由浅入深理解SpringSecurityOauth2框架原理

最新推荐文章于 2025-03-27 16:01:45 发布
最新推荐文章于 2025-03-27 16:01:45 发布
阅读量2.7k 收藏 14
点赞数 6
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuqinduo/article/details/104834011
版权
本文深入探讨SpringSecurityOauth2框架,从基础知识点如Security组件、Filter-Servlet原理,到Security执行流程,再到Oauth2的组件认知和流程图解,详细阐述了Oauth2如何在Security之上构建并集成到Web应用中。通过代码层面的集成分析,展示了Security Oauth2的实现机制和配置细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

克服自己消极的、钻牛角尖的扭曲的思想方式,便能增加效率,提高自尊心

文章目录

1.基础知识点

为了理解Security Oauth2 我们要先理解Security ;理解Security ,我们需要先做一些Security组件等基础认识的认识。

Security组件的认识

  • SecurityContextHolder:用来存储安全上下文信息,Spring Security 的校验之后,验证信息存储在SecurityContext

  • Authentication: 在Security领域,用户密码等不叫做用户密码,叫做Authentication。Authentication 在 spring security 中是最高级别的身份 / 认证的抽象。 在进入Security领域前,得把信息封装成Authentication.(如果用一成语来形容,就是入乡随俗),例如我们常用的[clientId,clientSecret ] [username,password]都可以封装成一个(Authentication)UsernamePasswordAuthenticationToken

  • AuthenticationManager: 从组件层面讲,此组件是用来校验Authentication,常见实现类有ProviderManager。但是从代码层面,ProviderManager 将校验的工作交给了另一个组件AuthenticationProvider来完成的。ProviderManager 中维护一个List<AuthenticationProvider>,通过遍历找到支持当前Authentication认证的AuthenticationProvider,交给其进行认证。(这样看AuthenticationManager可以看做是大总管

  • AuthenticationProvider: 就是上面说的代码层面真正Authentication进行校验的组件。常见的AuthenticationProvider有

    (1.DaoAuthenticationProvider: Dao式认证Provider ,从数据库中取出信息与提交的信息进行比对,完成认证。

    (2. AnonymousAuthenticationProvider: 匿名认证Provider

  • UserDetails : 理解UserDetails,我们可以对比Authentication来理解, Authentication是来自用户提交的数据封装,UserDetails 是从数据层获取的用户信息封装。

  • UserDetailsServiceDaoAuthenticationProvider认证器从数据库层取数据是通过UserDetailsService 完成的,取到的是UserDetails 。常见的UserDetailsService

    (1.JdbcDaoImpl

    (2.ClientDetailsUserDetailsService: 查询[clientId,clientSecret ]形式的UserDetails

Filter-Servlet

我们都知道请求经过Filter链到Servlet

过程看起来是这样

在这里插入图片描述

Security原理

牢记,Spring Security在web应用中,是通过filter 介入的。

为了介入到主体ApplicationFilterChain中,这里要介绍一个特殊的Filter ,

DelegatingFilterProxy:

​ 这个Filter很有意思,他内部有一个Filter delegate属性 ,用来代理另一个Filter。当请求执行到DelegatingFilterProxy时,会调用delegate 这个Filter 。DelegatingFilterProxy可以看做是一个可以让Filter链拐弯的 Filter

在这里插入图片描述

FilterChainProxy:

​ 也是一个Filter , Security就是通过把他设置到DelegatingFilterProxy.delegate属性上来介入了主体FilterChain .但是从他名称来看他本身也是一个代理性质的FIlter

​ 他内部维护了一个List<SecurityFilterChain> filterChains来表示不同权限的url对应的不同的过滤器链 ,但是一次请求最多只有一个SpringSecurityFilterChain链。

SpringSecurityFilterChain

​ FilterChainProxy遍历List<SecurityFilterChain> filterChains匹配到一个适用于当前请求的SecurityFilterChain然后就是链式调用了。

Security 常见Filter

  • SecurityContextPersistenceFilter: 位于SecurityFilterChain的顶端。以前我们使用session来存储用户信息,用了Security框架后,用户登录一次,后续通过sessionId 来识别,用户信息存放到SecurityContextHolder中,这个放入的过程就是SecurityContextPersistenceFilter完成的。SecurityContextPersistenceFilter的主要工作创建 SecurityContext 安全上下文信息和请求结束时清空 SecurityContextHolder(用了try,finally组合)

  • UsernamePasswordAuthenticationFilter:表单认证是最常用的一个认证方式,允许表单输入用户名和密码进行登录。他会先将 [username,password]封装成Authentication然后交给authenticationManager 认证,authenticationManager 会选择一个provider ,通过UserDetailsService从redis获取mysql等数据层面获得存储用户信息的数据的UserDetail与Authentication 进行对比。认证成功

  • ExceptionTranslationFilter: 异常转换过滤器位于整个 springSecurityFilterChain 的后方,主要处理两大异常,AccessDeniedException 访问异常和 AuthenticationException 认证异常。根据配置和异常类型,会选择跳转到登录页面,或者404 ,405页面。

代码层面的集成:

