SpringSecurity原理解析(一)

2024-09-07 23:52

本文主要是介绍SpringSecurity原理解析(一),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、SpringSecurity 核心组件

       在SpringSecurity中的jar包有4个,作用分别为:

spring-security-coreSpringSecurity的核心jar包,认证和授权的核心代码都在这里面
spring-security-config如果使用Spring Security XML名称空间进行配置或Spring Security的Java configuration支持,则需要它
spring-security-web用于Spring Security web身份验证服务和基于url的访问控制
spring-security-test测试单元

1、Authentication

      Authentication 是 org.springframework.security.core 包下的一个接口,

      Authentication 表示一个当前认证的对象,继承了接口 Principal,接口Principal 用来

     表示一个主题的抽象概念,可以用来表示任何实体对象,如:个人、公司、登录id等,

     简单的来说 Principal 可以表示任何具体的对象。

      Authentication 定义的方法如下:

public interface Authentication extends Principal, Serializable {// 获取认证用户拥有的对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 获取用户的凭证(认证)Object getCredentials();// 存储有关身份验证请求的其他详细信息。这些可能是 IP地址、证书编号等//即获取认证用户的详细信息Object getDetails();// 获取用户信息 通常是 UserDetails 对象Object getPrincipal();// 判断当前用户的登录状态boolean isAuthenticated();// 设置认证状态void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;}

     

2、SecurityContextHolder

2.1、SecurityContext

     既然上面说 Authentication 表示一个认证对象,那么Authentication对象是如何放到 

     SpringSecurity 中的?

     SecurityContext 表示 SpringSecurity 上下文对象(也可看成是一个容器);

     SpringSecurity 是包 org.springframework.security.core.context 中一个接口,定义如下:

public interface SecurityContext extends Serializable {//获取Authentication Authentication getAuthentication();//保存Authentication void setAuthentication(Authentication authentication);}

     通过 SecurityContext 的定义可以发现, SecurityContext就干了2件事情,即:

              1)保存 Authentication

              2)获取 Authentication

   

2.2、SecurityContextHolder

         下面来看看在spring-security-core中的SecurityContextHolder,这个是一个非常基础的

          对象,存储了当前应用的上下文SecurityContext,而在SecurityContext可以获取

          Authentication对象。也就是当前认证的相关信息会存储在Authentication对象中。

          另外 SecurityContextHolder 还定义了 SecurityContext 的存储方式。

          SecurityContextHolder 定义如下:

public class SecurityContextHolder {//下边2个常量表示 SecurityContext  存储模式public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";public static final String MODE_GLOBAL = "MODE_GLOBAL";//配置文件中自定义strategy时,配置项的名称public static final String SYSTEM_PROPERTY = "spring.security.strategy";private static String strategyName = System.getProperty(SYSTEM_PROPERTY);//用于存储SecurityContext private static SecurityContextHolderStrategy strategy;//SecurityContextHolder 初始化次数private static int initializeCount = 0;static {initialize();}/*** 清除保存的SecurityContext */public static void clearContext() {strategy.clearContext();}/*** 获取 SecurityContext * 注意这个方法是static 静态方法,可由类直接调用* @return the security context (never <code>null</code>)*/public static SecurityContext getContext() {return strategy.getContext();}/*** 返回初始化次数*/public static int getInitializeCount() {return initializeCount;}//初始化private static void initialize() {//判断配置文件中是否指定 strategy的实现类,若没指定则使用 MODE_THREADLOCALif (!StringUtils.hasText(strategyName)) {// Set defaultstrategyName = MODE_THREADLOCAL;}if (strategyName.equals(MODE_THREADLOCAL)) {//表示把SecurityContext 存储在当前线程的 ThreadLocal中,线程之间隔离strategy = new ThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {//表示SecurityContext 在父子线程之间可以共享strategy = new InheritableThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_GLOBAL)) {//表示把SecurityContext 存储在全局变量中,全局共享strategy = new GlobalSecurityContextHolderStrategy();}else {// Try to load a custom strategytry {Class<?> clazz = Class.forName(strategyName);Constructor<?> customStrategy = clazz.getConstructor();strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();}catch (Exception ex) {ReflectionUtils.handleReflectionException(ex);}}initializeCount++;}/*** 保存 SecurityContext */public static void setContext(SecurityContext context) {strategy.setContext(context);}public static void setStrategyName(String strategyName) {SecurityContextHolder.strategyName = strategyName;initialize();}public static SecurityContextHolderStrategy getContextHolderStrategy() {return strategy;}public static SecurityContext createEmptyContext() {return strategy.createEmptyContext();}@Overridepublic String toString() {return "SecurityContextHolder[strategy='" + strategyName + "'; initializeCount="+ initializeCount + "]";}
}

