2. 程式人生 > >Spring security 基本感知

Spring security 基本感知

阿新 發佈:2018-11-30

流程

1.接收請求

1、HTTP基本身份驗證請求通過過濾器鏈直到它到達BasicAuthenticationFilter。

2、HTTP摘要式身份驗證請求通過過濾器鏈,直到它到達DigestAuthenticationFilter。

3、登入表單提交請求(登入表單身份驗證請求)通過過濾器鏈直到它到達UsernamePasswordAuthenticationFilter。

4、x509身份驗證請求通過過濾器鏈直到它到達X509AuthenticationFilter等...

2.根據使用者憑據建立AuthenticationToken

相關的AuthenticationFilter收到身份驗證請求,會從收到的請求中提取使用者名稱和密碼(大多數身份驗證機制都需要使用者名稱和密碼)。 之後,它會根據提取的使用者憑據建立一個Authentication物件。 如果提取的憑據是使用者名稱和密碼,則將使用提取/找到的使用者名稱和密碼建立UsernamePasswordAuthenticationToken。

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by Fernflower decompiler)
//

package org.springframework.security.core;

import java.io.Serializable;
import java.security.Principal;
import java.util.Collection;

public interface Authentication extends Principal, Serializable {

    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

3.建立的AuthenticationToken委派給AuthenticationManagager

它將用於呼叫AuthenticationManager的authenticate方法。 AuthenticationManager只是一個介面,實際的實現是ProviderManager。

public interface AuthenticationManager {
    // 核心
    Authentication authenticate(Authentication authentication)throws AuthenticationException;

}

ProviderManager有一個配置的AuthenticationProvider列表,應該用於驗證使用者請求。 ProviderManager將遍歷每個提供的AuthenticationProvider,並嘗試根據傳遞的Authentication Object對使用者進行身份驗證(例如: - UsernamePasswordAuthenticationToken)

4.嘗試使用AuthenticationProvider列表進行身份驗證

// 自定義驗證器時需要實現
public interface AuthenticationProvider {
    // 驗證規則
    Authentication authenticate(Authentication var1) throws AuthenticationException;
    // 支援的Authentication型別 
    boolean supports(Class<?> var1);
}

以下是框架附帶的一些現有身份驗證程式:

  • CasAuthenticationProvider
  • JaasAuthenticationProvider
  • DaoAuthenticationProvider
  • OpenIDAuthenticationProvider
  • RememberMeAuthenticationProvider
  • LdapAuthenticationProvider

5. 驗證資料來源:UserDetailsService

public interface UserDetailsService {
    // 根據使用者名稱獲取使用者資訊,返回封裝成UserDetail或實現返回
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

}

6、7. UserDetails 介面和 User 實現?

UserDetailsService將根據使用者名稱檢索UserDetails(實際實現是User)。

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();
}

User實現:org.springframework.security.core.userdetails.User

8.返回Authentication 或者丟擲 AuthenticationException?

如果使用者成功通過身份驗證,則將返回完全填充的Authentication物件。 否則將丟擲AuthenticationException。

如果丟擲任何AuthenticationException,那將由支援身份驗證機制的已配置AuthenticationEntryPoint處理。

9.驗證完成!

AuthenticationManager將獲取的完全填充的Authentication物件返回到相關的Authentication 過濾器。

然後,相關的AuthenticationFilter會將獲取的身份驗證物件儲存在SecurityContext中,以供將來過濾器使用。 (用於授權過濾器)

SecurityContextHolder.getContext().setAuthentication(authentication);

元件

SecurityContextHolder

SecurityContextHolder使用ThreadLocal來儲存這些詳細資訊,這意味著安全上下文始終可用於同一執行執行緒中的方法,即使安全上下文未作為這些方法的引數顯式傳遞

  • 配置:
    • SecurityContextHolder.MODE_GLOBAL策略:獨立應用程式,全域性共享使用者資訊
    • SecurityContextHolder.MODE_INHERITABLETHREADLOCAL:安全執行緒生成的執行緒也採用相同的安全標識
// 從SecurityContextHolder中獲取使用者身份資訊
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
    String username = ((UserDetails)principal).getUsername();
} else {
    String username = principal.toString();
}

UserDetailsService

資料來源:UserDetails loadUserByUsername(String username) throws UsernameNotFoundException; 校驗實現:AuthenticationProvider

GrantedAuthority

Authentication提供的另一個重要方法是getAuthorities()。 此方法提供GrantedAuthority物件的陣列。GrantedAuthority是授予主體的許可權。 這些許可權通常是“角色”,例如ROLE_ADMINISTRATOR或ROLE_HR_SUPERVISOR

相關推薦

Spring security 基本感知

流程 1.接收請求 1、HTTP基本身份驗證請求通過過濾器鏈直到它到達BasicAuthenticationFilter。 2、HTTP摘要式身份驗證請求通過過濾器鏈,直到它到達DigestAuthenticationFilter。 3、登入表單提交請求(登入表單身份驗證請求)通過過

spring security 基本配置

給大家推薦個靠譜的公眾號程式設計師探索之路,大家一起加油 git專案地址:https://github.com/ZhZGod/spring-security-demo.git 1.實現 org.springframework.security.core.userdetails.Use