代码中使用Security 最重要的是@E

最低0.47元/天 解锁文章
Spring Security OAuth2详解
qq_33814479的博客
10-12 7328
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
Spring Security整合Oauth2实现流程详解
09-07
主要介绍了Spring Security整合Oauth2实现流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
OAuth2授权原理
LIQING1125的博客
07-26 399
  最近在做第三方接入的,初步定下使用OAuth2协议,花了些时间对OAuth2的授权方式做了些了解。   我还记得一两年前,跟一位同事聊起互联网时,当时我说过一个想法:   目前不少较为稀有的资源,很多都是论坛提供下载的,论坛提供的下载往往要求一个论坛帐号,更有甚者,需回帖才可见,又或者下载需要消耗一定的虚拟货币,而这些货币可以用论坛活跃度而获得。假设现在我是一个普通用户,我要找某...
【身份安全】OAuth 2.0工作原理(一)
最新发布
SunnyCat
03-27 966
OAuth是一个授权框架,它使应用程序能够在 HTTP 服务上获得对用户帐户的有限访问权限。它的工作原理是将用户身份验证委托给托管用户帐户的服务,并授权第三方应用程序访问该用户帐户。OAuth 2 为 Web 和桌面应用程序以及移动设备提供授权流程。
Spring Security OAuth2笔记系列】- spring security - 基本原理
代码有毒的博客
08-20 1867
基本原理 打开security的依赖 compile('org.springframework.cloud:spring-cloud-starter-security') 打开之后默认就保护了所有的请求路径;访问任意一个都会跳转到一个默认的用户密码登录认证页面, 用户名固定的:user 密码,项目启动日志打印出来的(每次启动都不一样):Using generated securit...
SpringSecurity Oauth2.0原理篇(一)
qq_38226564的博客
02-15 1944
Spring SecuritySpringBoot、 token、认证码
springcloud — 微服务鉴权管理Spring Security OAuth2原理解析(四)
qq_38658567的博客
01-27 958
回顾之前文章: 1. 微服务鉴权管理之OAuth2原理解析(一) 2. 微服务鉴权管理Spring Security原理解析(二) 3. 微服务鉴权管理Spring Security OAuth2原理解析(三) 本文开始从源码的层面,讲解一些Spring Security Oauth2的认证流程。 1、AuthorizationServerConfigurerAdapter 上一篇博客中我们尝试使用了password模式和client模式,有一个比较关键的endpoint:/oauth/token。从这个入
Spring Security oAuth2.0
qq_41135883的博客
10-22 247
oAuth2.0是授权协议,他的主要作用是为了提供认证和授权的标准 实现方式: Spring Security shiro 自己去实现 角色: 第三方应用程序(客户端) 资源所有者(用户) HTTP 服务提供者 认证服务器 资源服务器 模式: 客户端授权模式 简单模式 授权码模式 密码模式 客户端模式 - 访问令牌: Refresh Token Access Token https://www.f...
springcloud — 微服务鉴权管理Spring Security OAuth2原理解析(五)
qq_38658567的博客
01-28 842
回顾之前文章: 1. 微服务鉴权管理之OAuth2原理解析(一) 2. 微服务鉴权管理Spring Security原理解析(二) 3. 微服务鉴权管理Spring Security OAuth2原理解析(三) 4. 微服务鉴权管理Spring Security OAuth2原理解析(四) 上一篇文章中我们介绍了获取token的流程,这一篇重点分析一下,携带token访问受限资源时,内部的工作流程。 1、ResourceServerConfigurerAdapter 上一篇文章重点介绍的其实是与身份认证相关
Spring-Security-OAuth2架构及源码浅析
zzy7075的专栏
03-25 385
Spring Security OAuth2架构Spring Security OAuth2是一个基于OAuth2封装的一个类库,它提供了构建和Client三种Spring应用程序角色所需要的功能。需要与和提供的功能协同工作,在使用构建和Client的情况下,的整体架构图如下:1.资源拥有者通过UserAgent访问client,在授权允许访问授权端点的情况下,会创建OAuth2认证的REST请求,指示UserAgent重定向到的授权端点。2.UserAgent访问的授权端点的authorize。
Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 8576
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
oauth2.0 原理讲解
02-23
51cto购买的视频中的讲解ppt 主要讲解oauth2的协议理论,没有demo。
springcloud — 微服务鉴权管理Spring Security OAuth2原理解析(三)
qq_38658567的博客
01-26 1523
回顾之前文章: 1. 微服务鉴权管理之OAuth2原理解析(一), 2. 微服务鉴权管理Spring Security原理解析(二) 前面的部分,我们关注了Spring Security是如何完成认证工作的,接下来将继续讲解接口对接中常使用的密码模式(以下简称password模式)和客户端模式(以下简称client模式)。授权码模式使用到了回调地址,是最为复杂的方式,通常网站中经常出现的微博,qq第三方登录,都会采用这个形式。简化模式不常用。 1、概述 使用oauth2保护你的应用,可以分为简易的分为三个步
Spring Security + OAuth2.0
myli92的博客
03-03 1443
协议为用户资源的授权提供了一个安全的、开放而又简易的标准(开放授权标准)。它允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。
Spring Security OAuth2授权原理、流程与源码解读
swg321321的博客
06-21 2523
Spring Security OAuth2 授权,5中授权模式,授权流程图、授权源码解读
Spring Security Oauth2单点登录原理与技术
夏笙的博客
09-21 4873
本文来自 千峰教育李卫民老师的博客 此文章只是在学习中记录的笔记,如果想学习 请到李卫民老师的博客学习 (免费) Spring Security Oauth2单点登录原理与技术 一、什么是 oAuth --协议 oAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户...
SpringSecurityOauth2(四种模式)
qq_45597391的博客
06-19 1万+
Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。
Spring Security——OAuth2.0
热门推荐
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
理解OAuth 2.0
05-13 2003
理解OAuth 2.0 作者: 阮一峰 日期: 2014年5月12OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAu
手写MyBatis源码:深入理解Java持久层框架
资源摘要信息:"手写MyBatis框架源码由浅入深" 知识点一:MyBatis框架概述 MyBatis是一个流行的Java持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值