SpringSecurity工作原理

 实现功能就是继承这几个对应功能的类。

大概工作流程 

Spring Security 的过滤器(Filters)和拦截器(Interceptors)是 Spring Security 框架中用于保护 web 应用安全的重要组件。它们在处理 HTTP 请求时扮演不同的角色,并且相互配合以确保安全性。让我用一个更通俗易懂的方式来解释它们的作用和协作方式。

  1. 过滤器(Filters):

    • 角色类似于门卫:想象一下,你的应用是一栋大楼,而过滤器就像是大楼的门卫。每个进入大楼的人(HTTP 请求)都需要通过门卫的检查。
    • 工作在请求级别:过滤器操作在 Servlet 层,这意味着它们在请求到达你的 Spring Controllers 之前就开始工作了。
    • 责任:过滤器负责一些基本的任务,比如身份验证(检查你是谁),授权(检查你能做什么),以及其他安全检查(比如检查是否有恶意软件)。

  2. 拦截器(Interceptors):

    • 角色类似于办公室的前台:如果过滤器让请求进入了这栋大楼,那么拦截器就像是某个办公室的前台。它们在请求处理的更深层次上起作用。
    • 工作在 Controller 处理请求之前和之后:这意味着拦截器可以在你的 Controller 开始处理请求之前以及处理完毕后进行额外的操作。
    • 责任:拦截器通常用于更细粒度的控制,如处理日志记录、事务管理、处理请求数据等。

  3. 他们如何协作:

    • 当一个 HTTP 请求到达你的应用时,它首先会被过滤器处理。过滤器检查请求的安全性,比如用户是否已经登录,他们的角色是什么等。
    • 如果请求通过了过滤器的安全检查,它接下来会到达拦截器。拦截器可以进一步处理请求,比如添加一些特定的头信息,或者检查请求是否符合某些特定的业务规则。
    • 过滤器和拦截器共同确保了请求在达到实际的业务逻辑(比如你的 Controller)之前,已经是安全和符合要求的。

Spring Security 的过滤器和拦截器就像是一系列安全检查点,确保只有合法和安全的请求可以通过并被处理。过滤器更注重于安全性,而拦截器则提供了更多的灵活性和精细的控制。

基础配置

SpringSecurity的基础配置,配置“/user/login”登录不登录都可以访问,其它接口必须要经过过滤器,这里配置了自定义的JWT过滤器,每个请求过来的时候都会由JWT过滤器进行判断与放行:

如果登录了,就把token对应的用户信息放到SpringSecurityCentext中并放行,没登录的直接放行,因为没有放入用户信息,所以SpringSecurity就会直接返回403。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {// 继承WebSecurityConfigurerAdapter来自定义安全配置@AutowiredJwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;  // 自动注入JWT认证过滤器@Bean  // 标识返回的对象应该被Spring容器管理public PasswordEncoder passwordEncoder() {// 定义密码编码器,使用BCrypt强哈希算法return new BCryptPasswordEncoder();}@Bean  // 定义一个Spring管理的Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {// 重写方法以返回AuthenticationManager,用于处理认证请求return super.authenticationManagerBean();}@Overrideprotected void configure(HttpSecurity http) throws Exception {// 定义如何通过拦截器保护请求http.csrf().disable()  // 禁用CSRF保护.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)  // 设置为无状态,不依赖Session.and().authorizeRequests()  // 开始定义URL保护规则.antMatchers("/user/login").anonymous()  // “/user/login”无需认证即可访问.anyRequest().authenticated()  // 其他所有请求都需要认证.and().addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);// 在UsernamePasswordAuthenticationFilter之前添加自定义JWT过滤器}
}

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {@Autowiredprivate RedisCache redisCache;@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {//获取tokenString token = request.getHeader("token");if (!StringUtils.hasText(token)) {filterChain.doFilter(request, response);return;}//解析tokenString userId = "";try {Claims claims = JwtUtil.parseJWT(token);userId = claims.getSubject();} catch (Exception e) {e.printStackTrace();throw new RuntimeException("token非法");}//从redis中获取用户信息String redisKey = "login:" + userId;// 从Redis中获取JSON字符串JSONObject jsonObject = redisCache.getCacheObject(redisKey);LoginUser loginUser = jsonObject.toJavaObject(LoginUser.class);if (Objects.isNull(loginUser)) {throw new RuntimeException("token非法,或者用户登录超时");}//存入SecurityContextHolder//TODO 获取权限信息封装到Authentication中//必须要使用三个构造函数的,这个构造函数中有确定已经认证的代码//UsernamePasswordAuthenticationToken的构造函数,两个参数适用于登录的,三个参数适用于认证的//两个参数 → 用户提交的未经验证的身份信息。三个参数 → 已经经过验证的身份信息,带有权限集合。UsernamePasswordAuthenticationToken authenticationToken =new UsernamePasswordAuthenticationToken(loginUser, null, null);SecurityContextHolder.getContext().setAuthentication(authenticationToken);//请求放行filterChain.doFilter(request, response);}
}

