SpringSecurity安全认证框架基本使用

SpringSecurity简介

核心功能主要包括:

1.认证:认证用户有无权限访问资源。

2.授权:将权限授予用户。

3.伪造攻击:防止伪造身份访问受保护资源

其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。

除了该过滤器还有UsernamePasswordAuthenticationFilter拦截你的密码 进行密码验证

从中会有很多其他认证的过滤器,这里就不一 一介绍了。

最后一环是 FilterSecurityInterceptor,这里会判定该请求是否能进行访问rest服务,判断的依据是 BrowserSecurityConfig中的配置,如果被拒绝了就会抛出不同的异常(根据具体的原因)。Exception Translation Filter 会捕获抛出的错误,然后根据不同的认证方式进行信息的返回提示。

介绍完security后,再来看下security的基本流程。

SpringSecurity认证与授权的基本流程

如下图所示

SpringSecurity安全认证框架基本使用_第1张图片

详解:

1.用户提交用户名密码后, UsernamePasswordAuthenticationFilter进行拦截,将请求信息封装为Authentication

2.通过AuthenticationMananger去认证该用户的权限信息,实现UserDetailsService类。

 UsernamePasswordAuthenticationToken token = 
                 new UsernamePasswordAuthenticationToken(username,password);

//通过AuthenticationManager对象去获得该用户的权限信息
 Authentication authenticate = authenticationManager.authenticate(token);

3.在其中的loadUserByUsername方法中进行一些获得该用户权限以及角色的业务代码。

4.返回一个UserDeatils对象(该用户对象是Security中的核心实体类,它封装了用户的基本信息以及用户该有的权限信息)。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username){

        //获得用户权限信息以及角色信息

        //创建实体类继承UserDetails类(该类中有封装了用户信息的字段)

        return new UserDetails();

    }
}

5.通过PasswordEncoder对比UserDetails中的密码与Authentication中的密码是否一致,若不一致,可以通过ExceptionTranslationFilter进行异常拦截,返回错误信息。

6.若密码一致,填充Authentication信息,返回Authentication

7.将Authentication存入SecurityContextHolder.getContext().setAuthentication(),以保证安全上下文(通过SecurityContextHolder.getContext().getAuthentication()获得权限)

你可能感兴趣的:(java,安全)