Spring Security Web安全性解决方案

于 2024-04-11 15:01:07 发布
阅读量961 收藏 31
点赞数 22
文章标签: spring web安全 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HideonHacker/article/details/134465729
版权

1. 简介

Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。
Spring Security 是通过加入自定义过滤器的方式,对访问请求进行认证和鉴权,核心过滤器就是认证过滤器和鉴权过滤器。

用户认证(Authentication)

一般为用户名和密码认证,又称登录验证

用户授权(Authorization)

每个用户对网站的操作权限不同,即分配用户权限

核心

UsernamePasswordAuthenticationFilter 登录认证
(RememberMeAuthenticationFilter,BasicAuthenticationFilter,AnonymousAuthenticationFilter) 其余的认证过滤器
ExceptionTranslationFilter 异常处理
FilterSecurityInterceptor 鉴权拦截处理

2. 认证过程

在这里插入图片描述

2.1 认证过程解析

2.1.1 Authentication(用来传递用户信息:用户名 + 密码 + 权限列表等)

2.1.2 UsernamePasswordAuthenticationFilter(账号密码认证过滤器,验证方式由AuthenticationManager 提供)

2.1.3 AuthenticationManager(认证管理器,是发起认证的出发点。提供一个默认实现ProviderManager)

2.1.3.1 ProviderManager(认证提供者管理器,该类中维护了一个认证提供者列表,只要这个列表中的任何一个认证提供者提供的认证方式认证通过,认证就结束。)
2.1.3.1.1 AuthenticationProvider(认证提供者,具体如何认证就看如何实现这个接口。SpringSecurity提供了DaoAuthenticationProvider实现,是使用数据库中数据进行验证)
2.1.3.1.1.1 UserDetailsService(根据用户名获取用户详细信息)

2.1.3.1.1.1.1 UserDetails(用户详细信息)

2.1.4 SecurityContextHolder(SecurityContextHolder 是最基本的对象,它负责存储当前 SecurityContext 信息。SecurityContextHolder默认使用 ThreadLocal 来存储认证信息,意味着这是一种与线程绑定的策略。在Web场景下的使用Spring Security,在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息。)