 登录流程

这里省略control,直接从service开始,一行一行的讲:

@Service
public class LoginServiceImpl implements LoginService {// 自动注入AuthenticationManager,用于处理认证请求@Autowiredprivate AuthenticationManager authenticationManager;// 自动注入RedisCache,用于缓存相关操作@Autowiredprivate RedisCache redisCache;// 登录方法@Overridepublic ResponseResult login(User user) {// 创建UsernamePasswordAuthenticationToken用于身份验证UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());// 调用AuthenticationManager进行身份验证Authentication authenticate = authenticationManager.authenticate(authenticationToken);// 如果认证失败(返回null),抛出异常if (Objects.isNull(authenticate)) {throw new RuntimeException("用户名或密码错误");}// 认证成功后,使用用户ID生成JWT tokenLoginUser loginUser = (LoginUser) authenticate.getPrincipal();String userId = loginUser.getUser().getId().toString();String jwt = JwtUtil.createJWT(userId);// 将认证信息存储到Redis中redisCache.setCacheObject("login:" + userId, loginUser);// 构造响应数据,包含JWT tokenHashMap<String, String> map = new HashMap<>();map.put("token", jwt);return new ResponseResult(200, "登陆成功", map);}
}

让AuthenticationManager加入到Spring管理:

@Bean  // 定义一个Spring管理的Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {// 重写方法以返回AuthenticationManager,用于处理认证请求return super.authenticationManagerBean();
}

1、这行是用于认证,参数为账号与密码, 创建了一个包含用户名和密码的认证令牌。此时,该令牌的Authenticated属性为false,因为它仅表示一个待验证的认证请求。

UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());

2、将这个令牌传递给AuthenticationManager的authenticate方法后,开始了实际的认证过程。

Authentication authenticate = authenticationManager.authenticate(authenticationToken);

这行代码内部会调用UserDetailsService实现类中的loadUserByUsername方法,这个方法会返回对应账号的所有信息。

authenticationManager.authenticate会根据返回的用户信息与前端传入的做比较:

  1. authenticate方法会比较UsernamePasswordAuthenticationToken中的凭据和UserDetailsService加载的用户信息。如果认证成功,它会返回一个更新后的UsernamePasswordAuthenticationToken,此时,其Authenticated属性被设置为true,并且该令牌会包含用户的详细信息(通常封装在一个实现了UserDetails的自定义类中,例如LoginUser)。
  2. 如果认证失败(例如,因为密码不匹配或用户不存在),则通常会抛出一个异常(如UsernameNotFoundException或BadCredentialsException)。

下面是UserDetailsService的实现与LoginUser的实现:

@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Autowiredprivate UserMapper userMapper;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {//查询用户信息LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();queryWrapper.eq(User::getUserName, username);User user = userMapper.selectOne(queryWrapper);if (Objects.isNull(user)){throw new RuntimeException("用户名或密码错误,用户名不存在");}//TODO 查询对应权限信息return new LoginUser(user);}
}
@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {// 用户实体类,用于存储用户信息private User user;// 获取用户的权限集合。在这个例子中,返回null意味着没有指定权限@Overridepublic Collection<? extends GrantedAuthority> getAuthorities() {return null;}// 获取用户的密码,用于认证过程中的密码校验@Overridepublic String getPassword() {return user.getPassword();}// 获取用户的用户名,用于认证过程中的用户识别@Overridepublic String getUsername() {return user.getUserName();}// 账户是否未过期。返回true表示账户未过期@Overridepublic boolean isAccountNonExpired() {return true;}// 账户是否未被锁定。返回true表示账户未被锁定@Overridepublic boolean isAccountNonLocked() {return true;}// 凭证(密码)是否未过期。返回true表示密码未过期@Overridepublic boolean isCredentialsNonExpired() {return true;}// 账户是否可用。返回true表示账户是可用的@Overridepublic boolean isEnabled() {return true;}
}

3、剩下的其它的代码就很常规了。 

为什么不直接使用:Authentication authenticate = authenticationManager.authenticate(用户名,密码的形式)

