浅谈SpringSecurity基本原理

更新时间：2021年05月26日 17:00:16 作者：Java追求者

今天带大家了解一下SpringSecurity的基本原理,文中有非常详细的代码示例,对正在学习java的小伙伴们有很好地帮助,需要的朋友可以参考下

一、SpringSecurity 本质

SpringSecurity 本质是一个过滤器链；
从启动是可以获取到（加载）过滤器链，当执行请求时就会执行相应的过滤器：

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
org.springframework.security.web.context.SecurityContextPersistenceFilter 
org.springframework.security.web.header.HeaderWriterFilter
org.springframework.security.web.csrf.CsrfFilter
org.springframework.security.web.authentication.logout.LogoutFilter 
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter 
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
org.springframework.security.web.savedrequest.RequestCacheAwareFilter
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
org.springframework.security.web.authentication.AnonymousAuthenticationFilter 
org.springframework.security.web.session.SessionManagementFilter 
org.springframework.security.web.access.ExceptionTranslationFilter 
org.springframework.security.web.access.intercept.FilterSecurityInterceptor

二、典型过滤器

2.1 FilterSecurityInterceptor

FilterSecurityInterceptor：是一个方法级的权限过滤器, 基本位于过滤链的最底部。

1.打开FilterSecurityInterceptor类，发现该类是实现Filter接口，如图所示：

在这里插入图片描述

2.找到doFilter方法，发现最后调用的是invoke方法

在这里插入图片描述

3.找到invoke方法
super.beforeInvocation(filterInvocation) 表示查看之前的 filter 是否通过。
filterInvocation.getChain().doFilter(filterInvocation.getRequest(), filterInvocation.getResponse());表示真正的调用后台的服务。

在这里插入图片描述

2.2 ExceptionTranslationFilter

ExceptionTranslationFilter：是个异常过滤器，用来处理在认证授权过程中抛出的异常

1.点击继承方法，发现该类是实现Filter接口，如图所示：

在这里插入图片描述

2.找到核心方法doFilter方法

在这里插入图片描述

2.3 UsernamePasswordAuthenticationFilter

UsernamePasswordAuthenticationFilter ：对/login 的 POST 请求做拦截，校验表单中用户名，密码。

1.找到核心方法attemptAuthentication

在这里插入图片描述

三、过滤器加载过程

1.使用Spring Security首先是需要进行配置，而springboot帮我们做了这些事情，自动装配省了配置。
本质是有过滤器进行处理的DelegatingFilterProxy，找到doFilter方法，进入initDelegate方法

在这里插入图片描述

2.该方法主要是找到指定的过滤器名（FilterChainProxy）
wac：spring容器中上下文对象。
Filter delegate = wac.getBean(targetBeanName, Filter.class);//获取Spring容器中beanName=targetBeanName，类型为Filter的bean

在这里插入图片描述

3.我能从第二步知道获得的过滤器名FilterChainProxy，所以我们进入这个类看看
发现无论怎么处理都会调用doFilterInternal，很好奇

在这里插入图片描述

4.我们进入doFilterInternal看看，发现代码中有个list集合是来装每个过滤器的

在这里插入图片描述

5.getFilters方法把过滤器都加载到过滤链中

在这里插入图片描述

6.返回DelegatingFilterProxy类中的doFilter方法，调用invokeDelegate，调用代理对象方法，完成拦截

在这里插入图片描述

7.invokeDelegate方法中delegate调用代理对象的Filter完成拦截

在这里插入图片描述

四、两个重要接口

4.1 UserDetailsService接口

当什么也没有配置的时候，账号和密码是由 Spring Security 定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。

UserDetailsService接口：查询数据库中的用户名和密码
UsernamePasswordAuthenticationFilter：获取前台表单传过来的用户名和密码

在这里插入图片描述

返回值 UserDetails，这个类是系统默认的用户“主体”
UserDetails.java

// 表示获取登录用户所有权限
Collection<? extends GrantedAuthority> getAuthorities();
// 表示获取密码
String getPassword();
// 表示获取用户名
String getUsername();
// 表示判断账户是否过期
boolean isAccountNonExpired();
// 表示判断账户是否被锁定
boolean isAccountNonLocked();
// 表示凭证{密码}是否过期
boolean isCredentialsNonExpired();
// 表示当前用户是否可用
boolean isEnabled();

