2.1 SecurityContextPersistenceFi1ter
2.2 UsernamePasswordAuthenticationFilter
2.4 ExceptionTranslationFilter
3. [源码分析]Spring security 认证工作流程
认证授权的概述
1. 什么是认证
进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条,抖音等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法,方可访问该系统的资源。 认证︰用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法 方可继续访问,不合法则拒绝访问。
2. 什么是会话
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
2.1 基于session的认证
它的交互流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的sesssion_id存放到 cookie中,这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验,当用户退出系统或session过期销毁时,客户端的session_id 也就无效了。
2.2 基于Token的认证
它的交互流程是,用户认证成功后,服务端生成一个token【令牌】[唯一字符串]【uuid,jwt】发给客户端,客户端可以放到 cookie 或sessionStorage等存储中,每次请求时带上token,服务端收到token通过验证后即可确认用户身份。
基于session的认证方式由servlet规范定制,服务端要存储session信息需要占用内存资源,客户端需要支持cookie;基于token的方式则一般不需要服务端存储token,并且不限制客户端的存储方式cookie sessionStorage LocalStorage Vuex。如今移动互联网时代更多类型的客户端[pC ,android,IOS,]需要接入系统,系统多是采用前后端分离的架构进行实现,所以基于token的方式更适合。
使用前后端分离或后台使用了集群---一定采用token模式。
传统的项目前端和后端都在一个工程下---基于session模式。
3. 什么是授权
还拿微信来举例子,微信登录成功后用户即可使用微信的功能,比如,发红包、发朋友圈、添加好友等,没有绑定银行卡的用户是无法发送红包的,绑定银行卡的用户才可以发红包,发红包功能、发朋友圈功能都是微信的资源即功能资源,用户拥有发红包功能的==权限==才可以正常使用发送红包==功能==,拥有发朋友圈功能的权限才可以便用发朋友圈功能,这个根据用户的权限来控制用户使用资源的过程就是授权。
-
权限【权限表】----资源【接口】
3.1 为什么要授权
认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,==授权是在认证通过后发生的==,控制不同的用户能够访问不同的资源。 授权:授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。
认证授权的框架:
[1]shiro 轻量级的认证授权 它可以整合任意框架 它支持javase和javaee
[2]springsecurity 重量级的认证授权框架。它只能和spring整合,只支持javaee web框架。
spring非常麻烦,但是现在和springboot整合就很简单了。
Spring Security概述
1. 什么是Spring Security
Spring Security 是一个可定制的身份验证框架。 在保护基于 Spring 的应用程序时,这是标准。 它提供身份验证和授权。 授权也称为“访问控制”。
2. 快速入门Spring Security
引入依赖
<!--引入springsecurity的依赖-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>创建接口资源
@RestController
public class HelloController {
@GetMapping("/hello")
public String hello(){
return "Hello~~~~~~~~~~~~~~~";
}
}启动项目并访问资源
发现 帮你跳转到登录页面。 因为springsecurity包含了很多过滤器,认证过滤器发现你没有登录就访问资源。默认调整到它内置的登录页面
账号为: user
密码:
3. 自定义账号和密码
#定义账号和密码 一旦自定义了账号和密码 原来自带的就不存在了 这里只能定义一个账号和密码
spring.security.user.name=admin
spring.security.user.password=123456
4. 定义多用户--基于内存
@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
//配置文件中的账号和密码失效
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.
//基于内存完成认证和授权
inMemoryAuthentication()
// 表示用户名
.withUser("张三")
//表示密码
.password("123456")
//当前用户具有的角色
.roles("admin")
//表示具有的权限
.authorities("user:select","user:delete","user:insert","user:update")
.and()
.withUser("李四")
.password("123456")
.roles("user")
.authorities("user:select","user:export");
}
}
5. 密码加密器
- 分成两种类型: 对称加密和非对称加密
- 对称加密:表示加密和解密使用同一把密钥。
- 非对称加密: 表示加密和解密不是使用同一个密钥。
public class Test {
public static void main(String[] args) {
PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
//用于加密
String encode = passwordEncoder.encode("123456");
String encode2 = passwordEncoder.encode("123456");
String encode3 = passwordEncoder.encode("123456");
System.out.println(encode);
System.out.println(encode2);
System.out.println(encode3);
//安全.
boolean matches = passwordEncoder.matches("123456", encode2);
System.out.println("是否密码正确:"+matches);
}
}
6. 获取当前用户的信息
// springsecurity默认把当前用户的信息保存SecurityContext上下文中.
@GetMapping("info")
public Authentication info(){
//获取SecurityContext对象
SecurityContext context = SecurityContextHolder.getContext();
//把用户得到信息封装到Authontication类中--用户名---角色以及权限---状态[]
Authentication authentication = context.getAuthentication();
UserDetails principal = (UserDetails) authentication.getPrincipal();
System.out.println(principal.getUsername());
return authentication;
}7. Security零散配置
@Override
pr
最低0.47元/天 解锁文章
扫一扫
7332
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