Spring Security的AuthenticationManager.authenticate接口设计成可以接受不同类型的Authentication实现,而UsernamePasswordAuthenticationToken只是这些实现之一。这种设计提供了极大的灵活性和扩展性,允许Spring Security支持各种不同的认证机制。下面是一些详细解释:

UsernamePasswordAuthenticationToken和其他Authentication实现的区别

UsernamePasswordAuthenticationToken:这是最常见的Authentication实现之一,通常用于基本的用户名和密码认证。
它主要用于表单登录或任何需要用户名和密码的场景。

其他Authentication实现

Spring Security还提供了其他Authentication实现,例如RememberMeAuthenticationToken、JwtAuthenticationToken等。
每种实现都有其特定用途。例如,RememberMeAuthenticationToken用于记住我功能,而JwtAuthenticationToken可能用于基于JWT的认证。
开发者还可以根据需要创建自定义的Authentication实现,以支持特定的认证机制。

特定的需求

每种认证类型可能需要携带不同的信息。例如,JWT认证可能需要携带解析后的令牌信息,而传统的表单登录只需要用户名和密码。

处理逻辑的差异

不同类型的Authentication对象可能需要通过不同的AuthenticationProvider进行处理。例如,UsernamePasswordAuthenticationToken可能由DaoAuthenticationProvider处理,而JWT令牌可能由专门处理JWT的提供者处理。

总结

通过支持不同类型的Authentication实现,Spring Security能够提供一个统一的框架来处理多种认证机制,从而增加了框架的通用性和灵活性。这样,开发者可以根据自己的安全需求和业务逻辑选择或扩展适当的认证类型。

退出登录流程

这里省略control,直接从service开始,一行一行的讲:

@Service
public class LoginServiceImpl implements LoginService {@Autowiredprivate AuthenticationManager authenticationManager;@Autowiredprivate RedisCache redisCache;@Overridepublic ResponseResult logout() {Authentication authentication = SecurityContextHolder.getContext().getAuthentication();LoginUser loginUser = (LoginUser) authentication.getPrincipal();Long userid = loginUser.getUser().getId();redisCache.deleteObject("login:"+userid);return new ResponseResult(200,"退出成功");}
}

1、从SecurityContextHolder获取当前的安全上下文(SecurityContext),并从中检索当前认证的用户信息(Authentication对象)。这是获取当前登录用户详细信息的标准方法。

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

2、从Authentication对象中提取Principal,它代表了当前已认证的用户。在这个场景中,Principal被转换(或“强制转换”)为LoginUser类型,这是一个自定义的用户类。

LoginUser loginUser = (LoginUser) authentication.getPrincipal();

3、剩下的代码就很常规了,因为登录的时候通过token中的userId作为key,User的JSON作为value存储到redis中,接下来的代码把这个key从redis中删除就可以了,就退出登录了。

SpringSecurity配置类

所有认证相关的配置都在继承WebSecurityConfigurerAdapter 类中重写的configure方法里。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {// 继承WebSecurityConfigurerAdapter来自定义安全配置@AutowiredJwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;  // 自动注入JWT认证过滤器@Bean  // 标识返回的对象应该被Spring容器管理public PasswordEncoder passwordEncoder() {// 定义密码编码器,使用BCrypt强哈希算法return new BCryptPasswordEncoder();}@Bean  // 定义一个Spring管理的Bean@Overridepublic AuthenticationManager authenticationManagerBean() throws Exception {// 重写方法以返回AuthenticationManager,用于处理认证请求return super.authenticationManagerBean();}@Overrideprotected void configure(HttpSecurity http) throws Exception {// 定义如何通过拦截器保护请求http.csrf().disable()  // 禁用CSRF保护.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)  // 设置为无状态,不依赖Session.and().authorizeRequests()  // 开始定义URL保护规则.antMatchers("/user/login").anonymous()// 只有不认证的才可以访问.antMatchers("/xxx").permitAll()//有没有认证都可以访问.anyRequest().authenticated()  // 其他所有请求都需要认证.and().addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);/*addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)所有的请求到达之前都要先经过jwt过滤器,如果jwt过滤器没有添加认证就直接返回403jwt在UsernamePasswordAuthenticationFilter之前执行*/}
}

访问权限规则

permitAll():有没有认证的才能访问

anonymous():没有认证的才能访问

authenticated():必须要认证才能访问

权限认证

未完待续...

