SpringSecurity安全框架简介
框架介绍
Spring Security是Spring全家桶的成员,官方对它的介绍是:
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。
它是保护基于 Spring 的应用程序的事实标准。
Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。
与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。
从介绍里可以看出,Spring Security是一个可定制扩展的框架,它主要提供了身份验证和访问控制功能。而这两个功能也是基于框架的扩展机制开发的,下面让我们一起了解一下Spring Security的基本概念和扩展机制的实现原理。
基本概念
要了解Spring Security内部的运行机制,要先了解它包含的基本概念,以及对应的功能。下面是Spring Security主要的概念:
- 安全过滤器:Spring Security通过向Servlet注册一个Filter来拦截请求,所以Spring Security要提供自己的过滤器。
- 安全过滤器配置类:为安全过滤器提供统一的配置管理,配置类是
WebSecurity。 - 过滤器链:过滤器链是为了支持应用在不同业务场景有不同的安全规则需求。一个应用可以注册多个过滤器链,一个过滤器链包含多个过滤器,一个请求会经过所有的过滤器链。
- 过滤器链配置类:为过滤器链提供统一的配置管理,并支持DSL的方式来描述配置,配置类是
HttpSecurity。 - 业务过滤器:业务过滤器会注册到过滤器链,实现功能的插拔。
- 业务过滤器配置类:用来初始化和注册业务过滤器,也可直接注册业务过滤器。
- 认证:是指验证用户的身份是否合法。Spring Security 提供了多种认证方式,如基于用户名和密码的认证、基于证书的认证、LDAP 认证、OpenID 认证等。
- 授权:是指根据用户的身份和角色,决定其是否有权访问应用程序的资源。Spring Security 支持基于角色的授权、基于表达式的授权等多种授权方式。
扩展原理
Spring Security的功能是基于Filter来实现,当一个请求进来,会通过全局的安全过滤器判断,当前请求Spring Security是否需要拦截。如果需要拦截,那么请求会流入过滤器链,交给过滤链的过滤器来处理。
业务过滤器可以选择跳过请求、执行操作、结束请求、将请求交给下一个过滤器。不同的过滤器就实现了不同的功能,我们以认证功能为例,简单介绍它们的实现原理。
Spring Security默认提供了基于用户名和密码的认证的功能,实现这个功能的Filter是UsernamePasswordAuthenticationFilter,从名字就可以看出它的功能。Spring Security会判断当前请求是不是登录的请求,是的话UsernamePasswordAuthenticationFilter会在请求体里拿到用户名和密码,走一遍校验的流程,得到一个Authentication 对象来记录用户名和认证结果,并且会把信息存到安全上下文里。
后面访问其它接口时,校验权限的Filter里判断当前Authentication 对象能否访问资源。如果没有权限,就会抛出AccessDeniedException 异常。异常处理的Filter会处理Spring Security抛出的异常,给用户合适的反馈。
所以,Spring Security的认证功能是通过认证(AuthenticationFilter)、授权(AuthorizationFilter)、异常处理(ExceptionTranslationFilter)三个Filter配合实现。通过组合不同的Filter,还能实现session管理、CSRF拦截等功能。
框架包含的功能
Spring Security框架默认提供了一些Filter,来实现对应用程序的安全保护。下面简单介绍一下各个Filter的功能:
- DisableEncodeUrlFilter:禁止对URL进行编码,为了禁止在URL里包含session id。在某些无法使用cookie的情况,会将session id放在URL里。
- WebAsyncManagerIntegrationFilter:提供异步请求的支持。
- SecurityContextHolderFilter:获取安全上下文。
- HeaderWriterFilter:在响应头上加些安全的头标识。
- CsrfFilter:提供CSRF保护。
- LogoutFilter:提供认证登出逻辑。
- UsernamePasswordAuthenticationFilter:提供基于用户名和密码的认证方式。
- DefaultLoginPageGeneratingFilter:生成默认登录页。
- DefaultLogoutPageGeneratingFilter:生成默认登出页。
- BasicAuthenticationFilter:提供基于Basic的认证方式。
- RequestCacheAwareFilter:提供请求缓存功能,用户请求出发登录认证,在认证成功之后,继续处理之前的请求,所以要保存之前请求的数据。
- SecurityContextHolderAwareRequestFilter:通过Spring Security实现HttpServletRequest里Servlet3.0新增的authenticate()、login()、logout()这些方法。
- AnonymousAuthenticationFilter:提供匿名请求的处理逻辑。
- ExceptionTranslationFilter:提供异常处理逻辑。
- AuthorizationFilter:提供授权相关的逻辑。
安全配置
Spring Security允许用户为框架提供配置信息,来定制安全策略。一般情况,我们只需关注两个配置对象:
- WebSecurity
- HttpSecurity
Spring Security6.0版本在配置方式上做了很大改动,支持用户通过提供Bean来设置配置,删除了基于WebSecurityConfigurerAdapter的配置方式。
WebSecurity
WebSecurity用来配置安全过滤器,配置对所有请求都生效。Spring Security6.0推荐的配置方式是注册一个WebSecurityCustomizer的Bean。
@Configuration
public class SecurityConfiguration {@Beanpublic WebSecurityCustomizer webSecurityCustomizer() {return (web) -> web.ignoring().antMatchers("/ignore1", "/ignore2");}}
下面这种方式已经失效!下面这种方式已经失效!下面这种方式已经失效!
