关于Spring Security的基础概念以及原理解析

原创 已于 2023-04-03 11:46:52 修改 · 411 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #后端 #java

于 2023-04-02 22:46:47 首次发布
SpringSecurity是一个用于身份验证和授权的框架。它涉及UserDetails存储用户信息,UserDetailsService接口用于获取用户信息,SecurityContextHolder保存安全上下文,Authentication对象包含用户认证和权限信息,AuthenticationManager负责验证Authentication。流程包括用户登录时的认证和权限检查,以及后续请求的权限验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.Spring Security概念

它主要是用于身份验证和授权的框架

关于身份验证,就是说你当前权限能不能访问该信息。

关于授权,可以理解为 我把这个页面访问权限授予你,你就可以进去访问或者操作

2.主要核心类

1.UserDetails

主要是用与储存用户信息,用户实体类进行实现UserDetails

2.UserDetailsService

我们自定义类进行实现UserDetailsService接口,当我们实现里面的loadUserByUsername(String username)方法时,我们可以通过查询数据库或缓存获取用户信息,然后返回UserDetails。在实现方法时,如果我们没有查找到该用户,就会抛出异常。我们SysUser实体类不是重写了UserDetails,这样通过其getAuthorities()可以获取到用户的权限信息。

 3.SecurityContextHolder

SecurityContextHolder用与储存安全上下文(SecurityContext)的信息,就是用与存储身份信息,认证信息的容器SecurityContextHolder默认使用 ThreadLocal策略来存储认证信息,即一种与线程绑定的策略,每个线程执行时都可以获取该线程中的 安全上下文(security context),各个线程中的安全上下文互不影响。。
ThreadLocal策略有:1.MODE_THREADLOCAL:SecurityContext 存储在线程中。

2.MODE_INHERITABLETHREADLOCAL:SecurityContext 存储在线程中,但子线程可以在父线程中获得 SecurityContext。

3.MODE_GLOBAL:SecurityContext 所有线程都是一样的。

默认情况下,SecuritycontextHolder使用MODE_THREADLOCAL模式,即存储在当前线程中。

4.SecurityContext

安全检索上下文内容,它主要作用就是获取Authentication对象,当验证信息通过验证后将用户信息和权限信息保存在Authentication对象。

5.Authentication

authentication 在Spring的意思中 Security Authentication用于表示当前用户是谁

getAuthorities: 获取用户权限,通常获取用户的角色信息。

getCredentials: 获取证明用户认证的信息,通常是密码和其他信息。

getDetails: 获取用户的额外信息(这部分信息可以是我们用户表中的信息)

getPrincipal: 获取用户身份信息,在未经认证的情况下获取用户名,在认证的情况下获取用户名 UserDetails (Userdetails也是一个接口,其中包括getusername、getpassword等。)

 6.AuthenticationManager

AuthenticationManager 其功能是验证Authentication,如果验证失败,将抛出Authenticationexception异常。Authenticationexception是一个抽象类,因此代码逻辑不能实例化Authenticationexception异常和抛出

3.个人简单使用流程(主要分为认证和授权)

1.先使用类继承WebSecurityConfigurerAdapter实现其方法

1.配置白名单,因为用户登录不需要传token进行权限验证

2.完成核心配置 如完成对token的校验和用户访问权限。

 2.用户开始登录流程  传用户名和密码

        1.使用userDetailsService.loadUserByUsername(username)去数据库中查询用户数据和用户权限等信息。

        2.通过passwordEncoder.matches() 判断密码是否正确

        3.使用UsernamePasswordAuthencationToken将用户基本信息和用户权限信息封装

         4.将authenticationToken保存进去SecurityContextHolder.getContext.setAuthentication()。

关于用户访问权限就是通过我们保存在Authentication的UserDetails信息中的权限信息跟request的url进行对比,包含了就可以访问。 

4.总结

认证流程开始,首先通过SecurityContextPersistenceFilter生成一个SecurityContext(安全上下文),
之后的fifter之间的信息传递全靠这个来实现。

1.前端传来的userName和password,在进行认证的时候需要一个 
  UserDetailsService 来获取用户的信息 UserDetails,
  这个UserDetailsService由程序员自己实现,
  从数据库查出用户信息,封装成UserDetails对象返回即可。