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/193596.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

uni-app一些目录结构、方法、生命周期、打包、微信小程序登录与支付

uni-app一些目录结构、方法、生命周期、打包、微信小程序登录与支付

1、关于uniapp的目录结构 跟普通vue项目目录结构差不多&#xff0c;多了几个核心文件&#xff0c;manifest.json是配置应用名称、appid、logo、版本等打包信息用的&#xff0c;pages.json的作用是配置页面路径、页面窗口样式、tabBar、navigationBar等页面类信息 2、页面适配方…
阅读更多...
【Node.js】笔记梳理 8 - API和JWT

【Node.js】笔记梳理 8 - API和JWT

写在最前&#xff1a;跟着视频学习只是为了在新手期快速入门。想要学习全面、进阶的知识&#xff0c;需要格外注重实战和官方技术文档&#xff0c;文档建议作为手册使用 系列文章 【Node.js】笔记整理 1 - 基础知识【Node.js】笔记整理 2 - 常用模块【Node.js】笔记整理 3 - n…
阅读更多...
12月03日,每日信息差/菲律宾发生7.4级强震后共录得955次余震/腾讯惩处超 400 万个 QQ 号:这三大行为零容忍

12月03日,每日信息差/菲律宾发生7.4级强震后共录得955次余震/腾讯惩处超 400 万个 QQ 号:这三大行为零容忍

_灵感 ​ &#x1f396; 中国联通&#xff1a;选举陈忠岳为公司董事长 &#x1f384; 菲律宾发生7.4级强震后共录得955次余震 &#x1f30d; 京沪高铁二线“收官段”尘埃落定&#xff1a;潍宿高铁初步设计正式获批 &#x1f30b; 我国燃料电池汽车产业进入提速关键期 &#…
阅读更多...
树与二叉树堆:经典OJ题集(2)

树与二叉树堆:经典OJ题集(2)

目录 二叉树的性质及其问题&#xff1a; 二叉树的性质 问题&#xff1a; 一、对称的二叉树&#xff1a; 题目&#xff1a; 解题思路&#xff1a; 二、另一棵树&#xff1a; 题目&#xff1a; 解题思路&#xff1a; 三、翻转二叉树&#xff1a; 题目&#xff1a;…
阅读更多...
synchronized和volatile的区别是什么?

synchronized和volatile的区别是什么?

synchronized和volatile是Java中的两个关键词&#xff0c;分别用于实现线程同步和线程间的可见性。 synchronized用于实现线程之间的互斥同步&#xff0c;即同一时刻只能有一个线程访问被synchronized修饰的代码块或方法&#xff0c;其他线程需要等待。synchronized确保了线程…
阅读更多...
非功能关键知识总结(一)

非功能关键知识总结(一)

文章目录 一、稳定性(一)、服务级别协议1、SLA2、OLA3、UC (二)、可用性指标(三)、突发事件等级 三、质量(一)、千行代码缺陷数量(二)、软件质量模型的发展(三)、产品质量模型 四、安全(一)、网络安全 五、灾备(一)、灾备指标(二)、灾难恢复等级(三)、容灾技术分类 一、稳定性 …
阅读更多...
一次电气——电抗器(一)

一次电气——电抗器(一)

我之前的工作是在国外建联合循环电厂&#xff0c;现在的工作是研发一次电力设备。虽然仍是在电力行业发展&#xff0c;但这两份不同岗位不同职能的工作究其感受而言有很大的不同。相较于第一份工作&#xff0c;第二份工作带给我带来的更多的是一种由广及微&#xff0c;由浅入深…
阅读更多...
kafka3.6.0部署

kafka3.6.0部署

部署zk https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.9.1/apache-zookeeper-3.9.1.tar.gz tar -xf apache-zookeeper-3.9.1.tar.gz -C /apps cd /apps/ && ln -s apache-zookeeper-3.9.1 zookeeper 修改配置bash grep -vE ^$|^# conf/zo…
阅读更多...
buuctf [极客大挑战 2019]Havefun1

buuctf [极客大挑战 2019]Havefun1

解题思路&#xff1a; 小习惯 本题先看看源码或者检查一下&#xff0c;可能这是俺的一个小习惯。 源码里面都看到了php的代码 php代码解析&#xff1a; $cat$_GET[cat]; echo $cat; if($catdog){ echo Syc{cat_cat_cat_cat}; } 1.$ca…
阅读更多...
<蓝桥杯软件赛>零基础备赛20周--第8周第2讲--排序的应用

<蓝桥杯软件赛>零基础备赛20周--第8周第2讲--排序的应用

报名明年4月蓝桥杯软件赛的同学们&#xff0c;如果你是大一零基础&#xff0c;目前懵懂中&#xff0c;不知该怎么办&#xff0c;可以看看本博客系列&#xff1a;备赛20周合集 20周的完整安排请点击&#xff1a;20周计划 每周发1个博客&#xff0c;共20周&#xff08;读者可以按…
阅读更多...
模板可变参数/包装器

