Spring Security极简入门三部曲(中篇)
Spring Security极简入门三部曲(中篇)
大家好,我是白泽。通过上篇的学习,我们实现了一个简单的基于角色验证的小demo,但是不足之处在于用户和角色的信息我们写死在了内存中,而实际项目中必然是写在数据库里的,但是在将数据存入数据库之前,为了让你更深入理解Spring Security授权的验证流程,我需要为你介绍一些关键的接口和类(很遗憾这一部分无法完全避免),如果你只想继续学习Spring Security的使用,直接跳到demo时刻部分吧!
验证流程

Authentication接口
用户在前端输入的登陆信息传入后台后将封装入一个Authentication接口的实现类,它作为认证和授权的对象穿过整个过滤器链,反过来我们也能从Authentication实现类中取出用户账户的相关信息(用户名、密码、获取的权限等) Authentication实现类的获取方法:SecurityContextHolder.getContext().getAuthentication()
public interface Authentication extends Principal, Serializable {
Collection<? extends GrantedAuthority> getAuthorities();//返回一组已经分发的权限(角色)
Object getCredentials(); //返回凭证,即密码
Object getDetails();
Object getPrincipal(); //返回身份信息,即用户名
boolean isAuthenticated();
void setAuthenticated(boolean var1) throws IllegalArgumentException;
}
过滤器链
Spring Security框架核心有一个ProviderManager类,点开它的源码,它有一个List providers属性,这个List集合中就是存放着一个个AuthenticationProvider的实现类(定义了一个个权限验证的规则),这个List集合就组成了过滤器链


AuthenticationProvider接口:
public interface AuthenticationProvider {
Authentication authenticate(Authentication var1) throws AuthenticationException;
boolean supports(Class<?> var1);
}
上面提到,ProviderManager实例的providers属性存放了AuthenticationProvider接口的实现类集合,而AuthenticationProvider实现类就是实现权限验证流程的关键,它主要需要实现AuthenticationProvider接口的authenticate()方法,这个方法接收一个Authentication实例,返回一个Authentication实例
结合上面那张ProviderManager的图,你是不是就理解过滤器链是如何工作的了?(一开始就提到了用户登陆之后,将数据封装为一个Authentication实例,并由这个实例通过整个过滤器链进行验证,而此时AuthenticationProvider接口的实现类的authenticate()方法不就实现了接收一个Authentication实例,返回一个Authentication实例吗?一个个AuthenticationProvider实现类组合在一起就得到了链式的验证流程)
demo时刻
需要实现的功能:
demo2保留demo1的所有功能,github项目地址
自定义一个验证器加入过滤器链(实现:当用户使用baize账户登陆时,无论密码是什么,都将获取USER和ADMIN权限)
代码讲解
事实上我们只新建了AuthenticationProvider接口的实现类BaiZeAuthenticationProvider,去重写它的两个方法,自定义了一个验证器。并在SecurityConfiguration类中完成注入(相当于自定义过滤器加入过滤器链)
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
//从authentication实例中获取用户名和密码(这个authentication实例贯穿流程始终)
String username = authentication.getName();
String password = authentication.getCredentials().toString();
if (username.equals("baize")) {
Collection<GrantedAuthority> authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN")); //ROLE_ADMIN写法是固定的
authorities.add(new SimpleGrantedAuthority("ROLE_USER")); //ROLE_USER写法是固定的
return new UsernamePasswordAuthenticationToken(username, password, authorities);
} else {
return null;
}
}