2.将UserDetails传入UsernamePasswordAuthenticationToken方法,
  生成一个Authentication。
3.通过SecurityContextHolder.getContext();获取到SecurityContext
4.将Authentication存入到SecurityContext.setsetAuthentication()中完成认证

当用户传token进行访问数据的时候,以及访问其他页面或者接口的权限
1. token验证
   Authentication和通过前台传来的userName和password生成的Authentication		 				
   如果认证成功调用AuthenticationSuccessHandler实现类方法,
   如果认证失败调用AuthenticationFailureHandler实现类方法。

2.访问权限
  通过FilterSecurityInterceptor过滤器来比对:
  Authentication(通过数据库查询出来的认证信息)里面的权限列表
  和requst中的url
  如果匹配得到,那可以通过,否则就不能访问。

~渊
关注
Spring Security概念与应用
weixin_45119534的博客
07-09 358
Spring Security-认证和授权
SpringSecurity深度解析与实践(3)
12-23
Spring Security深度解析与实践(3)》 在这一部分,我们将深入探讨Spring Security这一强大的安全框架,它为Java企业级应用提供了全面的安全管理解决方案。Spring Security不仅支持身份验证和授权,还具备防止...
SpringSecurityloadUserByUsername抛出异常无法捕获原因分析
weixin_45630446的博客
09-16 4972
SpringSecurityloadUserByUsername抛出异常无法捕获原因分析 文章目录SpringSecurityloadUserByUsername抛出异常无法捕获原因分析1、分析原因2、解决方式2.1、方式一2.2、方式二 SpringSecurity 相信大家对它都不陌生,这是一个令我又爱又恨的框架,配置不简单,但是功能却异常强大。下面我们就一起来分析一下loadUserByUsername 里抛出自定义异常无法捕获的原因吧 嗯,话不多说,自定义异常,全局异常处理拦截器、Securit
Spring-security快速入门
l23456789o的博客
08-07 283
介绍 如何使用springbootSpring-security 引入依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <depe
SpringSecurity基础入门(详情可以联系博主)
yuan_boss的博客
06-12 620
写下本篇文章是因为我在做小项目时使用到了spring security并且对此有了更深的理解,故写下这篇文章总结了spring security并且再次加深理解,本篇文章适合于有点基础的小伙伴,当然没有基础的小伙伴也可以在评论区提问,或者加扣扣联系,小编看到一定回复哦,扣扣:1928627476...
SpringSecurity默认用户名密码从哪来,为什么要写UserDetails...
butcher的博客
09-10 1万+
1、创建一个普通的Spring boot项目 创建好项目后,直接启动,在控制台上会打印密码: 此时在浏览器输入http://localhost:8080,会跳转到登录页面: 默认用户名为user,密码就是控制台打印的。 这就说明spring security生效了! 2、自定义用户名密码 首先我们需要先了解,为什么会有默认的用户名和密码,这说明肯定是有一个自动配置类。 在idea中,双击shift键,输入UserDetailsServiceAutoConfiguration我们会发现: @Bean
SpringSecurity原理和机制
weixin_45984552的博客
07-24 2553
以后每当有请求到来时,SpringSecurity就会先从Session中取出⽤户登录数据,保存到SecurityContextHolder中,⽅便在该请求的后续处理过程中使⽤,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后将SecuritySecurityContextHolder中的数据清空。身份认证,就是判断⼀个⽤户是否为合法⽤户的处理过程。在的架构设计中,认证和授权是分开的,⽆论使⽤什么样的认证⽅式。...
基于Java语言的SpringSecurity框架学习与设计源码解析
最新发布
09-28
SpringSecurity框架的学习和设计是一个系统性工程,需要开发者具有良好的Java编程基础,熟悉Spring框架的基本概念原理,并且能够读懂并分析源码。通过本项目的源码解析,开发者可以更深入地理解SpringSecurity框架...
Spring Security入门与核心概念解析
教程强调,为了更好地掌握Spring Security,了解Spring框架,特别是依赖注入的基本原理是非常重要的。Spring Security能够解决传统J2EE Servlet规范和EJB规范中缺乏的、针对企业应用场景的安全解决方案,它的优势...
【深入浅出 Spring Security(四)】登录用户数据的获取,超详细的源码分析
qq_63691275的博客
06-03 2688
