溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

Spring security的認證和授權(quán)

發(fā)布時間:2020-05-27 18:03:11 來源:億速云 閱讀:592 作者:鴿子 欄目:編程語言

Spring security可以進行認證和授權(quán),認證和授權(quán)需要針對每一個請求,所以這個功能,可以用過濾器來實現(xiàn),spring security正是通過一系列過濾器來實現(xiàn)認證和授權(quán)功能的。

我們來看看其中幾個比較重要的過濾器,類和接口。

1.1    UserDetails

public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}

用來記錄用戶的信息,包括用戶名,權(quán)限等信息。

1.2  UserDetailsService

UserDetailsService接口用于返回用戶相關(guān)數(shù)據(jù)返回的是一個UserDetails實例,它有loadUserByUsername()方法,該方法可以根據(jù)username查詢用戶實體,可以實現(xiàn)該接口覆蓋該方法,實現(xiàn)自定義獲取用戶過程。

public interface UserDetailsService {
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

 

1.3    Authentication

封裝用戶信息的接口,UsernamePasswordAuthenticationToken是它的實現(xiàn)類,用戶登錄以后,用戶名,密碼等信息被封裝到了UsernamePasswordAuthenticationToken對象中。

它和UserDetails不同之處在于Authentication記錄的是當(dāng)前登錄用戶的信息,而UserDetails則是用戶信息的封裝。

public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

 

getAuthorities方法獲取權(quán)限信息的列表

getCredentials方法獲取用戶認證時輸入的密碼

getDetails方法獲取訪問者的ip地址和sessionid的值

getPrincipal方法獲取用戶的信息,大部分情況下返回的是UserDetails接口的實現(xiàn)類

 

1.4    AuthenticationManager

是認證相關(guān)的核心接口,用來處理認證請求,如果認證成功則返回一個Authentication接口的實例,它的默認實現(xiàn)類是:ProviderManager。

 

 

SecurityContext:是安全上下文接口,用來存儲認證授權(quán)的相關(guān)信息,這個接口只有兩個方法,Authentication對象的getter、setter。

public interface SecurityContext extends Serializable {

    Authentication getAuthentication();

 

    void setAuthentication(Authentication var1);

}

 

1.5    SecurityContextHolder

保存系統(tǒng)當(dāng)前的安全上下文,包括當(dāng)前使用系統(tǒng)的用戶的信息。

 

1.6    PasswordEncoder

該接口有很多實現(xiàn)類,它用來在認證的過程中使用matches方法比對密碼,具體如何比對密碼則取決于PasswordEncoder的實現(xiàn)類。

public interface PasswordEncoder {
     String encode(CharSequence var1);
     boolean matches(CharSequence var1, String var2);
 }

比如不對密碼進行加密,采用明文字符串進行比對可以:

@Bean
public PasswordEncoder passwordEncoder() {
return NoOpPasswordEncoder.getInstance();
}

但是在實際項目中我們往往會對密碼進行加密,比較常用的PasswordEncoder實現(xiàn)類有:、

BCryptPasswordEncoder, Pbkdf2PasswordEncoder, SCryptPasswordEncoder

如果使用BcryptPasswordEncoder

則:

@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}

 

認證流程:

1.用戶提交用戶名密碼被UsernamePasswordAuthenticationFilter 過濾器獲取到,
封裝為Authentication接口的實例,通常情況下是UsernamePasswordAuthenticationToken。

2.過濾器將Authentication提交至認證管理器(AuthenticationManager)進行認證,認證成功后返回一個被填充滿信息的Authentication實例.

3. SecurityContextHolder保存返回的Authentication實例.

 

 

 

授權(quán)流程:

1.攔截請求:已認證的用戶請求將會被過濾器:FilterSecurityInterceptor攔截。

2. FilterSecurityInterceptor獲取訪問權(quán)限,該權(quán)限就是我們配置的訪問規(guī)則如。

http
.authorizeRequests()
.antMatchers("/r/r1").hasAuthority("p1")
.antMatchers("/r/r2").hasAuthority("p2")

3. FilterSecurityInterceptor會調(diào)用訪問決策管理器 AccessDecisionManager 進行授權(quán)決策,若決策通過,則允許訪問資源,否則將禁止訪問

AccessDecisionManager:訪問決策管理器,用來控制用戶是否有相應(yīng)的權(quán)限。

public interface AccessDecisionManager {
/**
* 通過傳遞的參數(shù)來決定用戶是否有訪問對應(yīng)受保護資源的權(quán)限
*/
void decide(Authentication authentication , Object object, Collection<ConfigAttribute>
configAttributes ) throws AccessDeniedException, InsufficientAuthenticationException;
//..
}

參數(shù)說明:

Authentication:要訪問資源的訪問者

object:要訪問的受保護資源

configAttributes:是受保護資源的訪問策略

decide方法就是用來判斷訪問者是否有訪問某資源的權(quán)限。

它用投票的方式來決定是否有訪問某資源的權(quán)限

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI