学习

你的鼓励将是我写作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值