SpringSecurity原理解析(一)
一、SpringSecurity 核心组件
在SpringSecurity中的jar包有4个,作用分别为:
| spring-security-core | SpringSecurity的核心jar包,认证和授权的核心代码都在这里面 |
| spring-security-config | 如果使用Spring Security XML名称空间进行配置或Spring Security的Java configuration支持,则需要它 |
| spring-security-web | 用于Spring Security web身份验证服务和基于url的访问控制 |
| spring-security-test | 测试单元 |
1、Authentication
Authentication 是 org.springframework.security.core 包下的一个接口,
Authentication 表示一个当前认证的对象,继承了接口 Principal,接口Principal 用来
表示一个主题的抽象概念,可以用来表示任何实体对象,如:个人、公司、登录id等,
简单的来说 Principal 可以表示任何具体的对象。
Authentication 定义的方法如下:
public interface Authentication extends Principal, Serializable {// 获取认证用户拥有的对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 获取用户的凭证(认证)Object getCredentials();// 存储有关身份验证请求的其他详细信息。这些可能是 IP地址、证书编号等//即获取认证用户的详细信息Object getDetails();// 获取用户信息 通常是 UserDetails 对象Object getPrincipal();// 判断当前用户的登录状态boolean isAuthenticated();// 设置认证状态void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;}
2、SecurityContextHolder
2.1、SecurityContext
既然上面说 Authentication 表示一个认证对象,那么Authentication对象是如何放到
SpringSecurity 中的?
SecurityContext 表示 SpringSecurity 上下文对象(也可看成是一个容器);
SpringSecurity 是包 org.springframework.security.core.context 中一个接口,定义如下:
public interface SecurityContext extends Serializable {//获取Authentication Authentication getAuthentication();//保存Authentication void setAuthentication(Authentication authentication);}通过 SecurityContext 的定义可以发现, SecurityContext就干了2件事情,即:
1)保存 Authentication
2)获取 Authentication
2.2、SecurityContextHolder
下面来看看在spring-security-core中的SecurityContextHolder,这个是一个非常基础的
对象,存储了当前应用的上下文SecurityContext,而在SecurityContext可以获取
Authentication对象。也就是当前认证的相关信息会存储在Authentication对象中。
另外 SecurityContextHolder 还定义了 SecurityContext 的存储方式。
SecurityContextHolder 定义如下:
public class SecurityContextHolder {//下边2个常量表示 SecurityContext 存储模式public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";public static final String MODE_GLOBAL = "MODE_GLOBAL";//配置文件中自定义strategy时,配置项的名称public static final String SYSTEM_PROPERTY = "spring.security.strategy";private static String strategyName = System.getProperty(SYSTEM_PROPERTY);//用于存储SecurityContext private static SecurityContextHolderStrategy strategy;//SecurityContextHolder 初始化次数private static int initializeCount = 0;static {initialize();}/*** 清除保存的SecurityContext */public static void clearContext() {strategy.clearContext();}/*** 获取 SecurityContext * 注意这个方法是static 静态方法,可由类直接调用* @return the security context (never <code>null</code>)*/public static SecurityContext getContext() {return strategy.getContext();}/*** 返回初始化次数*/public static int getInitializeCount() {return initializeCount;}//初始化private static void initialize() {//判断配置文件中是否指定 strategy的实现类,若没指定则使用 MODE_THREADLOCALif (!StringUtils.hasText(strategyName)) {// Set defaultstrategyName = MODE_THREADLOCAL;}if (strategyName.equals(MODE_THREADLOCAL)) {//表示把SecurityContext 存储在当前线程的 ThreadLocal中,线程之间隔离strategy = new ThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {//表示SecurityContext 在父子线程之间可以共享strategy = new InheritableThreadLocalSecurityContextHolderStrategy();}else if (strategyName.equals(MODE_GLOBAL)) {//表示把SecurityContext 存储在全局变量中,全局共享strategy = new GlobalSecurityContextHolderStrategy();}else {// Try to load a custom strategytry {Class<?