Spring Security 概念基础 验证流程
Spring Security 概念基础 验证流程
认证&授权
- 认证:确定是否为合法用户
- 授权:分配角色权限(分配角色,分配资源)
认证管理器(Authentication Manager)
负责认证用户是否为合法
访问决策管理器(Access Decision Manager)
负责判定一个安全实体是不是有适当的访问权限
认证
//认证
user request
↓
(AbstractClass) AbstractAuthenticationProcessingFilter
|-获取用户提供个信息并创建一个部分完整的 Authentication 对象来传递凭证信息
(实现类)UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter
|-do: create o.s.s.core.Authentication (生成用户信息 UsernamePasswordAuthenticationToken)
↓
(Interface) AuthenticationManager
|-校验用户的凭证信息,用户无效会抛出一个特定的异常 成功会补全Authentication的信息(如权限信息)
(实现类)ProviderManager implements AuthenticationManager
|-注入 (interface)AuthenticationProvider
|-注入 (Interface) UserDetails
|-获取 o.s.s.core.userdetails.UserDetails 获取用户信息
|-验证用户是否合法,验证用户是否拥有权限
valid credentials(验证合法) /invalid credentials (用户无效)-> Throw AuthenticationException
↓
添加其他信息如权限 (o.s.s.core.GrantedAuthority)
↓
验证成功
o.s.s.core.Authentication(用户信息)
- 它存储安全实体的标识、密码以及认证请求的上下文信息。
- 它还包含用户认证后的信息 (可能会包含一个 UserDetails 的实例)。
- 通常不会被扩展,除非是为了支持某种特定类型的认证。
//返回安全实体的唯一标识(如,一个用户名)
Object getPrincipal()
//返回安全实体的凭证信息
Object getCredentials()
//得到安全实体的权限集合,根据认证信息的存储决定的。
List<GrantedAuthority> getAuthorities()
//返回一个跟认证相关的安全实体细节信息
Object getDetails()
UserDetails
- 为了存储一个安全实体的概况信息,包含名字、e-mail、电话号码等。
- 通常会被扩展以支持业务需求。
o.s.s.core.GrantedAuthority(权限集合)
//返回安全实体的唯一标识(如,一个用户名)
Object getPrincipal()
//返回安全实体的凭证信息
Object getCredentials()
//得到安全实体的权限集合,根据认证信息的 存储决定的。
List<GrantedAuthority> getAuthorities()
//返回一个跟认证 供者相关的安全实体细节 信息
Object getDetails()
AuthenticationException(用户验证无效异常)
- authentication 存储关联认证请求的Authentication实例;
- extraInformation 根据特定的异常可以存储额外的信息。如UsernameNotFoundException 在这个域上存储了用户名。
Exception | 解析 | extraInformation |
---|---|---|
BadCredentialsException | 如国没有供用户名或者密码与认证存储中用户名对应的密码不匹配 | UserDetails |
LockedException | 如果用户的账号被发现锁定了 | UserDetails |
UsernameNotFoundException | 如果用户名不存在或者用户没有被授予的GrantedAuthority | String(包含用户名) |
授权
//访问资源(即授权管理)
user request url
↓
AbstractSecurityInterceptor (委托一个AccessDecisionManager完成授权的判断)
↓(获取配置的权限信息)
FilterInvocationSecurityMetadataSource
↓
AccessDecisionManager(需要获取AccessDecisionVoters)
↓
返回决策结果
o.s.s.access.AccessDecisionManager
//判断是否支持当前的请求。
supports()
//核实访问是否被允许以及请求是否能够被接受。该方法实际上没有返回值,通过抛出异常来表明对 请求访问的拒绝。
decide()
o.s.s.access.AccessDecisionVoter (投票决策器)
Grant (ACCESS_GRANTED)
投票器允许对资源的访问
Deny (ACCESS_DENIED)
投票器拒绝对资源的访问
Abstain (ACCESS_ABSTAIN)
投票器对是否能够访问做了弃权处理(即没有做出决定)。
AccessDeniedException (以下情形返回该异常)
- AuthenticationProvider 当供的凭证不合法 或用户失效、过期;
- DaoAuthenticationProvider 当访问 DAO 数据 存储时出错;
- RememberMeServices 当 remember me cookie 被篡改; 各种特定的认证类(CAS、NTLM 等)在用户 特定的场景下。
- 当配置的 Voter 投票 拒绝访问(注意这可能在任何投票场景下)
Spring Security 概念基础 验证流程的更多相关文章
- Spring Security 的注册登录流程
Spring Security 的注册登录流程 数据库字段设计 主要数据库字段要有: 用户的 ID 用户名称 联系电话 登录密码(非明文) UserDTO对象 需要一个数据传输对象来将所有注册信息发送 ...