         默认情况下,SecurityContextHolder是通过 `ThreadLocal`来存储对应的信息的。也就是

         在一个线程中我们可以通过这种方式来获取当前登录的用户的相关信息。而在

         SecurityContext中就只提供了对Authentication对象操作的方法

2.3、SecurityContextHolderStrategy

        在上边可以发现 SecurityContext 真正保存在 SecurityContextHolderStrategy 中的。

        SecurityContextHolderStrategy有三个是实现类,分别是:

                       

           

GlobalSecurityContextHolderStrategy把SecurityContext存储为static变量,全局共享
InheritableThreadLocalSecurityContextStrategy把SecurityContext存储在InheritableThreadLocal中
InheritableThreadLocal解决父线程生成的变量传递到子线程中进行使用
ThreadLocalSecurityContextStrategy把SecurityContext存储在ThreadLocal中,只有当前线程可以使用

2.4、Authentication、SecurityContext、SecurityContextHolder三者之间的关系

        SecurityContext 存储保存 Authentication,SecurityContextHolder存储并保存

         SecurityContext,通过SecurityContextHolder可以获取到 Authentication

         即如下图所示:

                 

        明白了3者之间的关系,下面可以通过 SecurityContextHolder 来获取当前登录的用户信息

        示例代码如下:

public String getLoginUser(){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();Object principal = authentication.getPrincipal();if(principal instanceof UserDetails){UserDetails userDetails = (UserDetails) principal;System.out.println(userDetails.getUsername());return "当前登录的账号是:" + userDetails.getUsername();}return "当前登录的账号-->" + principal.toString();}

         调用 getContext()返回的对象是 SecurityContext接口的一个实例,这个对象默认是保

         存在线程中的。接下来将看到,Spring Security中的认证大都返回一个 UserDetails的实

          例作为Principa。

3、UserDetailsService

      在上面的关系中我们看到在Authentication中存储当前登录用户的是Principal对象,而通常

     情况下Principal对象可以转换为UserDetails对象。UserDetails是Spring Security中的一个

     核心接口。它表示一个Principal,但是是可扩展的、特定于应用的。可以认为 UserDetails

     是数据库中用户表记录和Spring Security在 SecurityContextHolder中所必须信息的适配器。

     UserDetails 接口定义如下

public interface UserDetails extends Serializable {// 对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 密码String getPassword();// 账号String getUsername();// 账号是否过期boolean isAccountNonExpired();// 是否锁定boolean isAccountNonLocked();// 凭证是否过期boolean isCredentialsNonExpired();// 账号是否可用boolean isEnabled();}

     UserDetails 接口的默认实现是类User,如下图所示:

              

     那么问题来了,这个UserDetails对象什么时候提供给SecurityContextHolder呢?

            这就需要用到接口UserDetailsService,在用户认证时我们需要实现UserDetailsService

     ,在UserDetailsService的方法 loadUserByUsername 中,将从数据库查询到的用户信息封

     装成User对象。

     UserDetailsService接口定义如下:

public interface UserDetailsService {UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;}

      Spring Security提供了许多 UserDetailsSerivice接口的实现,包括使用内存中map的实现

    (InMemoryDaoImpl低版本 InMemoryUserDetailsManager)和使用JDBC的实现

    (JdbcDaoImpl)。但在实际开发中我们更喜欢自己来编写,比如UserServiceImpl我们的案例

       UserDetailsService接口的实现有如下:

               

      UserServiceImpl我们的案例代码如下:

/*** 用户认证接口* todo 注意:*    继承 UserDetailsService*/
public interface UserService extends UserDetailsService {
}@Service
public class UserServiceImpl implements UserService {@Autowiredprivate SysUserMapper sysUserMapper;/*** 根据账号查询用户信息,并进行用户认证* @param userName* @return* @throws UsernameNotFoundException*/public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {//根据账号查询用户信息SysUser sysUser = sysUserMapper.queryByUserName(userName);//账号存在if(sysUser != null){/*** 封装用户的权限*/List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();//添加用户的权限,list.add(new SimpleGrantedAuthority("ROLE_USER"));// 表示账号存在UserDetails userDetails = new User(sysUser.getUserName() // 账号,sysUser.getPasseord() // 密码,{noop}表示不加密,true  //表示当前账号可用,false //表示当前账号是否过期,false=过期,true //表示凭证是否过期,true=未过期,true //用户是否被锁定,true=未被锁定,list);return userDetails;}//用户不存在return null;}public static void main(String[] args) {//BCryptPasswordEncoder是Spring Security 提供的密码加密方式BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();String password = "admin";System.out.println(encoder.encode(password));}
}