小结
- 很抱歉我依旧没有为你讲解如何将用户、角色等数据存入数据库中,本节更多是介绍了Spring Security的验证流程,但相信你如果真的结合demo2学了下来,你的收获一定不小
- 我们自定义了一个验证器并将其加入过滤器链使黑客baize账户获取两个权限并完成登陆
- 白泽将在下一篇真正开始将数据存入数据库并构成第三个demo,敬请期待吧~
- 欢迎评论区留言
Spring Security极简入门三部曲(中篇)的更多相关文章
- Spring Security极简入门三部曲(上篇)
目录 Spring Security极简入门三部曲(上篇) 写在前面 为什么要用Spring Security 数据库设计 demo时刻 核心代码讲解 小结 Spring Security极简入门三部 ...
- ElasticSearch极简入门总结
一,目录 安装es 项目添加maven依赖 es客户端组件注入到spring容器中 es与mysql表结构对比 索引的删除创建 文档的crud es能快速搜索的核心-倒排索引 基于倒排索引的精确搜索. ...
- Git 极简入门教程学习笔记
Git 极简入门教程 http://rogerdudler.github.io/git-guide/index.zh.html 测试用 https://github.com/xxx/BrnShop. ...
- .Net Core in Docker极简入门(下篇)
Tips:本篇已加入系列文章阅读目录,可点击查看更多相关文章. 目录 前言 开始 Docker-Compose 代码修改 yml file up & down 镜像仓库 最后 前言 上一篇[. ...
- 【Java杂货铺】用Security做权限极简入门
原来大多数单体项目都是用的shiro,随着分布式的逐渐普及以及与Spring的天生自然的结合.Spring Security安全框架越受大家的青睐.本文会教你用SpringSecurity设计单项目的 ...
- Spring Security Web应用入门环境搭建
在使用Spring Security配置Web应用之前,首先要准备一个基于Maven的Spring框架创建的Web应用(Spring MVC不是必须的),本文的内容都是基于这个前提下的. pom.xm ...
- Spring Security简介与入门Demo
1:Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配 ...
- springboot集成spring security安全框架入门篇
一. :spring security的简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下 ...
- Spring Security 从配置入门 学习讲解。万恶之源------------web.xml
这段时间,工作闲了下来,接触了Spring Security,对于我一个基础很差的人来说,无疑是个挑战啊. 经过一段时间的摸索,终于有了点眉目,在这里,要特别感谢http://blog.csdn.ne ...
随机推荐
- 后端程序员之路 42、Semaphore
前面学习了Pthreads,了解了线程和线程同步,而同步这个东西,与信号量是密不可分的.下面讨论的主要是Pthreads里的semaphore.h,而不是sys/sem.h [Linux]线程同步之信 ...
- 基于Hi3559AV100 RFCN实现细节解析-(1)VGS初介绍
下面随笔系列将对Hi3559AV100 RFCN实现细节进行解析,因为RFCN用到了VGS加框,因此本篇随笔将给出VGS视频图像子系统的具体说明,便于后面RFCN的细节实现说明. VGS 是视频图形子 ...
- mysql从一个表提取数据更新另外一个表(修复表数据的不一致)
目前碰到一个数据不一致的情况,有两张表,一张项目表,一张项目成员表,项目表有个字段是项目工作时间,是项目成员的工作时间汇总.是由于该了逻辑,所以要把数据改成一致. 项目表的大致结构如下. 表名:pro ...
- 基于云原生DevOps服务自动化部署前端项目学习总结
本文主要以部署前端Vue项目为例,讲述了如何基于云原生DevOps服务自动化部署前端项目~从开发完成到线上环境,我们只需提交代码即可~ 一.引言 作为一名开发人员,日常工作中我们除了需要负责代码的开发 ...
- SpringBoot启动流程分析原理(一)
我们都知道SpringBoot自问世以来,一直有一个响亮的口号"约定优于配置",其实一种按约定编程的软件设计范式,目的在于减少软件开发人员在工作中的各种繁琐的配置,我们都知道传统的 ...
- Tomcat8弱口令+后台getshell
漏洞原因 用户权限在conf/tomcat-users.xml文件中配置: <?xml version="1.0" encoding="UTF-8"?&g ...
- Nacos常用配置
属性配置 1. 配置年级是否显示 这里配置的屏蔽的年级,在运营后台去删掉相关id就行了 2. 过滤标签显示特定课程数据 指定 yaml 文件显示 course.tagCourse.tagName=寒假 ...
- 仿MSDN的帮助系统
作为软件开发人员,软件做好后,接下来就是编写文档.我自己也是做软件的,经常有用户询问软件的安装与使用, 我一直很喜欢微软的MSDN帮助系统,简介.大气,使用方便. 网上也找了很久,感觉一直没有合适的, ...
- python-自定义一个序列
python的序列可以包含多个元素,开发者只要实现符合序列要求的特殊方法,就可以实现自己的序列 序列最重要的特征就是可以包含多个元素,序列有关的特使方法: __len__(self):该方法的返回值决 ...
- Java 树结构实际应用 四(平衡二叉树/AVL树)
平衡二叉树(AVL 树) 1 看一个案例(说明二叉排序树可能的问题) 给你一个数列{1,2,3,4,5,6},要求创建一颗二叉排序树(BST), 并分析问题所在. 左边 BST 存在的问题分析: ...