中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SpringSecurity基本原理是什么

發布時間:2021-05-27 09:56:41 來源:億速云 閱讀:271 作者:小新 欄目:開發技術

小編給大家分享一下SpringSecurity基本原理是什么,希望大家閱讀完這篇文章之后都有所收獲,下面讓我們一起去探討吧!

一、SpringSecurity 本質

SpringSecurity 本質是一個過濾器鏈;
從啟動是可以獲取到(加載)過濾器鏈,當執行請求時就會執行相應的過濾器:

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
org.springframework.security.web.context.SecurityContextPersistenceFilter 
org.springframework.security.web.header.HeaderWriterFilter
org.springframework.security.web.csrf.CsrfFilter
org.springframework.security.web.authentication.logout.LogoutFilter 
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter 
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
org.springframework.security.web.savedrequest.RequestCacheAwareFilter
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
org.springframework.security.web.authentication.AnonymousAuthenticationFilter 
org.springframework.security.web.session.SessionManagementFilter 
org.springframework.security.web.access.ExceptionTranslationFilter 
org.springframework.security.web.access.intercept.FilterSecurityInterceptor

二、典型過濾器

2.1 FilterSecurityInterceptor

FilterSecurityInterceptor:是一個方法級的權限過濾器, 基本位于過濾鏈的最底部。

1.打開FilterSecurityInterceptor類,發現該類是實現Filter接口,如圖所示:

SpringSecurity基本原理是什么

2.找到doFilter方法,發現最后調用的是invoke方法

SpringSecurity基本原理是什么

3.找到invoke方法
super.beforeInvocation(filterInvocation) 表示查看之前的 filter 是否通過。
filterInvocation.getChain().doFilter(filterInvocation.getRequest(), filterInvocation.getResponse());表示真正的調用后臺的服務。

SpringSecurity基本原理是什么 

2.2 ExceptionTranslationFilter

ExceptionTranslationFilter:是個異常過濾器,用來處理在認證授權過程中拋出的異常

1.點擊繼承方法,發現該類是實現Filter接口,如圖所示:

SpringSecurity基本原理是什么

2.找到核心方法doFilter方法

SpringSecurity基本原理是什么 

2.3 UsernamePasswordAuthenticationFilter

UsernamePasswordAuthenticationFilter :對/login 的 POST 請求做攔截,校驗表單中用戶名,密碼。

1.找到核心方法attemptAuthentication

SpringSecurity基本原理是什么 

三、過濾器加載過程

1.使用Spring Security首先是需要進行配置,而springboot幫我們做了這些事情,自動裝配省了配置。
本質是有過濾器進行處理的DelegatingFilterProxy,找到doFilter方法,進入initDelegate方法

SpringSecurity基本原理是什么

2.該方法主要是找到指定的過濾器名(FilterChainProxy)
wac:spring容器中上下文對象。
Filter delegate = wac.getBean(targetBeanName, Filter.class);//獲取Spring容器中beanName=targetBeanName,類型為Filter的bean

SpringSecurity基本原理是什么

3.我能從第二步知道獲得的過濾器名FilterChainProxy,所以我們進入這個類看看
發現無論怎么處理都會調用doFilterInternal,很好奇

SpringSecurity基本原理是什么

4.我們進入doFilterInternal看看,發現代碼中有個list集合是來裝每個過濾器的

SpringSecurity基本原理是什么

5.getFilters方法把過濾器都加載到過濾鏈中

SpringSecurity基本原理是什么

6.返回DelegatingFilterProxy類中的doFilter方法,調用invokeDelegate,調用代理對象方法,完成攔截

SpringSecurity基本原理是什么

7.invokeDelegate方法中delegate調用代理對象的Filter完成攔截

SpringSecurity基本原理是什么 

四、兩個重要接口

4.1 UserDetailsService接口

當什么也沒有配置的時候,賬號和密碼是由 Spring Security 定義生成的。而在實際項目中賬號和密碼都是從數據庫中查詢出來的。 所以我們要通過自定義邏輯控制認證邏輯

  • UserDetailsService接口:查詢數據庫中的用戶名和密碼

  • UsernamePasswordAuthenticationFilter:獲取前臺表單傳過來的用戶名和密碼

SpringSecurity基本原理是什么

返回值 UserDetails,這個類是系統默認的用戶“主體”
UserDetails.java

// 表示獲取登錄用戶所有權限
Collection<? extends GrantedAuthority> getAuthorities();
// 表示獲取密碼
String getPassword();
// 表示獲取用戶名
String getUsername();
// 表示判斷賬戶是否過期
boolean isAccountNonExpired();
// 表示判斷賬戶是否被鎖定
boolean isAccountNonLocked();
// 表示憑證{密碼}是否過期
boolean isCredentialsNonExpired();
// 表示當前用戶是否可用
boolean isEnabled();

UserDetails的實現類,以后我們只需要使用 User 這個實體類即可!

SpringSecurity基本原理是什么
SpringSecurity基本原理是什么

方法參數 username:表示用戶名。此值是客戶端表單傳遞過來的數據。默認情況下必須叫 username,否則無法接收。

4.2 PasswordEncoder接口

PasswordEncoder接口:用來數據加密
PasswordEncoder.java

// 表示把參數按照特定的解析規則進行解析
String encode(CharSequence rawPassword);
// 表示驗證從存儲中獲取的編碼密碼與編碼后提交的原始密碼是否匹配。如果密碼匹
配,則返回 true;如果不匹配,則返回 false。第一個參數表示需要被解析的密碼。第二個
參數表示存儲的密碼。
boolean matches(CharSequence rawPassword, String encodedPassword);
// 表示如果解析的密碼能夠再次進行解析且達到更安全的結果則返回 true,否則返回
false。默認返回 false。
default boolean upgradeEncoding(String encodedPassword) {
return false; }

PasswordEncoder的實現類:

SpringSecurity基本原理是什么

BCryptPasswordEncoder 是 Spring Security 官方推薦的密碼解析器,平時多使用這個解析器。
BCryptPasswordEncoder 是對 bcrypt 強散列方法的具體實現。是基于 Hash 算法實現的單向加密。可以通過 strength 控制加密強度,默認10.

查用方法演示:

@Test
public void test01(){
	// 創建密碼解析器
	BCryptPasswordEncoder bCryptPasswordEncoder = new 
	BCryptPasswordEncoder();
	// 對密碼進行加密
	String atguigu = bCryptPasswordEncoder.encode("atguigu");
	// 打印加密之后的數據
	System.out.println("加密之后數據:\t"+atguigu);
	//判斷原字符加密后和加密之前是否匹配
	boolean result = bCryptPasswordEncoder.matches("atguigu", atguigu);
	// 打印比較結果
	System.out.println("比較結果:\t"+result);
}

看完了這篇文章,相信你對“SpringSecurity基本原理是什么”有了一定的了解,如果想了解更多相關知識,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

监利县| 化州市| 富民县| 剑河县| 甘孜县| 监利县| 敦化市| 大港区| 新乡县| 通渭县| 将乐县| 秀山| 临漳县| 河池市| 山东| 二连浩特市| 汶上县| 平果县| 麻江县| 油尖旺区| 新昌县| 朝阳县| 塔城市| 额济纳旗| 宝丰县| 浦城县| 海口市| 汕尾市| 望江县| 徐州市| 巴彦淖尔市| 南皮县| 康马县| 诸城市| 克什克腾旗| 晋州市| 莱阳市| 黄大仙区| 柘城县| 宁陕县| 蚌埠市|