标签:web Spring springframework 密码 boolean 基本原理 org Security security
文章目录
Spring Security 原理
一、权限管理中的相关概念
1、主体 英文单词:principal
使用系统的用户或设备或从其他系统远程登录的用户等等。简单说就是谁使用系 统谁就是主体。
2、认证 英文单词:authentication
权限管理系统确认一个主体的身份,允许主体进入系统。简单说就是“主体”证 明自己是谁。 笼统的认为就是以前所做的登录操作。
3、授权 英文单词:authorization
将操作系统的 “权力” “授予” “主体”,这样主体就具备了操作系统中特定功 能的能力。
-
所以简单来说,授权就是给用户分配权限。
二、Spring Security 基本原理
SpringSecurity 本质是一个过滤器链: 启动时可以获取到过滤器链。
org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFil ter org.springframework.security.web.context.SecurityContextPersistenceFilter org.springframework.security.web.header.HeaderWriterFilter org.springframework.security.web.csrf.CsrfFilter org.springframework.security.web.authentication.logout.LogoutFilter org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter org.springframework.security.web.savedrequest.RequestCacheAwareFilter org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter org.springframework.security.web.authentication.AnonymousAuthenticationFilter org.springframework.security.web.session.SessionManagementFilter org.springframework.security.web.access.ExceptionTranslationFilter org.springframework.security.web.access.intercept.FilterSecurityInterceptor
1.FilterSecurityInterceptor
-
FilterSecurityInterceptor:是一个方法级的权限过滤器, 基本位于过滤链的最底部。 -
-
super.beforeInvocation(fi) 表示查看之前的 filter 是否通过。
-
fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务。
FilterSecurityInterceptor过滤器首先看之前的过滤器是否放行,若放行,执行当前的过滤器~
2.ExceptionTranslationFilter
ExceptionTranslationFilter:是个异常过滤器,用来处理在认证授权过程中抛出的异常-
3.UsernamePasswordAuthenticationFilter
UsernamePasswordAuthenticationFilter:对/login的 POST 请求做拦截,校验表单中用户名、密码。-
三、UserDetailsService 接口讲解
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目中 账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。 如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。
接口定义如下:
**返回值 UserDetails对象, 这个类是系统默认的用户“主体”: **
// 表示获取登录用户所有权限
Collection getAuthorities();
// 表示获取密码
String getPassword();
// 表示获取用户名
String getUsername();
// 表示判断账户是否过期
boolean isAccountNonExpired();
// 表示判断账户是否被锁定
boolean isAccountNonLocked();
// 表示凭证{密码}是否过期
boolean isCredentialsNonExpired();
// 表示当前用户是否可用
boolean isEnabled();
以下是 UserDetails 实现类 User:
以后我们只需要使用 User 这个实体类即可!!!
整体感知:
四、PasswordEncoder 接口讲解
// 表示把参数按照特定的解析规则进行解析
String encode(CharSequence rawPassword);
/* 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹
配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二个
参数表示存储的密码。*/
boolean matches(CharSequence rawPassword, String encodedPassword);
/* 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回 true,否则返回
false。默认返回 false。*/
default boolean upgradeEncoding(String encodedPassword) {
return false;
}
BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析 器。
BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单 向加密。可以通过 strength 控制加密强度,默认 10.
测试:
public class PWDEncoderTest {
public static void test01() {
// 创建密码解析器
BCryptPasswordEncoder bCryptPasswordEncoder = new
BCryptPasswordEncoder();
// 对密码进行加密
String number = bCryptPasswordEncoder.encode("123456");
// 打印加密之后的数据
System.out.println("加密之后数据:\t" + number);
//判断原字符加密后和加密之前是否匹配
boolean result1 = bCryptPasswordEncoder.matches("1234", number);
boolean result2 = bCryptPasswordEncoder.matches("123456", number);
// 打印比较结果
System.out.println("比较结果:\t" + result1 + "\t" + result2);
}
public static void main(String[] args) {
test01();
}
}
整体感知:
总结
参考:https://www.bilibili.com/video/BV15a411A7kP?p=4
标签:web,Spring,springframework,密码,boolean,基本原理,org,Security,security 来源: https://blog.csdn.net/qq_45797116/article/details/119899000
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。