SpringSecurity原理解析(一)

2024-09-07 23:52

本文主要是介绍SpringSecurity原理解析(一),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、SpringSecurity 核心组件

       在SpringSecurity中的jar包有4个,作用分别为:

spring-security-coreSpringSecurity的核心jar包,认证和授权的核心代码都在这里面
spring-security-config如果使用Spring Security XML名称空间进行配置或Spring Security的Java configuration支持,则需要它
spring-security-web用于Spring Security web身份验证服务和基于url的访问控制
spring-security-test测试单元

1、Authentication

      Authentication 是 org.springframework.security.core 包下的一个接口,

      Authentication 表示一个当前认证的对象,继承了接口 Principal,接口Principal 用来

     表示一个主题的抽象概念,可以用来表示任何实体对象,如:个人、公司、登录id等,

     简单的来说 Principal 可以表示任何具体的对象。

      Authentication 定义的方法如下:

public interface Authentication extends Principal, Serializable {// 获取认证用户拥有的对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 获取用户的凭证(认证)Object getCredentials();// 存储有关身份验证请求的其他详细信息。这些可能是 IP地址、证书编号等//即获取认证用户的详细信息Object getDetails();// 获取用户信息 通常是 UserDetails 对象Object getPrincipal();// 判断当前用户的登录状态boolean isAuthenticated();// 设置认证状态void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;}

     

2、SecurityContextHolder

2.1、SecurityContext

     既然上面说 Authentication 表示一个认证对象,那么Authentication对象是如何放到 

     SpringSecurity 中的?

     SecurityContext 表示 SpringSecurity 上下文对象(也可看成是一个容器);

     SpringSecurity 是包 org.springframework.security.core.context 中一个接口,定义如下:

public interface SecurityContext extends Serializable {//获取Authentication Authentication getAuthentication();//保存Authentication void setAuthentication(Authentication authentication);}

     通过 SecurityContext 的定义可以发现, SecurityContext就干了2件事情,即:

              1)保存 Authentication

              2)获取 Authentication

   

2.2、SecurityContextHolder

         下面来看看在spring-security-core中的SecurityContextHolder,这个是一个非常基础的

          对象,存储了当前应用的上下文SecurityContext,而在SecurityContext可以获取

          Authentication对象。也就是当前认证的相关信息会存储在Authentication对象中。

          另外 SecurityContextHolder 还定义了 SecurityContext 的存储方式。

          SecurityContextHolder 定义如下:

public class SecurityContextHolder {//下边2个常量表示 SecurityContext  存储模式public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";public static final String MODE_GLOBAL = "MODE_GLOBAL";//配置文件中自定义strategy时,配置项的名称public static final String SYSTEM_PROPERTY = "spring.security.strategy";private static String strategyName = System.getProperty(SYSTEM_PROPERTY);//用于存储SecurityContext private static SecurityContextHolderStrategy strategy;//SecurityContextHolder 初始化次数private static int initializeCount = 0;static {initialize();}/*** 清除保存的SecurityContext */public static void clearContext() {strategy.clearContext();}/*** 获取 SecurityContext * 注意这个方法是static 静态方法,可由类直接调用* @return the security context (never <code>null</code>)*/public static SecurityContext getContext() {return strategy.getContext();}/*** 返回初始化次数*/public static int getInitializeCount() {return initializeCount;}//初始化private static void initialize() {//判断配置文件中是否指定 strategy的实现类,若没指定则使用 MODE_THREADLOCALif (!StringUtils.hasText(strategyName)) {// Set defaultstrategyName = MODE_THREADLOCAL;}if (strategyName.equals(MODE_THREADLOCAL)) {//表示把SecurityContext 存储在当前线程的 ThreadLocal中,线程之间隔离strategy = new ThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {//表示SecurityContext 在父子线程之间可以共享strategy = new InheritableThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_GLOBAL)) {//表示把SecurityContext 存储在全局变量中,全局共享strategy = new GlobalSecurityContextHolderStrategy();}else {// Try to load a custom strategytry {Class<?> clazz = Class.forName(strategyName);Constructor<?> customStrategy = clazz.getConstructor();strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();}catch (Exception ex) {ReflectionUtils.handleReflectionException(ex);}}initializeCount++;}/*** 保存 SecurityContext */public static void setContext(SecurityContext context) {strategy.setContext(context);}public static void setStrategyName(String strategyName) {SecurityContextHolder.strategyName = strategyName;initialize();}public static SecurityContextHolderStrategy getContextHolderStrategy() {return strategy;}public static SecurityContext createEmptyContext() {return strategy.createEmptyContext();}@Overridepublic String toString() {return "SecurityContextHolder[strategy='" + strategyName + "'; initializeCount="+ initializeCount + "]";}
}