> clazz = Class.forName(strategyName);Constructor<?> customStrategy = clazz.getConstructor();strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();}catch (Exception ex) {ReflectionUtils.handleReflectionException(ex);}}initializeCount++;}/*** 保存 SecurityContext */public static void setContext(SecurityContext context) {strategy.setContext(context);}public static void setStrategyName(String strategyName) {SecurityContextHolder.strategyName = strategyName;initialize();}public static SecurityContextHolderStrategy getContextHolderStrategy() {return strategy;}public static SecurityContext createEmptyContext() {return strategy.createEmptyContext();}@Overridepublic String toString() {return "SecurityContextHolder[strategy='" + strategyName + "'; initializeCount="+ initializeCount + "]";}
}
默认情况下,SecurityContextHolder是通过 `ThreadLocal`来存储对应的信息的。也就是
在一个线程中我们可以通过这种方式来获取当前登录的用户的相关信息。而在
SecurityContext中就只提供了对Authentication对象操作的方法
2.3、SecurityContextHolderStrategy
在上边可以发现 SecurityContext 真正保存在 SecurityContextHolderStrategy 中的。
SecurityContextHolderStrategy有三个是实现类,分别是:
| GlobalSecurityContextHolderStrategy | 把SecurityContext存储为static变量,全局共享 |
| InheritableThreadLocalSecurityContextStrategy | 把SecurityContext存储在InheritableThreadLocal中 InheritableThreadLocal解决父线程生成的变量传递到子线程中进行使用 |
| ThreadLocalSecurityContextStrategy | 把SecurityContext存储在ThreadLocal中,只有当前线程可以使用 |
2.4、Authentication、SecurityContext、SecurityContextHolder三者之间的关系
SecurityContext 存储保存 Authentication,SecurityContextHolder存储并保存
SecurityContext,通过SecurityContextHolder可以获取到 Authentication
即如下图所示:
明白了3者之间的关系,下面可以通过 SecurityContextHolder 来获取当前登录的用户信息
示例代码如下:
public String getLoginUser(){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();Object principal = authentication.getPrincipal();if(principal instanceof UserDetails){UserDetails userDetails = (UserDetails) principal;System.out.println(userDetails.getUsername());return "当前登录的账号是:" + userDetails.getUsername();}return "当前登录的账号-->" + principal.toString();}调用 getContext()返回的对象是 SecurityContext接口的一个实例,这个对象默认是保
存在线程中的。接下来将看到,Spring Security中的认证大都返回一个 UserDetails的实
例作为Principa。
3、UserDetailsService
在上面的关系中我们看到在Authentication中存储当前登录用户的是Principal对象,而通常
情况下Principal对象可以转换为UserDetails对象。UserDetails是Spring Security中的一个
核心接口。它表示一个Principal,但是是可扩展的、特定于应用的。可以认为 UserDetails
是数据库中用户表记录和Spring Security在 SecurityContextHolder中所必须信息的适配器。
UserDetails 接口定义如下
public interface UserDetails extends Serializable {// 对应的权限Collection<? extends GrantedAuthority> getAuthorities();// 密码String getPassword();// 账号String getUsername();// 账号是否过期boolean isAccountNonExpired();// 是否锁定boolean isAccountNonLocked();// 凭证是否过期boolean isCredentialsNonExpired();// 账号是否可用boolean isEnabled();}UserDetails 接口的默认实现是类User,如下图所示:
那么问题来了,这个UserDetails对象什么时候提供给SecurityContextHolder呢?