模板可变参数/包装器

一、什么是模板可变参数 1、对比函数可变参数 可变参数即参数的数量是不确定的&#xff0c;底层根据用户传入的数量&#xff0c;开一个数组存储对应的参数。 2、基本形式 args -- argument 参数 [0,n]个参数 // Args是一个模板参数包&#xff0c;args是一个函数形参参数包…
阅读更多...
课题学习(十四)----三轴加速度计+三轴陀螺仪传感器-ICM20602

课题学习(十四)----三轴加速度计+三轴陀螺仪传感器-ICM20602

本篇博客对ICM20602芯片进行学习&#xff0c;目的是后续设计一个电路板&#xff0c;采集ICM20602的数据&#xff0c;通过这些数据对各种姿态解算的方法进行仿真学习。 一、 ICM20602介绍 1.1 初识芯片 3轴陀螺仪&#xff1a;可编程全刻度范围(FSR)为250 dps&#xff0c;500 d…
阅读更多...
JavaWeb(四)

JavaWeb(四)

一、约束的概念和分类 约束是作用于表中列上的规则&#xff0c;用于限制加入表的数据&#xff0c;约束的存在保证了数据库中数据的正确性、有效性和完整性。 1.1、单表约束 利用约束创建表 需要注意的是: 1、主键是一行数据的唯一标识&#xff0c;要求非空且唯一。一张表只能…
阅读更多...
Ubuntu20.04安装ROS2

Ubuntu20.04安装ROS2

官方参考文章 Ubuntu (Debian) — ROS 2 Documentation: Foxy documentation curl密钥问题 sudo curl -sSL https://raw.githubusercontent.com/ros/rosdistro/master/ros.key -o /usr/share/keyrings/ros-archive-keyring.gpg curl: (7) Failed to connect to raw.githubus…
阅读更多...
DNA模糊匹配(动态规划)

DNA模糊匹配(动态规划)

我做动态规划还是少的 只会做那些显而易见的动态规划题&#xff08;这题是看了给出来的解题思路做的&#xff09; 以后可能就会做与这类似的了 代码如下&#xff1a; #include<stdio.h> #include<string.h> int get_min(int a, int b, int c); int min_l[301][…
阅读更多...
R语言gWQS包在加权分位数和回归模型的应用

R语言gWQS包在加权分位数和回归模型的应用

在流行病学研究中&#xff0c;相较于单一因素的暴露&#xff0c;多因素同时暴露的情况更为常见。传统模型在评价多因素联合暴露时存在数据维度高、多重共线性等问题. WQS 回归模型的基本原理是通过分位数间距及加权的方法&#xff0c;将多种研究因素的效应综合成为一个指数&…
阅读更多...
LLM大语言模型(一):ChatGLM3-6B试用

LLM大语言模型(一):ChatGLM3-6B试用

前言 LLM大语言模型工程化&#xff0c;在本地搭建一套开源的LLM&#xff0c;方便后续的Agent等特性的研究。 本机环境 CPU&#xff1a;AMD Ryzen 5 3600X 6-Core Processor Mem&#xff1a;32GB GPU&#xff1a;RTX 4060Ti 16G ChatGLM3代码库下载 # 下载代码库 ​git c…
阅读更多...
java后端自学错误总结

java后端自学错误总结

java后端自学错误总结 MessageSource国际化接口总结 MessageSource国际化接口 今天第一次使用MessageSource接口,比较意外遇到了一些坑 messageSource是spring中的转换消息接口&#xff0c;提供了国际化信息的能力。MessageSource用于解析 消息&#xff0c;并支持消息的参数化…
阅读更多...
【中文编码】利用bert-base-chinese中的Tokenizer实现中文编码嵌入

【中文编码】利用bert-base-chinese中的Tokenizer实现中文编码嵌入

最近接触文本处理&#xff0c;查询了一些资料&#xff0c;记录一下中文文本编码的处理方法吧。   先下载模型和词表&#xff1a;bert-base-chinese镜像下载   如下图示&#xff0c;下载好的以下文件均存放在 bert-base-chinese 文件夹下    1. 词编码嵌入简介 按我通俗的…
阅读更多...
基于SpringBoot的公益慈善平台

基于SpringBoot的公益慈善平台

✌全网粉丝20W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ &#x1f345;文末获取项目下载方式&#x1f345; 一、项目背景介绍&#xff1a; 基于SpringBoot的公益…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023