安全框架SpringSecurity

1.登陆校验流程:

登录只有认证,没有鉴权

前端传过来用户名和密码,服务器去数据库中进行校验,正确的话根据用户名id和盐生成一个JWT ,然后把token返回给前端前端 在每次请求中都在请求头携带token服务器进行token解析 出用户id然后去数据库中查找是否有这个id ,这个id是否有权限,才会允许访问相关资源。

2.认证流程详解:

注意这里的接口,以后会实现接口和重写类

  1. 提交用户名和密码
  2. 封装Authentication对象用来装用户名和密码(无认证和权限)
  3. 调用ProviderManager的authenticate方法进行认证
  4. 调用DaoAuthentication的authenticate进行认证
  5. 调用 loadUserByUsername方法 根据用户名查询用户(会继承 UserDetailsService接口 然后重写loadUserByUsername在数据库中查找Username)。
  6. 通过用户名在数据库中查到一个对象,放入UserDetails对象(数据库查出来的)中
  7. 比较Userdetails对象的密码和Authentication对象的密码是否一样
  8. 如果一样就把Userdetails的权限信息设置到Authentication对象中
  9. 返回Authentication对象
  10. 使用getContext.setAuthentication来存储认证(Authentication对象)

3.关于token解释:

使用createJWT(用户id);来生成token

使用parseJWT(token);来解析token得出用户id

JWT是盐+用户id生成的token

存储redis的策略:
  1. 将token当作key,登录对象存放到redis
  2. 将userid当key,登陆对象当作value,这样每次请求都需要解析
为什么要使用token?

当用户成功登录系统时,服务器会生成一个唯一的 Token 并将其返回给客户端。客户端可以在之后的请求中将该 Token 作为凭证,服务器通过检查 Token 来确认用户的身份。如果不使用token,使用用户id当作登陆凭证,别人很容易模仿 ,所以才使用token,模仿不了token

相关推荐
@insist1235 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
IT小白杨5 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器
humors2216 小时前
【分享】火绒恶意网址自定义规则,根据互联网应急中心部分威胁预警恶意代码制作
网络·安全·规则·火绒安全·恶意网址·应急中心
工程管理笔记7 小时前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
爱折腾的小黑牛10 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全
humors22112 小时前
【转帖】安全企业发布iOS漏洞攻击风险检测工具
安全·ios·手机·苹果
糖果店的幽灵12 小时前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
Joker时代13 小时前
重塑Web3安全防线:Vkey验证器正式登陆安卓与iOS平台,开启数字资产防护新纪元
安全·web3
科技发布13 小时前
有没有安全正规的广告交易平台?推荐传播易APP
安全
JL1514 小时前
Agent工程-为什么Agent必须有观测和Tracing
服务器·网络·人工智能·安全