- 自定义Spring Security的身份验证失败处理
1.概述 在本快速教程中,我们将演示如何在Spring Boot应用程序中自定义Spring Security的身份验证失败处理.目标是使用表单登录方法对用户进行身份验证. 2.认证和授权(Authe ...
- spring security关闭http验证 和 springboot 使用h2数据库
spring security关闭http验证 最近在跑demo的过程中,访问swagger页面的时候需要验证登录,记得在之前写的代码中是关闭了security验证,无需登录成功访问,直接在appli ...
- Spring Security OAuth2 完全解析 (流程/原理/实战定制) —— Client / ResourceServer 篇
一.前言 本文假设读者对 Spring Security 本身原理有一定程度的了解,假设对 OAuth2 规范流程.Jwt 有基础了解,以此来对 SpringSecurity 整合 OAuth2 有个 ...
- Spring Security在登录验证中增加额外数据(如验证码)
在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码.用户类型等.下面将介绍如何实现. 注:我的工程是在Spring Boot框架基础上的, ...
- [spring security] spring security 4 基础Demo
依赖包: <properties> <junit.version>4.11</junit.version> <spring.version>4.1.6. ...
- spring security结合数据库验证用户-XML配置方式
之前的用户信息我们都是使用的内存用户,测试例子可以,实际中使用肯定不行,需要结合数据库进行验证用户.这就是本节的重点: 项目目录如下: 在之前的项目中的依赖中添加两个依赖: <dependen ...
- 认证与授权】Spring Security系列之认证流程解析
上面我们一起开始了Spring Security的初体验,并通过简单的配置甚至零配置就可以完成一个简单的认证流程.可能我们都有很大的疑惑,这中间到底发生了什么,为什么简单的配置就可以完成一个认证流程啊 ...
- Spring Security Source Code -- 验证标准流程
除了初始阶段: 主干验证流程链: MyInvocationSecurityMetadataSource.getAttributes(Object) line: 43 MyFilterSecur ...
随机推荐
- 【JAVAWEB学习笔记】08_MySQL&JDBC回顾
今天晨读单词: CRUD:增删改查(create/read/update/delete)create:新增项目read:查询update:修改delete:删除 desc 表名:查看表结构drop:删 ...
- js算法集合(二) javascript实现斐波那契数列 (兔子数列)
js算法集合(二) 斐波那契数列 ★ 上一次我跟大家分享一下做水仙花数的算法的思路,并对其扩展到自幂数的算法,这次,我们来对斐波那契数列进行研究,来加深对循环的理解. Javascript实 ...
- [原创]Nexus5 源码下载、编译、真机烧录过程记录
asop使用清华镜像源https://mirror.tuna.tsinghua.edu.cn/help/AOSP/ 一开始使用每月初始化包的方式因为无法搞定版本的问题,没能通过编译,无奈,老老实实一点 ...
- Visual Studio Code for mac
Visual Studio Code for mac 将下载文件解压拖到应用程序文件夹即可 下载地址:链接: https://pan.baidu.com/s/1geHL5f1 密码: 2fdw
- 利用shell脚本监控目录内文件改动
#! /bin/bash webroot="/home/www/" cp /dev/null rsync_file if [ ! -f file.md5 ];then ...
- RabbitMQ安装记录(CentOS)
参照官方文档:http://www.rabbitmq.com/install-rpm.html Install Erlang from EPEL 激活EPEL源: rpm -ivh http://dl ...
- 利用formatter原理自动化参数化查询
前言:对于经常忙于服务端开发的小伙伴来说,与DB层打交道是在正常不过的事了,但是每次页面的查询条件新增往往意味着后端代码参数化同比增长,当然你可以不使用sqlhelper自带的参数化条件查询,可以直接 ...
- 浅谈JAVA验证码~
这两天在帮同学做个项目,项目中需要做个验证码,说实话那么多年竟然没注意过这东西,原理很简单,贴出来给大家做个参考. 1.简单介绍 一般稍微有些经验的程序员都不会再自己写原生验证码生成了,因为各种强大的 ...
- Vue.js高仿饿了么WebApp
介绍 学习Vue.js也有一阵子了,为了加深对Vue的理解及运用,做了一个小项目.这是一个高仿饿了么外卖WebApp,现已完成商品预览.商品详情.商家预览.添加购物.查看评论等功能. 部分截图 项目预 ...
- js写插件教程
<!doctype html><html lang="en"><head> <meta charset="UTF-8&qu ...