         默认情况下,SecurityContextHolder是通过 `ThreadLocal`来存储对应的信息的。也就是

         在一个线程中我们可以通过这种方式来获取当前登录的用户的相关信息。而在

         SecurityContext中就只提供了对Authentication对象操作的方法

2.3、SecurityContextHolderStrategy

        在上边可以发现 SecurityContext 真正保存在 SecurityContextHolderStrategy 中的。

        SecurityContextHolderStrategy有三个是实现类,分别是:

                       

           

GlobalSecurityContextHolderStrategy把SecurityContext存储为static变量,全局共享
InheritableThreadLocalSecurityContextStrategy把SecurityContext存储在InheritableThreadLocal中
InheritableThreadLocal解决父线程生成的变量传递到子线程中进行使用
ThreadLocalSecurityContextStrategy把SecurityContext存储在ThreadLocal中,只有当前线程可以使用

2.4、Authentication、SecurityContext、SecurityContextHolder三者之间的关系

        SecurityContext 存储保存 Authentication,SecurityContextHolder存储并保存

         SecurityContext,通过SecurityContextHolder可以获取到 Authentication

         即如下图所示:

                 

        明白了3者之间的关系,下面可以通过 SecurityContextHolder 来获取当前登录的用户信息

        示例代码如下:

public String getLoginUser(){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();Object principal = authentication.getPrincipal();if(principal instanceof UserDetails){UserDetails userDetails = (UserDetails) principal;System.out.println(userDetails.getUsername());return "当前登录的账号是:" + userDetails.getUsername();}return "当前登录的账号-->" + principal.toString();}

         调用 getContext()返回的对象是 SecurityContext接口的一个实例,这个对象默认是保

         存在线程中的。接下来将看到,Spring Security中的认证大都返回一个 UserDetails的实

          例作为Principa。

3、UserDetailsService

      在上面的关系中我们看到在Authentication中存储当前登录用户的是Principal对象,而通常

     情况下Principal对象可以转换为UserDetails对象。UserDetails是Spring Security中的一个

     核心接口。它表示一个Principal,但是是可扩展的、特定于应用的。可以认为 UserDetails

     是数据库中用户表记录和Spring Security在 SecurityContextHolder中所必须信息的适配器。

     UserDetails 接口定义如下

public interface UserDetails extends Serializable {// 对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 密码String getPassword();// 账号String getUsername();// 账号是否过期boolean isAccountNonExpired();// 是否锁定boolean isAccountNonLocked();// 凭证是否过期boolean isCredentialsNonExpired();// 账号是否可用boolean isEnabled();}

     UserDetails 接口的默认实现是类User,如下图所示:

              

     那么问题来了,这个UserDetails对象什么时候提供给SecurityContextHolder呢?

            这就需要用到接口UserDetailsService,在用户认证时我们需要实现UserDetailsService

     ,在UserDetailsService的方法 loadUserByUsername 中,将从数据库查询到的用户信息封

     装成User对象。

     UserDetailsService接口定义如下:

public interface UserDetailsService {UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;}

      Spring Security提供了许多 UserDetailsSerivice接口的实现,包括使用内存中map的实现

    (InMemoryDaoImpl低版本 InMemoryUserDetailsManager)和使用JDBC的实现

    (JdbcDaoImpl)。但在实际开发中我们更喜欢自己来编写,比如UserServiceImpl我们的案例

       UserDetailsService接口的实现有如下:

               

      UserServiceImpl我们的案例代码如下:

/*** 用户认证接口* todo 注意:*    继承 UserDetailsService*/
public interface UserService extends UserDetailsService {
}@Service
public class UserServiceImpl implements UserService {@Autowiredprivate SysUserMapper sysUserMapper;/*** 根据账号查询用户信息,并进行用户认证* @param userName* @return* @throws UsernameNotFoundException*/public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {//根据账号查询用户信息SysUser sysUser = sysUserMapper.queryByUserName(userName);//账号存在if(sysUser != null){/*** 封装用户的权限*/List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();//添加用户的权限,list.add(new SimpleGrantedAuthority("ROLE_USER"));// 表示账号存在UserDetails userDetails = new User(sysUser.getUserName() // 账号,sysUser.getPasseord() // 密码,{noop}表示不加密,true  //表示当前账号可用,false //表示当前账号是否过期,false=过期,true //表示凭证是否过期,true=未过期,true //用户是否被锁定,true=未被锁定,list);return userDetails;}//用户不存在return null;}public static void main(String[] args) {//BCryptPasswordEncoder是Spring Security 提供的密码加密方式BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();String password = "admin";System.out.println(encoder.encode(password));}
}

      

