Spring Security简单理解

Spring Security简单理解,第1张

        最近在学习Spring Security,于是就写了这篇Spring Security的博客来记录自己的学习中的一些总结,本文主要是一些简单的原理分析,没有涉及很深的源码分析。

1. Spring Security初体验

未引入Spring Security前请求接口情况,接口可以随意定义一个controller测试

引入Spring Security后,接口的请求情况

 

如果使用浏览器模拟访问更加明显,会跳到一个登录页面,效果如下:

然后输入默认的用户名和密码,默认的用户名是:user,密码是会在控制台中显示,如下:

在登录页面输入后,就可以访问接口了,访问后的效果如下

 

 我们都知道401状态码就是表示没有权限的意思,请求被拦截了。这就是Spring Security的作用,用于服务的认证与授权,这里体现的是认证的作用了。实际运用中我们不可能通过使用默认登录页面来进行认证的。

2. Spring Security的认证阶段 2.1 登录流程

        登录是每个系统的入口,经过登录校验后,后端服务才知道你是谁,你有哪些权限,所以我们来梳理一下现在在前后端分离的模式下,登录接口的常规流程,流程总结如下图:

 2.2 Spring Security执行流程

        Spring Security的原理其实就是一个过滤器链,内部包含了各种功能的过滤器。示例如图

 图中列举的名字是Spring Security过滤器链中的重要过滤器。以下是对这些重要过滤器的说明:

  • UsernamePasswordAuthenticationFilter:负责处理在登录接口输入的用户名和密码的校验
  • ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException,其中AccessDeniedException是授权异常,AuthenticationException是认证异常
  • FilterSecurityInterceptor:是负责权限校验的过滤器,授权和资源权限的校验

以上是完整的一个流程简介,主要分为两个阶段,认证与授权。

2.2.1 Spring Security认证流程

认证是所有请求的第一步,认证通过后,才说明该请求是一个合法的请求。Spring Security的完整认证流程如下图所示:

图中涉及的接口与类的简单描述

  • Authentication接口:它的实现类,表示当前访问系统的用户,封装了用户的相关信息
  • AuthenticationManager接口:定义认证Authentication的方法
  • UserDetailsService接口:用于加载用户特定数据的核心接口,里面定义了一个根据用户名查询用户信息的方法,loadUserByUsername。
  • UserDetails接口:提供用户的核心信息,通过UserDetailsService的loadUserByUsername查询到的用户信息需要封装成UserDetails对象返回,然后讲这些信息封装到Authentication对象中

以上是认证的逻辑与流程,Spring Security还有一个重要的功能就是授权。

2.2.2 Spring Security授权

        每个用户的权限都是不一样的,在不同的用户进行访问系统时,需要对用户进行授权。在Spring Security中,使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取用户的权限信息。然后判断用户是否拥有资源权限。所以就是需要在用户登录时,也需要查询出用户的权限信息,并将权限信息存储到Authentication对象中。

        首先需要在配置类上开启注解控制权限,使用

@EnableGlobalMethodSecurity(prePostEnabled = true)

然后使用@PreAuthorize来定义接口需要使用的权限,例如:

@PreAuthorize("hasAuthority('test')")

这个就是需要test权限才可以访问资源!

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/798547.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-05-06
下一篇 2022-05-06

发表评论

登录后才能评论

评论列表(0条)

保存