Java SpringSecurity入门案例与基本原理详解

更新时间：2021年09月06日 14:29:26 作者：Splaying

这篇文章主要介绍了java中Spring Security的实例详解的相关资料,spring security是一个多方面的安全认证框架，提供了基于JavaEE规范的完整的安全认证解决方案，需要的朋友可以参考下

1、入门案例

1.1、创建SpringBoot项目

在这里插入图片描述

1.2、勾选对应的maven依赖

在这里插入图片描述

这里一些依赖可以没有，最主要是要有Web和Security两个依赖即可！

1.3、编写Controller路由

@Controller
public class RouterController {
    @RequestMapping(value = {"/index","/","/index.html"})
    @ResponseBody
    public String success(){
        return "Hello SpringSecurity";
    }
}

在这里插入图片描述

1.4、启动项目

启动项目之后会发现自动来到了登录页面，这个登录页面并不是我们写的，是由Security自带的并且现在说明Security已经开启了用户认证。
可以在控制台拿到密码（随机），用户名为user；使用密码登录之后就能看到页面了！

在这里插入图片描述

2、基本原理

2.1、Security的本质

SpringSecurity的本质是Interceptor拦截器 + Filter过滤器的执行链，而拦截器的本质是AOP。
可以在security包中看到大量的拦截器类、过滤器类等等，它们分别负责不同的功能。

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
org.springframework.security.web.context.SecurityContextPersistenceFilter
org.springframework.security.web.header.HeaderWriterFilter
org.springframework.security.web.csrf.CsrfFilter
org.springframework.security.web.authentication.logout.LogoutFilter
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
org.springframework.security.web.savedrequest.RequestCacheAwareFilter
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
org.springframework.security.web.authentication.AnonymousAuthenticationFilter
org.springframework.security.web.session.SessionManagementFilter
org.springframework.security.web.access.ExceptionTranslationFilter
org.springframework.security.web.access.intercept.FilterSecurityInterceptor

2.2、Security装载过程（一）

根据SpringBoot自动装配原理可以得知，SpringBoot在启动时会自动加载spring-boot-autoconfigure包下的spring.factories中的配置，其中有做安全认证的security组件！

在这里插入图片描述

虽然自动装配了security的组件，但是并没有完全生效，还需要导入security的依赖，这时才会根据@Condition进行条件装配bean。其中最主要的是会装载一个DelegatingFilterProxy类。
DelegatingFilterProxy类的作用是将上述所有的过滤器进行串起来

// 过滤器执行链
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    Filter delegateToUse = this.delegate;
    if (delegateToUse == null) {
        synchronized(this.delegateMonitor) {
            delegateToUse = this.delegate;
            if (delegateToUse == null) {
                WebApplicationContext wac = this.findWebApplicationContext();
                if (wac == null) {
                    throw new IllegalStateException("No WebApplicationContext found: no ContextLoaderListener or DispatcherServlet registered?");
                }
                delegateToUse = this.initDelegate(wac);
            }
            this.delegate = delegateToUse;
        }
    }
    this.invokeDelegate(delegateToUse, request, response, filterChain);
}
protected Filter initDelegate(WebApplicationContext wac) throws ServletException {
    String targetBeanName = this.getTargetBeanName();			//FilterChainProxy
    Assert.state(targetBeanName != null, "No target bean name set");
    Filter delegate = (Filter)wac.getBean(targetBeanName, Filter.class);
    if (this.isTargetFilterLifecycle()) {
        delegate.init(this.getFilterConfig());
    }
    return delegate;
}

2.3、Security装载过程（二）

initDelegate方法中的getTargetBeanName为springSecurityFilterChain，由FilterChainProxy类生成
内部核心方法doFilterInternal中可以看到获取到的所有过滤器。

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
		throws IOException, ServletException {
	....
		doFilterInternal(request, response, chain);
	....
}
private void doFilterInternal(ServletRequest request, ServletResponse response, FilterChain chain)
		throws IOException, ServletException {
	...
	List<Filter> filters = getFilters(firewallRequest);
	...
}

在这里插入图片描述

一共有14个自动装配好的过滤器、拦截器

2.4、UsernamePasswordAuthenticationFilter过滤器

这是Security中的一个过滤器，用户对登录/login请求进行拦截验证的实现类。

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
		throws AuthenticationException {
	if (this.postOnly && !request.getMethod().equals("POST")) {
		throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
	}
	String username = obtainUsername(request);
	username = (username != null) ? username : "";
	username = username.trim();
	String password = obtainPassword(request);
	password = (password != null) ? password : "";
	UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
	// Allow subclasses to set the "details" property
	setDetails(request, authRequest);
	return this.getAuthenticationManager().authenticate(authRequest);
}

其中核心的方法是authenticate()方法，在这里对用户提交的账号和密码进行验证。

总结

本篇文章就到这里了，希望能够给你带来帮助，也希望您能够多多关注脚本之家的更多内容！

您可能感兴趣的文章:

HTTP基本认证(Basic Authentication)的JAVA实例代码
下面小编就为大家带来一篇HTTP基本认证(Basic Authentication)的JAVA实例代码。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2016-11-11
SpringBoot2整合JTA组件实现多数据源事务管理
这篇文章主要介绍了SpringBoot2整合JTA组件实现多数据源事务管理，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-03-03
Spring Boot多个定时任务阻塞问题的解决方法
在日常的项目开发中,往往会涉及到一些需要做到定时执行的代码,下面这篇文章主要给大家介绍了关于Spring Boot多个定时任务阻塞问题的解决方法,需要的朋友可以参考下
2022-01-01
Spring整合websocket整合应用示例（下）
这篇文章主要介绍了Spring整合websocket整合应用示例（下）的相关资料,需要的朋友可以参考下
2016-04-04
Java中的值传递以及引用传递和数组传递详解
这篇文章主要介绍了Java中的值传递以及引用传递和数组传递详解,Java不允许程序员选择按值传递还是按引用传递各个参数,就对象而言，不是将对象本身传递给方法，而是将对象的的引用或者说对象的首地址传递给方法，引用本身是按值传递的,需要的朋友可以参考下
2023-07-07
feign调用中文参数被encode编译的问题
这篇文章主要介绍了feign调用中文参数被encode编译的问题，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-03-03
彻底搞懂Java多线程(五)
这篇文章主要给大家介绍了关于Java面试题之多线程和高并发的相关资料，文中通过示例代码介绍的非常详细，对大家学习或者使用java具有一定的参考学习价值，需要的朋友们下面来一起学习学习吧
2021-07-07
一文带你熟练掌握Java中的日期时间相关类
我们在开发时，除了数字、数学这样的常用API之外，还有日期时间类，更是会被经常使用，比如我们项目中必备的日志功能，需要记录异常等信息产生的时间，本文就带各位来学习一下相关的日期时间类有哪些
2023-05-05
零基础写Java知乎爬虫之准备工作
上个系列我们从易到难介绍了如何使用python编写爬虫，小伙伴们反响挺大，这个系列我们来研究下使用Java编写知乎爬虫，小伙伴们可以对比这看下。
2014-11-11
JAVA实现较完善的布隆过滤器的示例代码
这篇文章主要介绍了JAVA实现较完善的布隆过滤器的示例代码，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2018-10-10