4、GrantedAuthority

      我们在Authentication中看到不光关联了Principal还提供了一个getAuthorities()方法来获取

      对应的GrantedAuthority对象数组。和权限相关,后面在权限模块详细讲解

       GrantedAuthority定义如下:

public interface GrantedAuthority extends Serializable {//获取权限信息String getAuthority();}

5、总结

     上面介绍到的核心对象总结

Authentication特定于Spring Security的principal
SecurityContext存放了Authentication和特定于请求的安全信息
SecurityContextHolder用于获取SecurityContext
UserDetails提供从应用程序的DAO或其他安全数据源构建Authentication对象所需的信息
UserDetailsService接受String类型的用户名,创建并返回UserDetail
GrantedAuthority对某个principal的应用范围内的授权许可

这篇关于SpringSecurity原理解析(一)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/1146520

相关文章

SpringBoot中六种批量更新Mysql的方式效率对比分析

《SpringBoot中六种批量更新Mysql的方式效率对比分析》文章比较了MySQL大数据量批量更新的多种方法,指出REPLACEINTO和ONDUPLICATEKEY效率最高但存在数据风险,MyB... 目录效率比较测试结构数据库初始化测试数据批量修改方案第一种 for第二种 case when第三种

Java docx4j高效处理Word文档的实战指南

《Javadocx4j高效处理Word文档的实战指南》对于需要在Java应用程序中生成、修改或处理Word文档的开发者来说,docx4j是一个强大而专业的选择,下面我们就来看看docx4j的具体使用... 目录引言一、环境准备与基础配置1.1 Maven依赖配置1.2 初始化测试类二、增强版文档操作示例2.

一文详解如何使用Java获取PDF页面信息

《一文详解如何使用Java获取PDF页面信息》了解PDF页面属性是我们在处理文档、内容提取、打印设置或页面重组等任务时不可或缺的一环,下面我们就来看看如何使用Java语言获取这些信息吧... 目录引言一、安装和引入PDF处理库引入依赖二、获取 PDF 页数三、获取页面尺寸(宽高)四、获取页面旋转角度五、判断

Spring Boot中的路径变量示例详解

《SpringBoot中的路径变量示例详解》SpringBoot中PathVariable通过@PathVariable注解实现URL参数与方法参数绑定,支持多参数接收、类型转换、可选参数、默认值及... 目录一. 基本用法与参数映射1.路径定义2.参数绑定&nhttp://www.chinasem.cnbs

JAVA中安装多个JDK的方法

《JAVA中安装多个JDK的方法》文章介绍了在Windows系统上安装多个JDK版本的方法,包括下载、安装路径修改、环境变量配置(JAVA_HOME和Path),并说明如何通过调整JAVA_HOME在... 首先去oracle官网下载好两个版本不同的jdk(需要登录Oracle账号,没有可以免费注册)下载完

Spring StateMachine实现状态机使用示例详解

《SpringStateMachine实现状态机使用示例详解》本文介绍SpringStateMachine实现状态机的步骤,包括依赖导入、枚举定义、状态转移规则配置、上下文管理及服务调用示例,重点解... 目录什么是状态机使用示例什么是状态机状态机是计算机科学中的​​核心建模工具​​,用于描述对象在其生命

Spring Boot 结合 WxJava 实现文章上传微信公众号草稿箱与群发

《SpringBoot结合WxJava实现文章上传微信公众号草稿箱与群发》本文将详细介绍如何使用SpringBoot框架结合WxJava开发工具包,实现文章上传到微信公众号草稿箱以及群发功能,... 目录一、项目环境准备1.1 开发环境1.2 微信公众号准备二、Spring Boot 项目搭建2.1 创建

Java中Integer128陷阱

《Java中Integer128陷阱》本文主要介绍了Java中Integer与int的区别及装箱拆箱机制,重点指出-128至127范围内的Integer值会复用缓存对象,导致==比较结果为true,下... 目录一、Integer和int的联系1.1 Integer和int的区别1.2 Integer和in

SpringSecurity整合redission序列化问题小结(最新整理)

《SpringSecurity整合redission序列化问题小结(最新整理)》文章详解SpringSecurity整合Redisson时的序列化问题,指出需排除官方Jackson依赖,通过自定义反序... 目录1. 前言2. Redission配置2.1 RedissonProperties2.2 Red

IntelliJ IDEA2025创建SpringBoot项目的实现步骤

《IntelliJIDEA2025创建SpringBoot项目的实现步骤》本文主要介绍了IntelliJIDEA2025创建SpringBoot项目的实现步骤,文中通过示例代码介绍的非常详细,对大家... 目录一、创建 Spring Boot 项目1. 新建项目2. 基础配置3. 选择依赖4. 生成项目5.