SpringSecurity原理解析(一)

2024-09-07 23:52

本文主要是介绍SpringSecurity原理解析(一),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、SpringSecurity 核心组件

       在SpringSecurity中的jar包有4个,作用分别为:

spring-security-coreSpringSecurity的核心jar包,认证和授权的核心代码都在这里面
spring-security-config如果使用Spring Security XML名称空间进行配置或Spring Security的Java configuration支持,则需要它
spring-security-web用于Spring Security web身份验证服务和基于url的访问控制
spring-security-test测试单元

1、Authentication

      Authentication 是 org.springframework.security.core 包下的一个接口,

      Authentication 表示一个当前认证的对象,继承了接口 Principal,接口Principal 用来

     表示一个主题的抽象概念,可以用来表示任何实体对象,如:个人、公司、登录id等,

     简单的来说 Principal 可以表示任何具体的对象。

      Authentication 定义的方法如下:

public interface Authentication extends Principal, Serializable {// 获取认证用户拥有的对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 获取用户的凭证(认证)Object getCredentials();// 存储有关身份验证请求的其他详细信息。这些可能是 IP地址、证书编号等//即获取认证用户的详细信息Object getDetails();// 获取用户信息 通常是 UserDetails 对象Object getPrincipal();// 判断当前用户的登录状态boolean isAuthenticated();// 设置认证状态void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;}

     

2、SecurityContextHolder

2.1、SecurityContext

     既然上面说 Authentication 表示一个认证对象,那么Authentication对象是如何放到 

     SpringSecurity 中的?

     SecurityContext 表示 SpringSecurity 上下文对象(也可看成是一个容器);

     SpringSecurity 是包 org.springframework.security.core.context 中一个接口,定义如下:

public interface SecurityContext extends Serializable {//获取Authentication Authentication getAuthentication();//保存Authentication void setAuthentication(Authentication authentication);}

     通过 SecurityContext 的定义可以发现, SecurityContext就干了2件事情,即:

              1)保存 Authentication

              2)获取 Authentication

   

2.2、SecurityContextHolder

         下面来看看在spring-security-core中的SecurityContextHolder,这个是一个非常基础的

          对象,存储了当前应用的上下文SecurityContext,而在SecurityContext可以获取

          Authentication对象。也就是当前认证的相关信息会存储在Authentication对象中。

          另外 SecurityContextHolder 还定义了 SecurityContext 的存储方式。

          SecurityContextHolder 定义如下:

public class SecurityContextHolder {//下边2个常量表示 SecurityContext  存储模式public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";public static final String MODE_GLOBAL = "MODE_GLOBAL";//配置文件中自定义strategy时,配置项的名称public static final String SYSTEM_PROPERTY = "spring.security.strategy";private static String strategyName = System.getProperty(SYSTEM_PROPERTY);//用于存储SecurityContext private static SecurityContextHolderStrategy strategy;//SecurityContextHolder 初始化次数private static int initializeCount = 0;static {initialize();}/*** 清除保存的SecurityContext */public static void clearContext() {strategy.clearContext();}/*** 获取 SecurityContext * 注意这个方法是static 静态方法,可由类直接调用* @return the security context (never <code>null</code>)*/public static SecurityContext getContext() {return strategy.getContext();}/*** 返回初始化次数*/public static int getInitializeCount() {return initializeCount;}//初始化private static void initialize() {//判断配置文件中是否指定 strategy的实现类,若没指定则使用 MODE_THREADLOCALif (!StringUtils.hasText(strategyName)) {// Set defaultstrategyName = MODE_THREADLOCAL;}if (strategyName.equals(MODE_THREADLOCAL)) {//表示把SecurityContext 存储在当前线程的 ThreadLocal中,线程之间隔离strategy = new ThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {//表示SecurityContext 在父子线程之间可以共享strategy = new InheritableThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_GLOBAL)) {//表示把SecurityContext 存储在全局变量中,全局共享strategy = new GlobalSecurityContextHolderStrategy();}else {// Try to load a custom strategytry {Class<?> clazz = Class.forName(strategyName);Constructor<?> customStrategy = clazz.getConstructor();strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();}catch (Exception ex) {ReflectionUtils.handleReflectionException(ex);}}initializeCount++;}/*** 保存 SecurityContext */public static void setContext(SecurityContext context) {strategy.setContext(context);}public static void setStrategyName(String strategyName) {SecurityContextHolder.strategyName = strategyName;initialize();}public static SecurityContextHolderStrategy getContextHolderStrategy() {return strategy;}public static SecurityContext createEmptyContext() {return strategy.createEmptyContext();}@Overridepublic String toString() {return "SecurityContextHolder[strategy='" + strategyName + "'; initializeCount="+ initializeCount + "]";}
}