SecurityContextPersistenceFilter 完成了 SecurityContext 的存储和擦除; 在 5.6 版本(准确来说是5.7)后引入了 ListeningSecurityContextHolderStrategy 监听SecurityContext策略;可以使用 SecurityContextHolder.getContext.getAuthentication() 的方式获取登录用户数据;SecurityContext 的存储和擦除内部
SpringSecurity中执行表单登录认证时无法执行loadUserByUsername方法
qq_43820896的博客
05-13 3556
项目场景: 执行表单登录认证时配置了loginProcessUrl和loginPage。但是执行登录认证时并不执行UserDetailsService接口的loadByUsername方法。导致认证失败。 问题描述: 1. 表单登录页面 2. 配置类 3. loadUserByUsername方法 所有都配置好了,但是进行登录认证的时候还是认证失败跳回登录页。并且控制台未打印loadUserByUsername方法中的日志。 原因分析: 因此判断是loginProcessUrl方法的问题。进入lo
(原创)Spring security用户验证机制浅谈.
d7011800的专栏
03-19 3万+
1.  首先CustomUserDetailsService需要实现UserDetailsService(org.springframework.security.core.userdetails.UserDetailsService)接口, 实现获取用户Detail信息的回调函数. 必须要实现的方法是loadUserByUsername 注意: 这里的user类必须继承userDetail
SpringSecurity 详解(通俗易懂)
风也温柔☆的博客
08-12 3405
2、退出,从SecurityContextHolder中拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token中解析出userId,通过userid查redis,查到(从redis中获取用户信息),查不到 认证失败(重新登录)
SpringSecurity学习(七)授权
Huathy的博客
03-15 2277
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型
SpringSecurity的认证原理及如何自定义认证结合MyBatis替换原数据源
写写平时的技术与感想
05-26 2426
对于在中自定义的认证规则,也就是所有的请求都必须要通过认证才可以访问。有些时候并不满足业务需求。比如有两个资源,一个是/index还有一个是/hello打算把/index作为一个公共的资源,/hello作为一个认证的资源。默认的认证规则就做不到这一点。所以,我们需要自定义,从上个小节中发现,如果需要默认的规则失效有两个条件。如果系统中存在或者是的话,默认的就会失效。这里,我们使用第一种方式,去继承类。需要和方法有区分,一般是对静态资源放行的配置。
spring实战-Spring-security权限认证白名单
乔布斯基的博客
08-21 2万+
第九篇:spring实战-Spring-security权限认证白名单 当我们为程序设置权限认证时,主要是希望能够保护需要保护的功能,并不是说所有的功能都需要被保护起来,比如说系统主页,帮助中心等等 此时我们可以通过白名单的方式,让某些功能对未登录用户公开,Spring-security提供了对固定路径,或者模糊匹配路径的保护 com.halfworlders.idat.config
------分割线之 WebSecurityConfigrerAdapter弃用问题------
w_t_y_y的博客
04-26 2275
被弃用的原因是 Spring Security 项目的维护者希望将项目的主要开发工作集中在新的配置方式上,即基于 Java 的配置(Java Configuration)和基于 Lambda 的表达式。这主要是因为 Spring 5.0 引入了重量级的 Java 配置支持,而。鉴于WebSecurityConfigrerAdapter的弃用,这个系列使用GlobalAuthenticationConfigurerAdapter。是基于 XML 的配置方式,并不完全兼容 Java 配置。
Shiro学习笔记(二)UsernamePasswordToken源码简单解析
热门推荐
zch-兴趣使然-blog
03-27 3万+
在shrio中,AuthenticationToken用于存储前端传来的登录信息,通俗来说就是用户名及密码等。而在这之中比较常用的就是UsernamePasswordToken。为了了解shrio的验证过程有必要先了解与验证相关的主要的几个类。首先看下shrio对UsernamePasswordToken的描述: /** * <p>A simple username/passwo...
关于 oauth2 jwt authentication.getPrincipal 获取的是用户名的问题
Firstmetcs的博客
05-06 5088
第一种方案重写转换类(DefaultUserAuthenticationConverter) public Map<String, ?> convertUserAuthentication(Authentication authentication) { Map<String, Object> map = new HashMap<>(1); //继承UserDetails的对象 Object o = authentication.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

~渊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值