2.1.4.1 SecurityContext(SecurityContext 负责存储认证通过的用户信息(Authentication对象),保存着当前用户是什么,是否已经通过认证,拥有哪些权限等等。)

3. 鉴权过程

在这里插入图片描述

最低0.47元/天 解锁文章
DDDerek~
关注
Spring Boot 安全性:使用 Spring Security 实现用户认证与权限管理!
**My Coding Family**
04-27 778
🏆 本文精选收录于《滚雪球学SpringBoot》专栏,专为零基础学习者量身打造。从Spring基础到项目实战,手把手带你掌握核心技术,助力你快速提升,迈向职场巅峰,开启财富自由之路🚀!无论你是刚入门的小白,还是已有基础的开发者,都能在这里找到适合自己的学习路径!    🌟 关注、收藏、订阅,持续更新中!和我们一起高速成长,突破自我!💡
SpringSecurity安全性框架详解
weixin_48530729的博客
04-30 4079
SpringSecurity简介 Spring Security是一个高度自定义的安全框架。利用 Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。使用 Spring Se
Day46_Spring SecuritySpring SecurityWeb使用
weixin_45014721的博客
07-12 599
1.改pom。
Spring Security】—— WebSecurity
qq_33471737的博客
06-28 743
官网地址 Spring Security Reference 版本:Version 5.5.0 WebSecurity 的继承关系图 在前面了解过 WebSecurity、HttpSecurity、AuthenticationManagerBuilder 这三个重要构建者公共的部分: |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder 公共的这部分对构建者做扩展,点击这里可以回顾
SpringSecurity---web
tianynnb的博客
07-28 1087
1. SpringSecurity 特点: 和 Spring 无缝整合。 全面的权限控制。 专门为 Web 开发而设计。 旧版本不能脱离 Web 环境使用。 新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境。 重量级 1.1Shiro特点 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。 通用性。 好处:不局限于 Web 环境,可以脱离 Web 环境使用。 缺陷:在 Web 环境下一些特定的
Spring Security_web权限方案_笔记
weixin_43206491的博客
05-18 1309
Spring Security 简介 基于Spring 框架,提供了一套Web 应用安全性的完整解决方案。 关于安全方面的主要两个区域是 “认证” 和 “授权” (或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点是 Spirng Security 重要核心功能。 用户认证:**就是系统认为用户是否能登录。**验证某个用户是否为系统中的合法体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统
SpringSecurityWeb权限方案)
YSecret_Y的博客
01-22 3343
SpringSecurity 一、基本概要 1、认证和授权 1、认证:用户是否登录 2、授权:用户是否有权利去做别的东西 2、特点 全面的权限控制 为web开发设计 旧版本不能脱离Web环境 新版本对整个框架进行分层抽取,分层核心模块和web模块。单独引入核心模块就尅脱离Web环境 重量级 (依赖于很多组件和依赖) 3、和Shiro 相比 1、shiro更轻量、更灵活 2、SpringSecurity功能比Shiro更强大,可以做单点登录 二、入门案例 1、创建springboot工程 springb
Spring Security OAuth过期的解决方法
09-07
随着时间的推移,Spring Security OAuth的某些组件可能会变得过时,这可能会影响应用的安全性和兼容性。以下是一些处理Spring Security OAuth过期问题的策略: 1. **升级Spring Security版本**: 首先,确保你的...
单点登录SSO解决方案SpringSecurity+JWT实现.docx
10-26
### 单点登录SSO解决方案SpringSecurity+JWT实现 #### 一、单点登录(SSO)概述 单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制...
Spring SecurityWebSecurity
be Free & Happy
10-09 191
首先,查看WebSecurity类图,如下: SecurityBuilder是基础接口,代码如下: public interface SecurityBuilder<O> { /** * Builds the object and returns it or null. * * @return the Object to be built or null if...
SpringSecurity(二)Web安全
陈橙橙
03-10 5384
Web安全 ​ 在SpringSecurity中,认证、授权等功能都是基于过滤器来完成的。如下表: 过滤器 过滤器作用 是否默认加载 ChannelProcessingFilter 过滤请求协议,如HTTPS和HTTP 否 WebAsyncManagerIntegrationFilter 将WebAsyncManager与Spring Security上下文进行集成 是 SecurityContextPersistenceFilter 在处理请求之前,将安全信息加载导Security
SpringSecurity之一:web快速了解
铃萌的博客
05-01 855
SpringSecurity之二:web自定义用户登录_auth.userdetailsservice-CSDN博客。
松哥手把手带你入门 Spring Security,别再问密码怎么解密了
热门推荐
江南一点雨的专栏
03-25 2万+
文章目录1.新建项目2.用户配置2.1 配置文件2.2 配置类2.2.1 为什么要加密2.2.2 加密方案2.2.3 PasswordEncoder2.2.4 配置3.自定义表单登录页3.1 服务端定义3.2 前端定义4.小节 因为之前有小伙伴在松哥群里讨论如何给微人事的密码解密,我看到聊天记录后就惊呆了。 无论如何我也得写一篇文章,带大家入门 Spring Security!当我们在一个项目中引...
Spring Web Security进一步理解
wudengyu的博客
12-09 408
近日学习企业微信开发,需要使用其授权登录功能,看了一下API,企业微信授权登录事实上就是一种OAuth2登录,Spring Security 5已经支持OAuth登录。照文档写了Github授权登录的测试代码,虽然因为对OAuth2的概念不是很熟悉而走了些弯路,但回头来看,用Spring Security 5实现OAuth登录事实上不算太难。但是微信授权登录和微信公众号的其他功能接口相差不大,即便...
Spring Security : Web安全构建器 WebSecurity
Details Inside Spring
09-02 2489
package org.springframework.security.config.annotation.web.builders; // 这里省略了各个 import 导入行 /** * * WebSecurityWebSecurityConfiguration 创建,用于创建 FilterChainProxy, 这个 FilterChainProxy * 也就是通常我们...
SpringSecurity---web,小白都会
最新发布
2401_84093490的博客
04-04 683
Autowired@Autowired@Override@Override@BeanLoginLogin登录前端CSS面试题文档,JavaScript面试题文档,Vue面试题文档,大厂面试题文档,需要的读者可以戳这里免费领取!既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化![外链图片转存中…(img-W7duTBX7-1712207411123)]
web项目中应用SpringSecurity
Janet的博客
12-22 555
1. 权限管理的主流框架 1)SpringSecurity Spring技术栈的组成部分。 通过提供完整可扩展的认证和授权支持保护你的应用程序。https://spring.io/projects/spring-security SpringSecurity特点: 和Spring无缝整合。 全面的权限控制。 专门为Web开发而设计。旧版本不能脱离Web环境使用。新版本对整个框架进...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值