这就需要用到接口UserDetailsService,在用户认证时我们需要实现UserDetailsService
,在UserDetailsService的方法 loadUserByUsername 中,将从数据库查询到的用户信息封
装成User对象。
UserDetailsService接口定义如下:
public interface UserDetailsService {UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;}Spring Security提供了许多 UserDetailsSerivice接口的实现,包括使用内存中map的实现
(InMemoryDaoImpl低版本 InMemoryUserDetailsManager)和使用JDBC的实现
(JdbcDaoImpl)。但在实际开发中我们更喜欢自己来编写,比如UserServiceImpl我们的案例
UserDetailsService接口的实现有如下:
UserServiceImpl我们的案例代码如下:
/*** 用户认证接口* todo 注意:* 继承 UserDetailsService*/
public interface UserService extends UserDetailsService {
}@Service
public class UserServiceImpl implements UserService {@Autowiredprivate SysUserMapper sysUserMapper;/*** 根据账号查询用户信息,并进行用户认证* @param userName* @return* @throws UsernameNotFoundException*/public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {//根据账号查询用户信息SysUser sysUser = sysUserMapper.queryByUserName(userName);//账号存在if(sysUser != null){/*** 封装用户的权限*/List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();//添加用户的权限,list.add(new SimpleGrantedAuthority("ROLE_USER"));// 表示账号存在UserDetails userDetails = new User(sysUser.getUserName() // 账号,sysUser.getPasseord() // 密码,{noop}表示不加密,true //表示当前账号可用,false //表示当前账号是否过期,false=过期,true //表示凭证是否过期,true=未过期,true //用户是否被锁定,true=未被锁定,list);return userDetails;}//用户不存在return null;}public static void main(String[] args) {//BCryptPasswordEncoder是Spring Security 提供的密码加密方式BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();String password = "admin";System.out.println(encoder.encode(password));}
}
4、GrantedAuthority
我们在Authentication中看到不光关联了Principal还提供了一个getAuthorities()方法来获取
对应的GrantedAuthority对象数组。和权限相关,后面在权限模块详细讲解
GrantedAuthority定义如下:
public interface GrantedAuthority extends Serializable {//获取权限信息String getAuthority();}5、总结
上面介绍到的核心对象总结
| Authentication | 特定于Spring Security的principal |
| SecurityContext | 存放了Authentication和特定于请求的安全信息 |
| SecurityContextHolder | 用于获取SecurityContext |
| UserDetails | 提供从应用程序的DAO或其他安全数据源构建Authentication对象所需的信息 |
| UserDetailsService | 接受String类型的用户名,创建并返回UserDetail |
| GrantedAuthority | 对某个principal的应用范围内的授权许可 |
相关文章:
SpringSecurity原理解析(一)
一、SpringSecurity 核心组件 在SpringSecurity中的jar包有4个,作用分别为: spring-security-coreSpringSecurity的核心jar包,认证和授权的核心代码都在这里面spring-security-config如果使用Spring Security XML名称空间进行配置或Spring S…...
在Ubuntu 20.04上安装Nginx的方法
前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站。 简介 Nginx 是世界上最流行的 Web 服务器之一,负责托管互联网上一些最大和流量最高的网站。它是一个轻量级选择,…...
基于苹果Vision Pro的AI NeRF方案:MetalSplatter
随着苹果Vision Pro的发布,混合现实(Mixed Reality, MR)技术迎来了一个新的发展阶段。为了充分利用Vision Pro的潜力,一款名为MetalSplatter的Swift/Metal库应运而生,它允许开发者在Vision Pro上以全立体的方式体验捕捉内容。本文将详细介绍MetalSplatter的特点及其如何为…...
linux系统中,计算两个文件的相对路径
realpath --relative-to/home/itheima/smartnic/smartinc/blocks/ruby/seanet_diamond/tb/parser/test_parser_top /home/itheima/smartnic/smartinc/corundum/fpga/lib/eth/lib/axis/rtl/axis_fifo.v 检验方式就是直接在当前路径下,把输出的路径复制一份࿰…...
[数据集][目标检测]抽烟检测数据集VOC+YOLO格式22559张2类别
数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):22559 标注数量(xml文件个数):22559 标注数量(txt文件个数):22559 标…...
C和指针:结构体(struct)和联合(union)
结构体和联合 结构体 结构体包含一些数据成员,每个成员可能具有不同的类型。 数组的元素长度相同,可以通过下标访问(转换为指针)。但是结构体的成员可能长度不同,所以不能用下标来访问它们。成员有自己的名字,可以通过名字访问…...
[数据集][目标检测]电动车头盔佩戴检测数据集VOC+YOLO格式4235张5类别
数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):4235 标注数量(xml文件个数):4235 标注数量(txt文件个数):4235 标注…...