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {@Overridepublic void configure(WebSecurity web) {web.ignoring().antMatchers("/ignore1", "/ignore2");}}
HttpSecurity
HttpSecurity用来配置过滤链,配置对当前过滤链里的请求生效。Spring Security6.0推荐的配置方式是注册一个SecurityFilterChain的Bean。
@Configuration
public class SecurityConfiguration {@Beanpublic SecurityFilterChain filterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests((authz) -> authz.anyRequest().authenticated()).httpBasic(withDefaults());return http.build();}}
下面这种方式已经失效!下面这种方式已经失效!下面这种方式已经失效!
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeHttpRequests((authz) -> authz.anyRequest().authenticated()).httpBasic(withDefaults());}}
总结
我们介绍了Spring Security的基本概念和常见功能,分析了Spring Security扩展机制的实现原理,最后对比了Spring Security6.0的一些改动。可见,使用Spring Security我们通过提供自己的业务过滤器,很容易实现功能的扩展。
SpringSecurity安全框架简介相关推荐
- Spring Security(一)- SpringSecurity 框架简介
文章目录 一.SpringSecurity 框架简介 1. 概要 2. Spring Security 与 Shiro 对比 2.1 Spring Security 2.2 SpringSecurit ...
- 【Spring】框架简介
[Spring]框架简介 Spring是什么 Spring是分层的Java SE/EE应用full-stack轻量级开源框架,以IOC(Inverse Of Control:反转控制)和AOP(Asp ...
- 《HiWind企业快速开发框架实战》(0)目录及框架简介
<HiWind企业快速开发框架实战>(0)目录及框架简介 本系列主要介绍一款企业管理系统快速开发框架,该框架旨在快速完成企业管理系统,并实现易维护可移植的目标. 使用逐个系统模块进行编码的 ...
- WPF Interaction框架简介(一)——Behavior
原文:WPF Interaction框架简介(一)--Behavior 在WPF 4.0中,引入了一个比较实用的库--Interactions,这个库主要是通过附加属性来对UI控件注入一些新的功能,除 ...
- go语言学习(二)——Gin 框架简介
GoWeb开发有很多框架,如Beego.Gin.Revel.Echo.IRis等,学习框架可以快速做开发,对比常见goweb框架,通过其github的活跃度,维护的team,生产环境中的使用率以及师兄 ...
- Java开源——常见J2EE框架简介
Java开源--常见J2EE框架简介 Spring Framework Spring是一个解决了许多在J2EE开发中常见的问题的强大框架. Spring提供了管理业务对象的一致方法并且鼓励了注入对接口 ...
- 【EventBus】EventBus 事件总线框架简介 ( EventBus 使用流程 )
文章目录 一.EventBus 事件总线框架简介 二.EventBus 使用流程 一.EventBus 事件总线框架简介 Android 中的事件传递机制 : 使用 Intent 在组件间传递信息 ; ...
- 【Android 热修复】热修复原理 ( 热修复框架简介 | 将 Java 字节码文件打包到 Dex 文件 )
文章目录 一. 热修复框架简介 1.类替换 2.so 替换 3.资源替换 4.全平台支持 5.生效时间 6.性能损耗 7.总结 二. 将 Java 字节码文件打包到 Dex 文件 一. 热修复框架简介 ...
- PHP微信开发框架LaneWeChat框架简介
框架名称:LaneWeChat 微信PHP开发框架 框架版本:1.4 框架简介:这是一个为快速开发微信应用而生的PHP框架.将微信的开发者功能根据文档进行了封装.为了快速开发的目的,开发者完全不需要要 ...
最新文章
- curl模拟post请求
- php 获取对象中的元素个数组长度,php数组长度怎么获取
- ergo room and Margaret barton colonnade
- 【若依(ruoyi)】模态框
- tmeminifile and tinifile
- ubuntu编译内核_鸿蒙源码下载并编译
- 1000种对Java的响应没有死
- java逸出_Java并发编程 - 对象的共享
- java解析tcp报文_JAVA语言TCP通信和JDBC示例(AIS信息解析)
- 小蛮机器人如何联网_机器人视界|数字化时代 机器人成为新晋“代言人”
- nginx location正则匹配规则
- 软考高级系统架构师论文,到底该如何写
- 如何用C语言实现批量修改文件类型
- springboot+老年康复中心信息管理系统 毕业设计-附源码250859
- 微信小程序实战--仿知识星球(一)
- GNU/Linux闲话
- 全国优秀计算机动画作品,全国“xx杯”计算机应用基础类说课大赛优秀作品:同步动画教学课件.pptx...
- 广告和游戏广告变现全面解析
- Web全栈 第九周-曾老师-专题视频课程
- Java--重新认识八种基本数据类型,以后入职不给公司大佬挖坑