SpringSecurity原理解析(一)

2024-09-07 23:52

本文主要是介绍SpringSecurity原理解析(一),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、SpringSecurity 核心组件

       在SpringSecurity中的jar包有4个,作用分别为:

spring-security-coreSpringSecurity的核心jar包,认证和授权的核心代码都在这里面
spring-security-config如果使用Spring Security XML名称空间进行配置或Spring Security的Java configuration支持,则需要它
spring-security-web用于Spring Security web身份验证服务和基于url的访问控制
spring-security-test测试单元

1、Authentication

      Authentication 是 org.springframework.security.core 包下的一个接口,

      Authentication 表示一个当前认证的对象,继承了接口 Principal,接口Principal 用来

     表示一个主题的抽象概念,可以用来表示任何实体对象,如:个人、公司、登录id等,

     简单的来说 Principal 可以表示任何具体的对象。

      Authentication 定义的方法如下:

public interface Authentication extends Principal, Serializable {// 获取认证用户拥有的对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 获取用户的凭证(认证)Object getCredentials();// 存储有关身份验证请求的其他详细信息。这些可能是 IP地址、证书编号等//即获取认证用户的详细信息Object getDetails();// 获取用户信息 通常是 UserDetails 对象Object getPrincipal();// 判断当前用户的登录状态boolean isAuthenticated();// 设置认证状态void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;}

     

2、SecurityContextHolder

2.1、SecurityContext

     既然上面说 Authentication 表示一个认证对象,那么Authentication对象是如何放到 

     SpringSecurity 中的?

     SecurityContext 表示 SpringSecurity 上下文对象(也可看成是一个容器);

     SpringSecurity 是包 org.springframework.security.core.context 中一个接口,定义如下:

public interface SecurityContext extends Serializable {//获取Authentication Authentication getAuthentication();//保存Authentication void setAuthentication(Authentication authentication);}

     通过 SecurityContext 的定义可以发现, SecurityContext就干了2件事情,即:

              1)保存 Authentication

              2)获取 Authentication

   

2.2、SecurityContextHolder

         下面来看看在spring-security-core中的SecurityContextHolder,这个是一个非常基础的

          对象,存储了当前应用的上下文SecurityContext,而在SecurityContext可以获取

          Authentication对象。也就是当前认证的相关信息会存储在Authentication对象中。

          另外 SecurityContextHolder 还定义了 SecurityContext 的存储方式。

          SecurityContextHolder 定义如下:

public class SecurityContextHolder {//下边2个常量表示 SecurityContext  存储模式public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";public static final String MODE_GLOBAL = "MODE_GLOBAL";//配置文件中自定义strategy时,配置项的名称public static final String SYSTEM_PROPERTY = "spring.security.strategy";private static String strategyName = System.getProperty(SYSTEM_PROPERTY);//用于存储SecurityContext private static SecurityContextHolderStrategy strategy;//SecurityContextHolder 初始化次数private static int initializeCount = 0;static {initialize();}/*** 清除保存的SecurityContext */public static void clearContext() {strategy.clearContext();}/*** 获取 SecurityContext * 注意这个方法是static 静态方法,可由类直接调用* @return the security context (never <code>null</code>)*/public static SecurityContext getContext() {return strategy.getContext();}/*** 返回初始化次数*/public static int getInitializeCount() {return initializeCount;}//初始化private static void initialize() {//判断配置文件中是否指定 strategy的实现类,若没指定则使用 MODE_THREADLOCALif (!StringUtils.hasText(strategyName)) {// Set defaultstrategyName = MODE_THREADLOCAL;}if (strategyName.equals(MODE_THREADLOCAL)) {//表示把SecurityContext 存储在当前线程的 ThreadLocal中,线程之间隔离strategy = new ThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {//表示SecurityContext 在父子线程之间可以共享strategy = new InheritableThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_GLOBAL)) {//表示把SecurityContext 存储在全局变量中,全局共享strategy = new GlobalSecurityContextHolderStrategy();}else {// Try to load a custom strategytry {Class<?> clazz = Class.forName(strategyName);Constructor<?> customStrategy = clazz.getConstructor();strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();}catch (Exception ex) {ReflectionUtils.handleReflectionException(ex);}}initializeCount++;}/*** 保存 SecurityContext */public static void setContext(SecurityContext context) {strategy.setContext(context);}public static void setStrategyName(String strategyName) {SecurityContextHolder.strategyName = strategyName;initialize();}public static SecurityContextHolderStrategy getContextHolderStrategy() {return strategy;}public static SecurityContext createEmptyContext() {return strategy.createEmptyContext();}@Overridepublic String toString() {return "SecurityContextHolder[strategy='" + strategyName + "'; initializeCount="+ initializeCount + "]";}
}

         默认情况下,SecurityContextHolder是通过 `ThreadLocal`来存储对应的信息的。也就是

         在一个线程中我们可以通过这种方式来获取当前登录的用户的相关信息。而在

         SecurityContext中就只提供了对Authentication对象操作的方法

2.3、SecurityContextHolderStrategy

        在上边可以发现 SecurityContext 真正保存在 SecurityContextHolderStrategy 中的。

        SecurityContextHolderStrategy有三个是实现类,分别是:

                       

           

