二、spring security基本原理

头像
文nKkCJ
    阅读 3 分钟
    1

    image.png

    1、前两个绿色的第一个:过滤器主要是用来校验用户名和密码信息,第二个检查请求头中是否有basic信息。
    2、exceptionTranslationFilter 主要是用来过滤在这个流程中,抛出的异常该进行什么处理
    3、FilterSecurityInterceptor这个用来是读取你在config(Http)中所进行的配置

    Security 可扩展的有

    鉴权失败处理器
    验证器
    登录成功处理器
    投票器
    自定义token处理过滤器
    登出成功处理器
    登录失败处理器
    自定义 UsernamePasswordAuthenticationFilter

    鉴权失败处理器

    Security 鉴权失败默认跳转登录页面,我们可以实现 AccessDeniedHandler 接口,重写 handle() 方法来自定义处理逻辑;然后参考配置类说明将处理器加入到配置当中。

    验证器

    实现 AuthenticationProvider 接口来实现自己验证逻辑。需要注意的是在这个类里面就算你抛出异常,也不会中断验证流程,而是算你验证失败,我们由流程图知道,只要有一个验证器验证成功,就算验证成功,所以你需要留意这一点。

    登录成功处理器

    在 Security 中验证成功默认跳转到上一次请求页面或者路径为 “/” 的页面,我们同样可以自定义:继承 SimpleUrlAuthenticationSuccessHandler 这个类或者实现 AuthenticationSuccessHandler 接口。我这里建议采用继承的方式,SimpleUrlAuthenticationSuccessHandler 是默认的处理器,采用继承可以契合里氏替换原则,提高代码的复用性和避免不必要的错误。

    投票器

    投票器可继承 WebExpressionVoter 或者实现 AccessDecisionVoter接口;WebExpressionVoter 是 Security 默认的投票器;我这里同样建议采用继承的方式;添加到配置的方式参考 上文;

    注意:投票器 vote 方法返回一个int值;-1代表反对,0代表弃权,1代表赞成;投票管理器收集投票结果,如果最终结果大于等于0则放行该请求。

    自定义token处理过滤器

    自定义 token 处理器继承自 OncePerRequestFilter 或者 GenericFilterBean 或者 Filter 都可以,在这个处理器里面需要完成的逻辑是:获取请求里的 token,验证 token 是否合法然后填充 SecurityContextHolder ,虽然说过滤器只要添加在投票器之前就可以,但我这里还是建议添加在 http.addFilterAfter(new MyFittler(), LogoutFilter.class);

    登出成功处理器

    实现LogoutSuccessHandler接口,添加到配置的方式参考上文。

    登录失败处理器

    登录失败默认跳转到登录页,我们同样可以自定义。继承 SimpleUrlAuthenticationFailureHandler 或者实现 AuthenticationFailureHandler,建议采用继承。

    自定义UsernamePasswordAuthenticationFilter

    我们自定义UsernamePasswordAuthenticationFilter可以极大提高我们 Security的灵活性(比如添加验证验证码是否正确的功能)。

    我们直接继承 UsernamePasswordAuthenticationFilter ,然后在配置类中初始化这个过滤器,给这个过滤器添加登录失败处理器,登录成功处理器,登录管理器,登录请求 url 。

    这里配置略微复杂,贴一下代码清单

    初始化过滤器:

    
MyUsernamePasswordAuthenticationFilte getAuthenticationFilter(){    
    MyUsernamePasswordAuthenticationFilter myUsernamePasswordAuthenticationFilter = new MyUsernamePasswordAuthenticationFilter(redisService);    
    myUsernamePasswordAuthenticationFilter.setAuthenticationFailureHandler(new MyUrlAuthenticationFailureHandler());    
    myUsernamePasswordAuthenticationFilter.setAuthenticationSuccessHandler(new MyAuthenticationSuccessHandler());    
    myUsernamePasswordAuthenticationFilter.setFilterProcessesUrl("/sign_in");    
    myUsernamePasswordAuthenticationFilter.setAuthenticationManager(getAuthenticationManager());    
    return myUsernamePasswordAuthenticationFilter;    
}

    添加到配置:

    http.addFilterAt(getAuthenticationFilter(),UsernamePasswordAuthenticationFilter.class);
    springbootspringsecurityspring
    文nKkCJ
    1 声望1 粉丝
    « 上一篇
    一、security之环境要求和数据库配置说明
    下一篇 »
    三、登录验证:使用security自带login界面登录

    引用和评论

    推荐阅读
    头像
    三、springBoot对接rabbitMq

    文nKkCJ阅读 2.9k评论 2

    头像
    MyBatis-Plus结合Spring Boot实现数据权限

    Pursuer丶3阅读 9.2k

    头像
    70k star,取代Postman!这款轻量级API工具,太香了!

    macrozheng2阅读 704

    头像
    Spring Integration 轻松实现服务间消息传递,真香!

    码猿技术专栏1阅读 717

    头像
    Nginx转发WebSocket到Spring Cloud Gateway并路由到Spring Boot服务

    Pursuer丶阅读 3.5k评论 2

    头像
    Spring Cloud中MyBatis-Plus动态数据源刷新问题

    Pursuer丶阅读 3.1k

    头像
    Spring AI与DeepSeek实战一:快速打造智能对话应用

    zlt20001阅读 882

    0 条评论
    得票最新