         默认情况下,SecurityContextHolder是通过 `ThreadLocal`来存储对应的信息的。也就是

         在一个线程中我们可以通过这种方式来获取当前登录的用户的相关信息。而在

         SecurityContext中就只提供了对Authentication对象操作的方法

2.3、SecurityContextHolderStrategy

        在上边可以发现 SecurityContext 真正保存在 SecurityContextHolderStrategy 中的。

        SecurityContextHolderStrategy有三个是实现类,分别是:

                       

           

GlobalSecurityContextHolderStrategy把SecurityContext存储为static变量,全局共享
InheritableThreadLocalSecurityContextStrategy把SecurityContext存储在InheritableThreadLocal中
InheritableThreadLocal解决父线程生成的变量传递到子线程中进行使用
ThreadLocalSecurityContextStrategy把SecurityContext存储在ThreadLocal中,只有当前线程可以使用

2.4、Authentication、SecurityContext、SecurityContextHolder三者之间的关系

        SecurityContext 存储保存 Authentication,SecurityContextHolder存储并保存

         SecurityContext,通过SecurityContextHolder可以获取到 Authentication

         即如下图所示:

                 

        明白了3者之间的关系,下面可以通过 SecurityContextHolder 来获取当前登录的用户信息

        示例代码如下:

public String getLoginUser(){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();Object principal = authentication.getPrincipal();if(principal instanceof UserDetails){UserDetails userDetails = (UserDetails) principal;System.out.println(userDetails.getUsername());return "当前登录的账号是:" + userDetails.getUsername();}return "当前登录的账号-->" + principal.toString();}

         调用 getContext()返回的对象是 SecurityContext接口的一个实例,这个对象默认是保

         存在线程中的。接下来将看到,Spring Security中的认证大都返回一个 UserDetails的实

          例作为Principa。

3、UserDetailsService

      在上面的关系中我们看到在Authentication中存储当前登录用户的是Principal对象,而通常

     情况下Principal对象可以转换为UserDetails对象。UserDetails是Spring Security中的一个

     核心接口。它表示一个Principal,但是是可扩展的、特定于应用的。可以认为 UserDetails

     是数据库中用户表记录和Spring Security在 SecurityContextHolder中所必须信息的适配器。

     UserDetails 接口定义如下

public interface UserDetails extends Serializable {// 对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 密码String getPassword();// 账号String getUsername();// 账号是否过期boolean isAccountNonExpired();// 是否锁定boolean isAccountNonLocked();// 凭证是否过期boolean isCredentialsNonExpired();// 账号是否可用boolean isEnabled();}

     UserDetails 接口的默认实现是类User,如下图所示:

              

     那么问题来了,这个UserDetails对象什么时候提供给SecurityContextHolder呢?

            这就需要用到接口UserDetailsService,在用户认证时我们需要实现UserDetailsService

     ,在UserDetailsService的方法 loadUserByUsername 中,将从数据库查询到的用户信息封

     装成User对象。

     UserDetailsService接口定义如下:

public interface UserDetailsService {UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;}

      Spring Security提供了许多 UserDetailsSerivice接口的实现,包括使用内存中map的实现

    (InMemoryDaoImpl低版本 InMemoryUserDetailsManager)和使用JDBC的实现

    (JdbcDaoImpl)。但在实际开发中我们更喜欢自己来编写,比如UserServiceImpl我们的案例

       UserDetailsService接口的实现有如下:

               

      UserServiceImpl我们的案例代码如下:

/*** 用户认证接口* todo 注意:*    继承 UserDetailsService*/
public interface UserService extends UserDetailsService {
}@Service
public class UserServiceImpl implements UserService {@Autowiredprivate SysUserMapper sysUserMapper;/*** 根据账号查询用户信息,并进行用户认证* @param userName* @return* @throws UsernameNotFoundException*/public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {//根据账号查询用户信息SysUser sysUser = sysUserMapper.queryByUserName(userName);//账号存在if(sysUser != null){/*** 封装用户的权限*/List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();//添加用户的权限,list.add(new SimpleGrantedAuthority("ROLE_USER"));// 表示账号存在UserDetails userDetails = new User(sysUser.getUserName() // 账号,sysUser.getPasseord() // 密码,{noop}表示不加密,true  //表示当前账号可用,false //表示当前账号是否过期,false=过期,true //表示凭证是否过期,true=未过期,true //用户是否被锁定,true=未被锁定,list);return userDetails;}//用户不存在return null;}public static void main(String[] args) {//BCryptPasswordEncoder是Spring Security 提供的密码加密方式BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();String password = "admin";System.out.println(encoder.encode(password));}
}