Spring Security應用開發(10) 並發控制之基本介紹

authorize 失效 session report 表示 container 頁面 屬性 ren 同一個用戶使用不同的瀏覽器登錄,將會導致什麽結果呢?Spring Security提供了多種選項。 <!-- session管理 --> <

Spring Security基本使用

1、在web.xml中配置spring security的過濾器代理: filter-class = org.springframework.web.filter.DelegatingFilterProxy, 這個代理會把過濾到請求自動轉到 springSecurityFilte

Spring Security之旅————————————基本介紹安裝(1)

首先建立一個maven專案 並建立一個子模組 然後父模組pom <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xs

SpringBoot + Spring Security OAuth2基本使用

OAuth2.0基本知識 網上關於OAuth2.0的介紹已經很多了,這裡就不做過多的介紹,不太瞭解的朋友可以參考理解OAuth 2.0 Spring Security OAuth2 基本配置 這裡依然使用maven來做管理 <de

Spring Security技術棧開發企業級認證與授權(八)Spring Security基本執行原理與個性化登入實現

正如你可能知道的兩個應用程式的兩個主要區域是“認證”和“授權”(或者訪問控制)。這兩個主要區域是Spring Security的兩個目標。“認證”,是建立一個他宣告的主題的過程(一個“主體”一般是指使用者,裝置或一些可以在你的應用程式中執行動作的其他系統)

Spring Security應用開發(04)HTTP basic認證

角色 cati onf poi font con prop ins mode Spring Security默認是使用form-login表單認證方式。 <!-- 默認使用表單認證 --> <sec:form-login /> Spring

使用Spring Security和OAuth2實現RESTful服務安全認證

schema repo gradle nbsp tps protect 一個 ndb lac 這篇教程是展示如何設置一個OAuth2服務來保護REST資源. 源代碼下載github. (https://github.com/iainporter/oauth2-provide

Spring Security應用開發(11) 並發控制之實踐

nag line then 9.png page 總結 -c ole for 本文分別介紹了四種不同情況下,Spring Security的Session管理和並發控制的不同配置的配置方法,以及所產生的效果。 (1)首先編寫了session_error.jsp頁面,用於

Spring-Security】【1】認證和授權

部分 完整 業務 代碼 參數 web 用戶訪問 設置 管理權限 【認證】 憑據為基礎的認證: 當你登錄 e-mail 賬號時,你可能提供你的用戶名和密碼。E-mail的提供商會將你的用戶名與數據中的記錄進行匹配,並驗證你提供的密碼與對應的記錄是不是匹配。這些憑證(用戶名和

Spring-Security】【2】DelegatingFilterProxy

pat security clas 添加 chain let XML org mapping Spring Security 對我們應用的影響是通過一系列的 ServletRequest 過濾器實現的。 Spring Security 使用了 o.s.web.filter

Spring Security框架下Restful Token的驗證方案

false rri blob 返回 sch date html 官方 form 項目使用Restful的規範,權限內容的訪問,考慮使用Token驗證的權限解決方案。 驗證方案(簡要概括): 首先,用戶需要登陸,成功登陸後返回一個Token串; 然後用戶訪問有權限的內容時需要

Spring Security應用開發(15)層次化角色體系

投票 rar 函數參數 prop lin span efault nag pass 1.1. 層次化角色體系 使用Spring Security的層次化角色體系,可以簡化復雜角色的配置。配置過程如下: (1)首先需要在http結點中指定訪問決策管理器。 <!-- 角

Spring Security-- 驗證碼功能的實現

turn stringbu overflow .net 內容 一個 子類 異常 too spring security4 添加驗證碼 http://www.itwendao.com/article/detail/165400.html http://www.itdada

Spring Security應用開發(19)基於方法的授權(三)AOP

ntc blog view lob byname 控制器 頁面 poi bject 本文介紹使用AOP的配置方式來實現基於方法的授權。 (1)首先使用Spring Security提供的protect-pointcut進行配置。 protect-pointcut結點配置

Spring Security應用開發(18)基於方法的授權(二)過濾

屬性 and welcome pre length ++ per tsa 目標 本文將介紹@PreFilter和@PostFilter這兩個註解。 @PreFilter @PreFilter用於對方法的參數進行過濾。這種情況下參數通常是集合類型,符合條件的值被保留在集合

Spring Security應用開發(16)基於表達式的訪問控制

member font pan 地址 使用 基於 spa 數組 express 1.1.1. 通用表達式 Spring Security 使用基於Spring EL的表達式來進行訪問控制。內置的表達式如下表所示: 表達式 描述 hasRole(ro

Spring Security入門(2-3)HttpSecurity的使用

登錄 一個 最終 指定 ebs row pat ati 是我 到目前為止我們的 SecurityConfig 只包含了關於如何驗證我們的用戶的信息。 Spring Security怎麽知道我們想對所有的用戶進行驗證?Spring Security怎麽知道我們需要支持基於表單

OAuth2.0學習(4-1)Spring Security OAuth2.0 - 代碼分析

endpoint manager authent work cor tro 過程 pro efi 1、org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter