Spring Security实现用户认证一:简单示例

Spring Security实现用户认证一:简单示例

  • 1 原理
    • 1.1 用户认证怎么进行和保存的?
      • 认证流程
      • SecurityContext保存
  • 2 创建简单的登录认证示例
    • 2.1 pom.xml依赖添加
    • 2.2 application.yaml配置
    • 2.3 创建WebSecurityConfig配置类
    • 2.4 测试

1 原理

Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略,开发人员可以根据需要选择适合的方式。

在这里插入图片描述

从官方给的流程图可以看出,DelegatingFilterProxy通常被配置为一个Servlet过滤器,注册到Servlet容器中,而DelegatingFilterProxy会将过滤请求代理给FilterChainProxy

Spring Security中定义的过滤器链会被注册进入FilterChainProxyFilterChainProxy持有一个或多个SecurityFilterChain实例,每个实例包含一组过滤器和一个匹配规则(通常是一个请求模式)。

  • 当一个HTTP请求到达应用时,Servlet容器会首先调用DelegatingFilterProxy
  • DelegatingFilterProxy会将请求委托给FilterChainProxy
  • FilterChainProxy根据请求URL选择适当的过滤器链(SecurityFilterChain),并按顺序执行链中的过滤器。

1.1 用户认证怎么进行和保存的?

认证流程

在这里插入图片描述
从上面得知,Spring Security内部是由一个个过滤器组成的,那必然会经历一个认证过滤器。

  1. 负责认证的过滤器为AbstractAuthenticationProcessingFilter,其本质是一个抽象类型的过滤器,通过调用里面一个用于执行认证的抽象方法attemptAuthentication。那必然需要一个该抽象类的具体继承类去实现抽象方法attemptAuthentication,完成认证的功能。

  2. Spring Security中为其写了一个默认的继承类为UsernamePasswordAuthenticationFilter,实现了attemptAuthentication方法,将提交的usernamepassword生成UsernamePasswordAuthenticationToken

  3. UsernamePasswordAuthenticationFilter只是负责过滤采用用户名和密码认证方式的请求,生成的UsernamePasswordAuthenticationToken并没完成认证,而是用于后面选择合适的AuthenticationProvider

  4. ProviderManager类实现了AuthenticationManager接口,ProviderManager类管理一个List<AuthenticationProvider> providers,这里面存着可用的AuthenticationProviderProviderManager类通过UsernamePasswordAuthenticationToken选择合适的AuthenticationProvider进行具体的校验,如DaoAuthenticationProvider

如果认证失败:

  • SecurityContextHolder 被清空。
  • RememberMeServices.loginFail被调用(需要配置)。
  • AuthenticationFailureHandler 被调用。

认证成功:

  • SessionAuthenticationStrategy 被通知有新的登录。
  • Authentication 是在 SecurityContextHolder 上设置的。
  • RememberMeServices.loginSuccess 被调用。
  • ApplicationEventPublisher 发布一个 InteractiveAuthenticationSuccessEvent 事件。
  • AuthenticationSuccessHandler 被调用。

SecurityContext保存

在这里插入图片描述
在得到用户认证成功的UsernamePasswordAuthenticationToken,这个token包含了用户的用户名、权限和是否认证等信息,并且会写入到SecurityContext中。 默认情况下是保存在session中的,方便下次直接从session中获取(持久化)。

如上图所示,SecurityContext包含了AuthenticationAuthenticationUsernamePasswordAuthenticationTokenSecurityContext被设置在SecurityContextHolder中。
在这里插入图片描述
SecurityContextHolder用于存储和检索 SecurityContext。它是整个 Spring Security 框架中访问认证信息的核心组件。

由于在进入SecurityFilterChain后,肯定需要将 从Repository 获取已经认证的信息 放在 认证之前执行,才能实现一个持久化存储。否则每次都是从新认证。

判断用户是否认证的便是SecurityContextSecurityContextPersistenceFilter SecurityContextRepository 加载 SecurityContext 并将其设置在 SecurityContextHolder 上。没有获取到SecurityContext则未认证。

Spring Security中SecurityContextRepository的默认实现是HttpSessionSecurityContextRepository,所以为什么会将session作为默认的上下文存储地点。这样做的坏处是需要维持大量的session,加重了服务器的负担。