UserDetails的实现类，以后我们只需要使用 User 这个实体类即可！

在这里插入图片描述

方法参数 username：表示用户名。此值是客户端表单传递过来的数据。默认情况下必须叫 username，否则无法接收。

4.2 PasswordEncoder接口

PasswordEncoder接口：用来数据加密
PasswordEncoder.java

// 表示把参数按照特定的解析规则进行解析
String encode(CharSequence rawPassword);
// 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹
配，则返回 true；如果不匹配，则返回 false。第一个参数表示需要被解析的密码。第二个
参数表示存储的密码。
boolean matches(CharSequence rawPassword, String encodedPassword);
// 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回 true，否则返回
false。默认返回 false。
default boolean upgradeEncoding(String encodedPassword) {
return false; }

PasswordEncoder的实现类：

在这里插入图片描述

BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器，平时多使用这个解析器。
BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度，默认10.

查用方法演示：

@Test
public void test01(){
	// 创建密码解析器
	BCryptPasswordEncoder bCryptPasswordEncoder = new 
	BCryptPasswordEncoder();
	// 对密码进行加密
	String atguigu = bCryptPasswordEncoder.encode("atguigu");
	// 打印加密之后的数据
	System.out.println("加密之后数据：\t"+atguigu);
	//判断原字符加密后和加密之前是否匹配
	boolean result = bCryptPasswordEncoder.matches("atguigu", atguigu);
	// 打印比较结果
	System.out.println("比较结果：\t"+result);
}

到此这篇关于浅谈SpringSecurity基本原理的文章就介绍到这了,更多相关SpringSecurity原理内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

checkpoint 机制具体实现示例详解
这篇文章主要为大家介绍了checkpoint 机制具体实现示例详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2023-02-02
基于jenkins上配置Credentials的2种方式
这篇文章主要介绍了基于jenkins上配置Credentials的2种方式，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2023-06-06
SpringBoot集成xxl-job实现超牛的定时任务的步骤详解
XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展,现已开放源代码并接入多家公司线上产品线,开箱即用,本文给大家介绍了SpringBoot集成xxl-job实现超牛的定时任务,需要的朋友可以参考下
2023-10-10
MyBatis主键自增的两种实现方法
本文主要介绍了MyBatis主键自增的两种实现方法,主要包括注解方式或配置文件方式来实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
2024-01-01
SpringMVC中的HandlerAdapter解析
这篇文章主要介绍了SpringMVC中的HandlerAdapter解析,HandlerAdapter是一个关键的组件,用于将请求与处理程序方法进行适配和调度,它充当了控制器和处理程序之间的桥梁,负责将请求的参数和处理程序方法进行匹配,并将结果返回给前端,需要的朋友可以参考下
2023-10-10
Java使用easyExcel实现导入功能
这篇文章介绍了Java使用easyExcel实现导入功能的方法，文中通过示例代码介绍的非常详细。对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2022-10-10
Java判断字符串是否含有乱码实例代码
本文通过实例代码给大家介绍了Java判断字符串是否含有乱码的方法，代码简单易懂，非常不错，具有一定的参考借鉴价值，需要的朋友参考下吧
2018-11-11
Java程序控制逻辑—流程控制
这篇文章主要介绍了Java程序的控制逻辑流程控制,流程控制中最基本的就是条件执行，也就是说，一些操作只能在某些条件满足的情况下才执行，在一些条件下执行某种操作，在另外一些条件下执行另外的操作,需要的朋友可以参考一下
2022-01-01
详解Java字节码编程之非常好用的javassist
这篇文章主要介绍了详解Java字节码编程之非常好用的javassist，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-04-04
如何将SpringBoot项目打成 war 包并部署到Tomcat
这篇文章主要介绍了如何将SpringBoot项目打成 war 包并部署到 Tomcat,当前环境是windows，tomcat版本是8.5采用的springboot版本是2.2.3，本文结合实例代码给大家详细讲解需要的朋友可以参考下
2022-11-11