SpringSecurity五:Springsecurity原理
Spring security可以进行认证和授权,认证和授权需要针对每一个请求,所以这个功能,可以用过滤器来实现,spring security正是通过一系列过滤器来实现认证和授权功能的。
成都创新互联主要从事成都网站设计、成都网站建设、网页设计、企业做网站、公司建网站等业务。立足成都服务神池,10余年网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:13518219792
我们来看看其中几个比较重要的过滤器,类和接口。
1.1 UserDetails:
public interfaceUserDetailsextendsSerializable{
CollectiongetAuthorities();
StringgetPassword();
StringgetUsername();
booleanisAccountNonExpired();
booleanisAccountNonLocked();
booleanisCredentialsNonExpired();
booleanisEnabled();
}
用来记录用户的信息,包括用户名,权限等信息。
1.2 UserDetailsService:
UserDetailsService接口用于返回用户相关数据返回的是一个UserDetails实例,它有loadUserByUsername()方法,该方法可以根据username查询用户实体,可以实现该接口覆盖该方法,实现自定义获取用户过程。
public interfaceUserDetailsService {
UserDetails loadUserByUsername(String var1)throwsUsernameNotFoundException;
}
1.3 Authentication:
封装用户信息的接口,UsernamePasswordAuthenticationToken是它的实现类,用户登录以后,用户名,密码等信息被封装到了UsernamePasswordAuthenticationToken对象中。
它和UserDetails不同之处在于Authentication记录的是当前登录用户的信息,而UserDetails则是用户信息的封装。
public interfaceAuthenticationextendsPrincipal, Serializable {
CollectionextendsGrantedAuthority> getAuthorities();
Object getCredentials();
Object getDetails();
Object getPrincipal();
booleanisAuthenticated();
voidsetAuthenticated(booleanvar1)throwsIllegalArgumentException;
}
getAuthorities方法获取权限信息的列表
getCredentials方法获取用户认证时输入的密码
getDetails方法获取访问者的ip地址和sessionid的值
getPrincipal方法获取用户的信息,大部分情况下返回的是UserDetails接口的实现类
1.4 AuthenticationManager:
是认证相关的核心接口,用来处理认证请求,如果认证成功则返回一个Authentication接口的实例,它的默认实现类是:ProviderManager。
SecurityContext:是安全上下文接口,用来存储认证授权的相关信息,这个接口只有两个方法,Authentication对象的getter、setter。
public interface SecurityContext extends Serializable {
Authentication getAuthentication();
void setAuthentication(Authentication var1);
}
1.5 SecurityContextHolder:
保存系统当前的安全上下文,包括当前使用系统的用户的信息。
1.6 PasswordEncoder:
该接口有很多实现类,它用来在认证的过程中使用matches方法比对密码,具体如何比对密码则取决于PasswordEncoder的实现类。
public interfacePasswordEncoder {
String encode(CharSequence var1);
booleanmatches(CharSequence var1, String var2);
}
比如不对密码进行加密,采用明文字符串进行比对可以:
@Bean
public PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
}
但是在实际项目中我们往往会对密码进行加密,比较常用的PasswordEncoder实现类有:、
BCryptPasswordEncoder, Pbkdf2PasswordEncoder, SCryptPasswordEncoder
如果使用BcryptPasswordEncoder:
则:
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
认证流程:
1.用户提交用户名密码被UsernamePasswordAuthenticationFilter过滤器获取到,
封装为Authentication接口的实例,通常情况下是UsernamePasswordAuthenticationToken。
2.过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证,认证成功后返回一个被填充满信息的Authentication实例.
3. SecurityContextHolder保存返回的Authentication实例.
授权流程:
1.拦截请求:已认证的用户请求将会被过滤器:FilterSecurityInterceptor拦截。
2. FilterSecurityInterceptor获取访问权限,该权限就是我们配置的访问规则如。
http
.authorizeRequests()
.antMatchers("/r/r1").hasAuthority("p1")
.antMatchers("/r/r2").hasAuthority("p2")
3. FilterSecurityInterceptor会调用访问决策管理器 AccessDecisionManager进行授权决策,若决策通过,则允许访问资源,否则将禁止访问
AccessDecisionManager:访问决策管理器,用来控制用户是否有相应的权限。
public interfaceAccessDecisionManager{
/**
*通过传递的参数来决定用户是否有访问对应受保护资源的权限
*/
voiddecide(Authentication authentication,Objectobject,Collection
configAttributes) throwsAccessDeniedException,InsufficientAuthenticationException;
//略..
}
参数说明:
Authentication:要访问资源的访问者
object:要访问的受保护资源
configAttributes:是受保护资源的访问策略
decide方法就是用来判断访问者是否有访问某资源的权限。
它用投票的方式来决定是否有访问某资源的权限
本文标题:SpringSecurity五:Springsecurity原理
网站地址:http://scyanting.com/article/jcsehe.html