2 创建简单的登录认证示例

创建一个Spring Boot 的项目。

2.1 pom.xml依赖添加


<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

2.2 application.yaml配置

spring:
  application:
    name: spring-security

server:
  port: 4555


logging:
  level:
    web: debug

2.3 创建WebSecurityConfig配置类

package com.song.cloud.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;

import static org.springframework.security.config.Customizer.withDefaults;

@Configuration
@EnableWebSecurity  //开启SpringSecurity自动配置(springboot中可以省略)
public class WebSecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.authorizeRequests(authorize ->
                        authorize
                                .anyRequest()  //对任何请求执行认证
                                .authenticated()
                )
                // formLogin 的配置先于 httpBasic
                .formLogin(withDefaults())  //内置的表单认证 
                .httpBasic(withDefaults());  //内置的基础认证

        return http.build();
    }
}

2.4 测试

这一步便是最基本的认证配置,网页打开localhost:4555,将会自动跳转到登录页面进行认证。
在这里插入图片描述
默认的用户名为:user
默认的密码在控制台打印输出,如下。
在这里插入图片描述
登录成功的页面:
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/632012.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

React 第三十八章 React 中的位运算

位运算是一种计算机编程中常用的操作&#xff0c;它直接对二进制位进行操作。二进制&#xff0c;指的就是以二为底的一种计数方式&#xff0c;常见的还有八进制、十进制、十六进制。 十进制0123456789101112131415二进制0000000100100011010001010110011110001001101010111100…

【面试干货】 两个有序数组的合并排序

【面试干货】 两个有序数组的合并排序 1、实现思想2、代码实现 &#x1f496;The Begin&#x1f496;点点关注&#xff0c;收藏不迷路&#x1f496; 1、实现思想 使用两个指针分别指向两个数组的起始位置&#xff0c;然后逐个比较两个指针所指向的元素&#xff0c;将较小的元素…

【全开源】场地预定小程序支持微信小程序+微信公众号+H5

XYvenue是基于FastAdminUniApp开发的多场馆场地预定小程序&#xff0c;提供运动场馆运营解决方案&#xff0c;适用于体育馆、羽毛球馆、兵乒球馆、篮球馆、网球馆等场馆。 功能特性 1、场馆管理 可添加多个预约场馆&#xff0c;小程序端切换场馆显示。 2、场地管理 可添加多…

C语言如何删除表中指定位置的结点?

一、问题 如何删除链表中指定位置的结点&#xff1f; 二、解答 删除链表中指定的结点&#xff0c;就像是排好队的⼩朋友⼿牵着⼿&#xff0c;将其中⼀个⼩朋友从队伍中分出来&#xff0c;只需将这个⼩朋友的双⼿从两边松开。 删除结点有两种情况&#xff1a; &#xff08;1&am…

怎么删除pdf中的某一页?五种高效删除方法

怎么删除pdf中的某一页&#xff1f;PDF文件是我们在工作中经常需要处理的一类文件&#xff0c;它的格式很稳定&#xff0c;不易修改。但是&#xff0c;有时候我们可能需要对PDF文件进行编辑&#xff0c;比如删除其中的某一页。本文将为你介绍五种高效的方法&#xff0c;帮助你轻…

python 脚本压缩文件linux 正常,windows 文件夹/文件名称 被加上了上级文件夹名

场景&#xff1a; php 在调用python 脚本&#xff0c;进行文件压缩&#xff08;因为php的压缩大文件总是超时&#xff09;&#xff0c;linux/mac 环境文件/文件夹名压缩前后一致&#xff0c;windows 压缩后 文件/文件夹名被改变为 上级 文件夹原名 原因&#xff1a; window…

短视频批量剪辑,智能素材文案生成,多账号授权私信回复与矩阵发布素材功能合集系统,短视频矩阵助手源码搭建部署源码开源部署方案。

目录 一、短视频矩阵助手系统是什么&#xff1f; 二、短视频矩阵助手系统可以为企业解决什么问题&#xff1f; 短视频矩阵助手可以解决哪些问题&#xff1f; 三、短视频矩阵助手系统功能有哪些&#xff1f; 四、总结 一、短视频矩阵助手系统是什么&#xff1f; 短视频矩阵…

提升LED显示屏散热效能的五大策略

在现代生活中&#xff0c;LED显示屏已成为不可或缺的信息展示工具&#xff0c;其广泛应用于商业广告、公共信息发布、舞台表演等多个领域。然而&#xff0c;随着LED显示屏的长时间运行&#xff0c;散热问题逐渐凸显&#xff0c;不仅影响设备的稳定性和寿命&#xff0c;还可能导…