      

4、GrantedAuthority

      我们在Authentication中看到不光关联了Principal还提供了一个getAuthorities()方法来获取

      对应的GrantedAuthority对象数组。和权限相关,后面在权限模块详细讲解

       GrantedAuthority定义如下:

public interface GrantedAuthority extends Serializable {//获取权限信息String getAuthority();}

5、总结

     上面介绍到的核心对象总结

Authentication特定于Spring Security的principal
SecurityContext存放了Authentication和特定于请求的安全信息
SecurityContextHolder用于获取SecurityContext
UserDetails提供从应用程序的DAO或其他安全数据源构建Authentication对象所需的信息
UserDetailsService接受String类型的用户名,创建并返回UserDetail
GrantedAuthority对某个principal的应用范围内的授权许可

这篇关于SpringSecurity原理解析(一)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1146520

相关文章

Golang HashMap实现原理解析

《GolangHashMap实现原理解析》HashMap是一种基于哈希表实现的键值对存储结构,它通过哈希函数将键映射到数组的索引位置,支持高效的插入、查找和删除操作,:本文主要介绍GolangH... 目录HashMap是一种基于哈希表实现的键值对存储结构,它通过哈希函数将键映射到数组的索引位置,支持

Java学习手册之Filter和Listener使用方法

《Java学习手册之Filter和Listener使用方法》:本文主要介绍Java学习手册之Filter和Listener使用方法的相关资料,Filter是一种拦截器,可以在请求到达Servl... 目录一、Filter(过滤器)1. Filter 的工作原理2. Filter 的配置与使用二、Listen

Spring Boot中JSON数值溢出问题从报错到优雅解决办法

《SpringBoot中JSON数值溢出问题从报错到优雅解决办法》:本文主要介绍SpringBoot中JSON数值溢出问题从报错到优雅的解决办法,通过修改字段类型为Long、添加全局异常处理和... 目录一、问题背景:为什么我的接口突然报错了?二、为什么会发生这个错误?1. Java 数据类型的“容量”限制

Java对象转换的实现方式汇总

《Java对象转换的实现方式汇总》:本文主要介绍Java对象转换的多种实现方式,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录Java对象转换的多种实现方式1. 手动映射(Manual Mapping)2. Builder模式3. 工具类辅助映

SpringBoot请求参数接收控制指南分享

《SpringBoot请求参数接收控制指南分享》:本文主要介绍SpringBoot请求参数接收控制指南,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring Boot 请求参数接收控制指南1. 概述2. 有注解时参数接收方式对比3. 无注解时接收参数默认位置

SpringBoot基于配置实现短信服务策略的动态切换

《SpringBoot基于配置实现短信服务策略的动态切换》这篇文章主要为大家详细介绍了SpringBoot在接入多个短信服务商(如阿里云、腾讯云、华为云)后,如何根据配置或环境切换使用不同的服务商,需... 目录目标功能示例配置(application.yml)配置类绑定短信发送策略接口示例:阿里云 & 腾

SpringBoot项目中报错The field screenShot exceeds its maximum permitted size of 1048576 bytes.的问题及解决

《SpringBoot项目中报错ThefieldscreenShotexceedsitsmaximumpermittedsizeof1048576bytes.的问题及解决》这篇文章... 目录项目场景问题描述原因分析解决方案总结项目场景javascript提示:项目相关背景:项目场景:基于Spring

Spring Boot 整合 SSE的高级实践(Server-Sent Events)

《SpringBoot整合SSE的高级实践(Server-SentEvents)》SSE(Server-SentEvents)是一种基于HTTP协议的单向通信机制,允许服务器向浏览器持续发送实... 目录1、简述2、Spring Boot 中的SSE实现2.1 添加依赖2.2 实现后端接口2.3 配置超时时

Spring Boot读取配置文件的五种方式小结

《SpringBoot读取配置文件的五种方式小结》SpringBoot提供了灵活多样的方式来读取配置文件,这篇文章为大家介绍了5种常见的读取方式,文中的示例代码简洁易懂,大家可以根据自己的需要进... 目录1. 配置文件位置与加载顺序2. 读取配置文件的方式汇总方式一:使用 @Value 注解读取配置方式二

一文详解Java异常处理你都了解哪些知识

《一文详解Java异常处理你都了解哪些知识》:本文主要介绍Java异常处理的相关资料,包括异常的分类、捕获和处理异常的语法、常见的异常类型以及自定义异常的实现,文中通过代码介绍的非常详细,需要的朋... 目录前言一、什么是异常二、异常的分类2.1 受检异常2.2 非受检异常三、异常处理的语法3.1 try-