      

4、GrantedAuthority

      我们在Authentication中看到不光关联了Principal还提供了一个getAuthorities()方法来获取

      对应的GrantedAuthority对象数组。和权限相关,后面在权限模块详细讲解

       GrantedAuthority定义如下:

public interface GrantedAuthority extends Serializable {//获取权限信息String getAuthority();}

5、总结

     上面介绍到的核心对象总结

Authentication特定于Spring Security的principal
SecurityContext存放了Authentication和特定于请求的安全信息
SecurityContextHolder用于获取SecurityContext
UserDetails提供从应用程序的DAO或其他安全数据源构建Authentication对象所需的信息
UserDetailsService接受String类型的用户名,创建并返回UserDetail
GrantedAuthority对某个principal的应用范围内的授权许可

这篇关于SpringSecurity原理解析(一)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1146520

相关文章

Java编译生成多个.class文件的原理和作用

《Java编译生成多个.class文件的原理和作用》作为一名经验丰富的开发者,在Java项目中执行编译后,可能会发现一个.java源文件有时会产生多个.class文件,从技术实现层面详细剖析这一现象... 目录一、内部类机制与.class文件生成成员内部类(常规内部类)局部内部类(方法内部类)匿名内部类二、

SpringBoot实现数据库读写分离的3种方法小结

《SpringBoot实现数据库读写分离的3种方法小结》为了提高系统的读写性能和可用性,读写分离是一种经典的数据库架构模式,在SpringBoot应用中,有多种方式可以实现数据库读写分离,本文将介绍三... 目录一、数据库读写分离概述二、方案一:基于AbstractRoutingDataSource实现动态

使用Jackson进行JSON生成与解析的新手指南

《使用Jackson进行JSON生成与解析的新手指南》这篇文章主要为大家详细介绍了如何使用Jackson进行JSON生成与解析处理,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录1. 核心依赖2. 基础用法2.1 对象转 jsON(序列化)2.2 JSON 转对象(反序列化)3.

Springboot @Autowired和@Resource的区别解析

《Springboot@Autowired和@Resource的区别解析》@Resource是JDK提供的注解,只是Spring在实现上提供了这个注解的功能支持,本文给大家介绍Springboot@... 目录【一】定义【1】@Autowired【2】@Resource【二】区别【1】包含的属性不同【2】@

springboot循环依赖问题案例代码及解决办法

《springboot循环依赖问题案例代码及解决办法》在SpringBoot中,如果两个或多个Bean之间存在循环依赖(即BeanA依赖BeanB,而BeanB又依赖BeanA),会导致Spring的... 目录1. 什么是循环依赖?2. 循环依赖的场景案例3. 解决循环依赖的常见方法方法 1:使用 @La

Java枚举类实现Key-Value映射的多种实现方式

《Java枚举类实现Key-Value映射的多种实现方式》在Java开发中,枚举(Enum)是一种特殊的类,本文将详细介绍Java枚举类实现key-value映射的多种方式,有需要的小伙伴可以根据需要... 目录前言一、基础实现方式1.1 为枚举添加属性和构造方法二、http://www.cppcns.co

Elasticsearch 在 Java 中的使用教程

《Elasticsearch在Java中的使用教程》Elasticsearch是一个分布式搜索和分析引擎,基于ApacheLucene构建,能够实现实时数据的存储、搜索、和分析,它广泛应用于全文... 目录1. Elasticsearch 简介2. 环境准备2.1 安装 Elasticsearch2.2 J

Java中的String.valueOf()和toString()方法区别小结

《Java中的String.valueOf()和toString()方法区别小结》字符串操作是开发者日常编程任务中不可或缺的一部分,转换为字符串是一种常见需求,其中最常见的就是String.value... 目录String.valueOf()方法方法定义方法实现使用示例使用场景toString()方法方法

Java中List的contains()方法的使用小结

《Java中List的contains()方法的使用小结》List的contains()方法用于检查列表中是否包含指定的元素,借助equals()方法进行判断,下面就来介绍Java中List的c... 目录详细展开1. 方法签名2. 工作原理3. 使用示例4. 注意事项总结结论:List 的 contain

Java实现文件图片的预览和下载功能

《Java实现文件图片的预览和下载功能》这篇文章主要为大家详细介绍了如何使用Java实现文件图片的预览和下载功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... Java实现文件(图片)的预览和下载 @ApiOperation("访问文件") @GetMapping("