Python实战开发及案例分析(25)—— 爬山算法

爬山算法&#xff08;Hill Climbing&#xff09;是一种启发式搜索算法&#xff0c;常用于解决优化问题。它的核心思想是从一个初始解开始&#xff0c;不断朝着增益最大的方向移动&#xff0c;直到达到局部最优解。 实现步骤 从初始解开始。在当前解的邻域中找到一个更好的解。…

Java入门基础学习笔记26——break,continue

跳转关键字&#xff1a; break&#xff1a; 跳出并结束当前所在循环的执行。 continue&#xff1a; 用于跳出当前循环中的当次执行&#xff0c;直接进入循环中的下一次执行。 package cn.ensource.loop;public class BreakContinueDemo8 {public static void main(String[] a…

AI大语言模型在公共服务中的应用实例

随着计算机技术的飞速发展&#xff0c;人工智能已经成为了当今科技领域的热门话题。从早期的图灵测试到现在的深度学习和神经网络&#xff0c;人工智能已经取得了令人瞩目的成就。特别是近年来&#xff0c;大数据、云计算、高性能计算等技术的发展为人工智能的研究提供了更加广…

怎么做微信预约链接_微信预约新风尚

在快节奏的现代生活中&#xff0c;我们都渴望找到一种既方便又高效的方式来处理日常事务。无论是预约看病、预约美容&#xff0c;还是预约一场心仪的讲座或活动&#xff0c;我们都希望能够一键搞定&#xff0c;省时省力。今天&#xff0c;就让我来为大家揭秘如何制作一个微信预…

Facebook海外企业户/海外企业三不限户稳定性怎么样?

Facebook是做跨境电商卖家最有效的营销工具之一&#xff0c;不过相对的在Facebook上的广告竞争也会越来越激烈。目前外贸行业发展迅速。Facebook作为每天拥有30亿人口的活跃网络平台&#xff0c;约占全球网络用户的30%。平均来说&#xff0c;它的用户愿意每天花60分钟在平台上浏…

美港通正规股票交易市场人民币突然拉升,市场开启“大风车”模式?

查查配今天上午,市场又开启了“大风车”模式,多个热点轮番拉升。 一则关于地产行业利好的小作文流出,地产产业链上午爆发,租售同权、房地产服务、房地产开发等板块大涨,光大嘉宝、天地源等个股涨停。万科A涨超4%。 美港通证券以其专业的服务和较低的管理费用在市场中受到不少…

【上海生物发酵展精选展商】三门峡市高瑞生物技术有限公司

三门峡市高瑞生物技术有限公司注册成立于2017年2月23日&#xff0c;经营范围是微生物培养基原材料制造、销售。2017年度因场地搬迁、异地重建&#xff0c;公司由“三门峡市高山生物制品有限公司”更名为“三门峡市高瑞生物技术有限公司”。 该公司具有20余年丰富经验的微生物培…

对话 Databend Labs 联合创始人王吟:大模型浪潮里,云数仓是宠儿 | 极新企服直播实录

以下文章来源于极新 &#xff0c;作者王吟 据 IDC 预测&#xff0c;随着企业数字化转型&#xff0c;到 2026 年&#xff0c;中国大数据 IT 支出将达到 360 亿美元。Gartner 预测&#xff0c;得益于托管云服务的推动&#xff0c;到 2023 年&#xff0c;全球数据库市场有望达到 1…

超声波清洗机哪家好一点?四款超一流超声波清洗机大盘点

在追求极致清洁和维护精密工具、设备及珍贵物品的时代&#xff0c;超声波清洗机显得尤为重要。不仅因其高效、快速的清洁效果&#xff0c;更因其能够触及传统手工清洁所不能及的微小缝隙。无论你是珠宝设计师、机械工程师、还是热爱生活的普通家庭用户&#xff0c;超声波清洗机…

ValueError: Colors must be aRGB hex values

使用 openpyxla填充颜色时出现此错误

Python 机器学习 基础 之 监督学习 【分类器的不确定度估计】 的简单说明

Python 机器学习 基础 之 监督学习 【分类器的不确定度估计】 的简单说明 目录 Python 机器学习 基础 之 监督学习 【分类器的不确定度估计】 的简单说明 一、简单介绍 二、监督学习 算法 说明前的 数据集 说明 三、监督学习 之 分类器的不确定度估计 1、决策函数 2、预测…