软件工程知识点总结(2):需求分析(一)——用例建模
1 软件项目开发流程: 需求分析→概要设计→详细设计→编码实施→测试→产品提 交→维护 2 系统必须做什么? 获取用户需求,从用户角度考虑,用户需要系统必须完成哪些工作,也就是对目 标系统提出完整、准确、清晰、具体…...
2024 年高教社杯全国大学生数学建模竞赛C题—农作物的种植策略(讲解+代码+成品论文助攻,均已更新完毕)
2024数学建模国赛选题建议团队助攻资料-CSDN博客文章浏览阅读1k次,点赞20次,收藏24次。通过分析5个题目的特点,可知数学建模常用的模型大概可以分为五大类——https://blog.csdn.net/qq_41489047/article/details/141925859 本次国赛white学长…...
?.操作符是什么
?.操作符在不同的编程语言和上下文中可能有不同的含义和用途,但一般来说,它并不是一个广泛存在于所有编程语言中的标准操作符。不过,基于一些编程语言的特性和习惯,我们可以对?.操作符进行一些推测和解释。 1. 可选链操作符&am…...
ArcGIS出图格网小数位数设置
1、比如要去掉格网后面的小数点,如何设置呢? 2、如下图设置。...
)
数学建模_缺失值处理_拉格朗日、牛顿插值(全)
- 缺失值处理 1. 识别缺失值 在处理缺失值之前,首先需要识别数据中的缺失值。 1.1 使用 isna() 和 isnull() Pandas 提供了 isna() 和 isnull() 方法来检测缺失值,二者功能相同。 import pandas as pddf pd.DataFrame({A: [1, 2, None, 4],B: [None, 2,…...
算法题之水壶问题
水壶问题 有两个水壶,容量分别为 x 和 y 升。水的供应是无限的。确定是否有可能使用这两个壶准确得到 target 升。 你可以: 装满任意一个水壶清空任意一个水壶将水从一个水壶倒入另一个水壶,直到接水壶已满,或倒水壶已空。 示…...
Java项目: 基于SpringBoot+mysql蜗牛兼职网兼职平台管理系统(含源码+数据库+答辩PPT+毕业论文)
一、项目简介 本项目是一套基于SpringBootmysql蜗牛兼职网兼职平台管理系统 包含:项目源码、数据库脚本等,该项目附带全部源码可作为毕设使用。 项目都经过严格调试,eclipse或者idea 确保可以运行! 该系统功能完善、界面美观、操…...
, GetLength())
C#数组中的Rank,GetUpperBound(), GetLength()
Rank-数组的秩,一维数组的Rank1;二维数组的Rank2; GetUpperBound()--获取每一维的索引的上限, 比如int[4,5], 那么GetUpperBound(0) 3; GetUpperBound(1) 4 ; 所以 对于二维数组来说 GetUpperBound(0)1行数; G…...
Android应用开发项目式教程——序
文章目录 Android技术本书特点本书内容本书参考 Android技术 Android是重要的客户端技术,因其开源开放的特点,Android在其初期就迅速成长为智能手机的主流操作系统,近年来更进一步成为智能电视、智能车载终端等智能设备的主流操作系统&#…...
【Spring Boot 3】【Web】统一处理 HTTP 请求体
【Spring Boot 3】【Web】统一处理 HTTP 请求体 背景介绍开发环境开发步骤及源码工程目录结构总结背景 软件开发是一门实践性科学,对大多数人来说,学习一种新技术不是一开始就去深究其原理,而是先从做出一个可工作的DEMO入手。但在我个人学习和工作经历中,每次学习新技术总…...
uni-app开发微信小程序
uni-app 是一个使用 Vue.js 开发所有前端应用的框架,它允许开发者编写一次代码,然后发布到iOS、Android、Web(包括各种小程序平台如微信小程序、支付宝小程序、百度智能小程序等)以及各种快应用平台上。对于使用uni-app开发微信小…...
Qt开发框架--完整的软件开发框架
Qt开发框架包含一整套高度直观、模块化 的C 库类,并加载可简化应用程序开发的API。Qt 可生成高可读、易维护和可重用的代码,具有较高的运行时性能,且内存占用小。最重要的是,Qt是跨平台的。 Qt工具分为这么几个类别: …...
