Spring Security+Spring Boot实现登录认证以及权限认证

基本概念

"Authentication(认证)"是spring security框架中最重要的功能之一,所谓认证,就是对当前访问系统的用户给予一个合法的身份标识,用户只有通过认证才可以进入系统,在物理世界里,有点类似于"拿工卡刷门禁"的场景。

具体文章🔗:Spring Security 6.x 浅谈身份认证的架构设计 - fullstackyang - SegmentFault 思否

认证架构设计

接口

  • Authentication:顶层接口,用于保存身份认证信息,主要包括三个部分:用户标识,凭证,权限信息
  • SecurityContext:顶层接口,安全上下文,内部之定义了getAuthentication和setAuthentication两个方法,用于装载对象容器
  • AuthenticationManager:定义了认证方法
  • AuthenticationProvider:认证协议的具体实现
  • SecurityContextRepository:定义了保存和加载SecurityContext对象的方法
  • SecurityContextHolderStrategy:顶层接口,定义了在当前请求的线程中,获取和设置SecurityContext对象等方法。

总结

spring security整个认证架构中的认证流程和存取校验流程,再做一个总结:

  • 认证流程:AuthenticationManager为这个系统所支持的所有认证协议,统一提供authenticate方法,比如支持用户名密码登录,也支持短信登录,第三方授权登录,不论哪种方式登录,最终都交由这个方法执行,其实现类ProviderManager则高度封装了认证过程,使得不同认证协议进入不同的认证实现类,然后都返回Authentication对象。Authentication定义了一个认证信息应该必须包含的信息,包括用户标识,凭证,权限,因此我们可以自定义AuthenticationProvider,并注册到ProviderManager中,然后再实现自定义认证Filter和Authentication。
  • 存取校验流程:在得到认证后的Authentication对象,需要解决的是如何获取Authentication对象,以判断该请求是否已经通过认证,这里就引入了一个重要的类Context,相当于装载Authentication对象容器。首先依赖SecurityContextRepository从持久化的介质(例如session)中加载出来SecurityContext对象,其次通过SecurityContextHolder内部策略类方便快速地读写SecurityContext对象,这里很容易就想到使用ThreadLocal来实现同一个请求的线程中存取操作,spring security也是这么做的,最终在得到SecurityContext后,可以通过其内部的Authentication对象判断是否已认证。
相关推荐
懒鸟一枚9 小时前
深入理解 Linux 内存、Swap 交换分区与分页机制的关系
java·linux·数据库
我命由我1234510 小时前
执行 Gradle 指令报错,无法将“grep”项识别为 cmdlet、函数、脚本文件或可运行程序的名称
android·java·java-ee·android studio·android jetpack·android-studio·android runtime
考虑考虑11 小时前
Sentinel安装
java·后端·微服务
碎碎念_49211 小时前
SpringBoot + Vue 前后端分离从 0 到 1 完整环境配置流程
vue.js·spring boot·后端
凤凰院凶涛QAQ12 小时前
《Java版数据结构 & 集合类剖析》栈与队列:“push/pop 是栈的灵魂,offer/poll 是队列的骨架——四组 API,两种人生”
java·开发语言·数据结构
掘金_答案13 小时前
上线那天,一个 ConcurrentHashMap 差点送走我的 AI 客服——3 天排查 JVM 血泪史
java·后端·架构
猿与禅13 小时前
CosId 分布式 ID 生成器完全教程:从架构原理到生产落地
java·shardingsphere·雪花算法·分布式id·高性能·cosid·号段模式
MindUp13 小时前
企业网盘权限模型解析:多层级访问控制与审计能力选型指南
java·linux·运维
NG47714 小时前
【软件设计与体系结构】-策略设计模式
java·设计模式·软件工程
程序员天天困14 小时前
优雅记录操作日志:从注解到 SpEL 的全链路实践与开源方案对比
java·后端