GlobalSecurityContextHolderStrategy把SecurityContext存储为static变量,全局共享
InheritableThreadLocalSecurityContextStrategy把SecurityContext存储在InheritableThreadLocal中
InheritableThreadLocal解决父线程生成的变量传递到子线程中进行使用
ThreadLocalSecurityContextStrategy把SecurityContext存储在ThreadLocal中,只有当前线程可以使用

2.4、Authentication、SecurityContext、SecurityContextHolder三者之间的关系

        SecurityContext 存储保存 Authentication,SecurityContextHolder存储并保存

         SecurityContext,通过SecurityContextHolder可以获取到 Authentication

         即如下图所示:

                 

        明白了3者之间的关系,下面可以通过 SecurityContextHolder 来获取当前登录的用户信息

        示例代码如下:

public String getLoginUser(){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();Object principal = authentication.getPrincipal();if(principal instanceof UserDetails){UserDetails userDetails = (UserDetails) principal;System.out.println(userDetails.getUsername());return "当前登录的账号是:" + userDetails.getUsername();}return "当前登录的账号-->" + principal.toString();}

         调用 getContext()返回的对象是 SecurityContext接口的一个实例,这个对象默认是保

         存在线程中的。接下来将看到,Spring Security中的认证大都返回一个 UserDetails的实

          例作为Principa。

3、UserDetailsService

      在上面的关系中我们看到在Authentication中存储当前登录用户的是Principal对象,而通常

     情况下Principal对象可以转换为UserDetails对象。UserDetails是Spring Security中的一个

     核心接口。它表示一个Principal,但是是可扩展的、特定于应用的。可以认为 UserDetails

     是数据库中用户表记录和Spring Security在 SecurityContextHolder中所必须信息的适配器。

     UserDetails 接口定义如下

public interface UserDetails extends Serializable {// 对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 密码String getPassword();// 账号String getUsername();// 账号是否过期boolean isAccountNonExpired();// 是否锁定boolean isAccountNonLocked();// 凭证是否过期boolean isCredentialsNonExpired();// 账号是否可用boolean isEnabled();}

     UserDetails 接口的默认实现是类User,如下图所示:

              

     那么问题来了,这个UserDetails对象什么时候提供给SecurityContextHolder呢?

            这就需要用到接口UserDetailsService,在用户认证时我们需要实现UserDetailsService

     ,在UserDetailsService的方法 loadUserByUsername 中,将从数据库查询到的用户信息封

     装成User对象。

     UserDetailsService接口定义如下:

public interface UserDetailsService {UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;}

      Spring Security提供了许多 UserDetailsSerivice接口的实现,包括使用内存中map的实现

    (InMemoryDaoImpl低版本 InMemoryUserDetailsManager)和使用JDBC的实现

    (JdbcDaoImpl)。但在实际开发中我们更喜欢自己来编写,比如UserServiceImpl我们的案例

       UserDetailsService接口的实现有如下:

               

      UserServiceImpl我们的案例代码如下:

/*** 用户认证接口* todo 注意:*    继承 UserDetailsService*/
public interface UserService extends UserDetailsService {
}@Service
public class UserServiceImpl implements UserService {@Autowiredprivate SysUserMapper sysUserMapper;/*** 根据账号查询用户信息,并进行用户认证* @param userName* @return* @throws UsernameNotFoundException*/public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {//根据账号查询用户信息SysUser sysUser = sysUserMapper.queryByUserName(userName);//账号存在if(sysUser != null){/*** 封装用户的权限*/List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();//添加用户的权限,list.add(new SimpleGrantedAuthority("ROLE_USER"));// 表示账号存在UserDetails userDetails = new User(sysUser.getUserName() // 账号,sysUser.getPasseord() // 密码,{noop}表示不加密,true  //表示当前账号可用,false //表示当前账号是否过期,false=过期,true //表示凭证是否过期,true=未过期,true //用户是否被锁定,true=未被锁定,list);return userDetails;}//用户不存在return null;}public static void main(String[] args) {//BCryptPasswordEncoder是Spring Security 提供的密码加密方式BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();String password = "admin";System.out.println(encoder.encode(password));}
}

      

4、GrantedAuthority

      我们在Authentication中看到不光关联了Principal还提供了一个getAuthorities()方法来获取

      对应的GrantedAuthority对象数组。和权限相关,后面在权限模块详细讲解

       GrantedAuthority定义如下:

public interface GrantedAuthority extends Serializable {//获取权限信息String getAuthority();}

5、总结

     上面介绍到的核心对象总结

Authentication特定于Spring Security的principal
SecurityContext存放了Authentication和特定于请求的安全信息
SecurityContextHolder用于获取SecurityContext
UserDetails提供从应用程序的DAO或其他安全数据源构建Authentication对象所需的信息
UserDetailsService接受String类型的用户名,创建并返回UserDetail
GrantedAuthority对某个principal的应用范围内的授权许可

这篇关于SpringSecurity原理解析(一)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1146520

相关文章

网页解析 lxml 库--实战

lxml库使用流程 lxml 是 Python 的第三方解析库,完全使用 Python 语言编写,它对 XPath表达式提供了良好的支 持,因此能够了高效地解析 HTML/XML 文档。本节讲解如何通过 lxml 库解析 HTML 文档。 pip install lxml lxm| 库提供了一个 etree 模块,该模块专门用来解析 HTML/XML 文档,下面来介绍一下 lxml 库

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过滤推荐功能2.基于用户的协同过滤推荐功能 前言     在信息过载的时代,推荐系统成为连接用户与内容的桥梁。本文聚焦于