Python爬虫-Amazon亚马逊oData参数
前言 本文是该专栏的第37篇,后面会持续分享python爬虫干货知识,记得关注。 本文以“亚马逊Amazon”为例,主要获取亚马逊商品详情页的oData参数规律。 具体实现思路和详细逻辑,笔者将在正文结合完整代码进行详细介绍。接下来,跟着笔者直接往下看正文详细内容。(附带完整…...
UE5 学习系列(二)用户操作界面及介绍
这篇博客是 UE5 学习系列博客的第二篇,在第一篇的基础上展开这篇内容。博客参考的 B 站视频资料和第一篇的链接如下: 【Note】:如果你已经完成安装等操作,可以只执行第一篇博客中 2. 新建一个空白游戏项目 章节操作,重…...
Docker 离线安装指南
参考文章 1、确认操作系统类型及内核版本 Docker依赖于Linux内核的一些特性,不同版本的Docker对内核版本有不同要求。例如,Docker 17.06及之后的版本通常需要Linux内核3.10及以上版本,Docker17.09及更高版本对应Linux内核4.9.x及更高版本。…...
linux之kylin系统nginx的安装
一、nginx的作用 1.可做高性能的web服务器 直接处理静态资源(HTML/CSS/图片等),响应速度远超传统服务器类似apache支持高并发连接 2.反向代理服务器 隐藏后端服务器IP地址,提高安全性 3.负载均衡服务器 支持多种策略分发流量…...
五年级数学知识边界总结思考-下册
目录 一、背景二、过程1.观察物体小学五年级下册“观察物体”知识点详解:由来、作用与意义**一、知识点核心内容****二、知识点的由来:从生活实践到数学抽象****三、知识的作用:解决实际问题的工具****四、学习的意义:培养核心素养…...
涂鸦T5AI手搓语音、emoji、otto机器人从入门到实战
“🤖手搓TuyaAI语音指令 😍秒变表情包大师,让萌系Otto机器人🔥玩出智能新花样!开整!” 🤖 Otto机器人 → 直接点明主体 手搓TuyaAI语音 → 强调 自主编程/自定义 语音控制(TuyaAI…...
前端开发面试题总结-JavaScript篇(一)
文章目录 JavaScript高频问答一、作用域与闭包1.什么是闭包(Closure)?闭包有什么应用场景和潜在问题?2.解释 JavaScript 的作用域链(Scope Chain) 二、原型与继承3.原型链是什么?如何实现继承&a…...
多种风格导航菜单 HTML 实现(附源码)
下面我将为您展示 6 种不同风格的导航菜单实现,每种都包含完整 HTML、CSS 和 JavaScript 代码。 1. 简约水平导航栏 <!DOCTYPE html> <html lang"zh-CN"> <head><meta charset"UTF-8"><meta name"viewport&qu…...
2025季度云服务器排行榜
在全球云服务器市场,各厂商的排名和地位并非一成不变,而是由其独特的优势、战略布局和市场适应性共同决定的。以下是根据2025年市场趋势,对主要云服务器厂商在排行榜中占据重要位置的原因和优势进行深度分析: 一、全球“三巨头”…...
基于Java Swing的电子通讯录设计与实现:附系统托盘功能代码详解
JAVASQL电子通讯录带系统托盘 一、系统概述 本电子通讯录系统采用Java Swing开发桌面应用,结合SQLite数据库实现联系人管理功能,并集成系统托盘功能提升用户体验。系统支持联系人的增删改查、分组管理、搜索过滤等功能,同时可以最小化到系统…...
uniapp 开发ios, xcode 提交app store connect 和 testflight内测
uniapp 中配置 配置manifest 文档:manifest.json 应用配置 | uni-app官网 hbuilderx中本地打包 下载IOS最新SDK 开发环境 | uni小程序SDK hbulderx 版本号:4.66 对应的sdk版本 4.66 两者必须一致 本地打包的资源导入到SDK 导入资源 | uni小程序SDK …...