【Spring Security】基本原理_springsecurity原理

---

Spring Security 原理

一、权限管理中的相关概念

1、主体 英文单词：principal

使用系统的用户或设备或从其他系统远程登录的用户等等。简单说就是谁使用系 统谁就是主体。

2、认证 英文单词：authentication

权限管理系统确认一个主体的身份，允许主体进入系统。简单说就是“主体”证 明自己是谁。 笼统的认为就是以前所做的登录操作。

3、授权 英文单词：authorization

将操作系统的 “权力” “授予” “主体”，这样主体就具备了操作系统中特定功 能的能力。

• 所以简单来说，授权就是给用户分配权限。

返回顶部

---

二、Spring Security 基本原理

SpringSecurity 本质是一个过滤器链： 启动时可以获取到过滤器链。

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFil ter org.springframework.security.web.context.SecurityContextPersistenceFilter org.springframework.security.web.header.HeaderWriterFilter org.springframework.security.web.csrf.CsrfFilter org.springframework.security.web.authentication.logout.LogoutFilter org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter org.springframework.security.web.savedrequest.RequestCacheAwareFilter org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter org.springframework.security.web.authentication.AnonymousAuthenticationFilter org.springframework.security.web.session.SessionManagementFilter org.springframework.security.web.access.ExceptionTranslationFilter org.springframework.security.web.access.intercept.FilterSecurityInterceptor

返回顶部

---

1.FilterSecurityInterceptor

• FilterSecurityInterceptor：是一个方法级的权限过滤器, 基本位于过滤链的最底部。

• 

• super.beforeInvocation(fi) 表示查看之前的 filter 是否通过。

• fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务。

FilterSecurityInterceptor过滤器首先看之前的过滤器是否放行，若放行，执行当前的过滤器~

---

2.ExceptionTranslationFilter

• ExceptionTranslationFilter：是个异常过滤器，用来处理在认证授权过程中抛出的异常
• 

返回顶部

---

3.UsernamePasswordAuthenticationFilter

• UsernamePasswordAuthenticationFilter ：对/login 的 POST 请求做拦截，校验表单中用户名、密码。
• 

返回顶部

---

三、UserDetailsService 接口讲解

当什么也没有配置的时候，账号和密码是由 Spring Security 定义生成的。而在实际项目中 账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。 如果需要自定义逻辑时，只需要实现 UserDetailsService 接口即可。

接口定义如下：

**返回值 UserDetails对象， 这个类是系统默认的用户“主体”: **

// 表示获取登录用户所有权限 
Collection getAuthorities();

// 表示获取密码 
String getPassword(); 

// 表示获取用户名 
String getUsername(); 

// 表示判断账户是否过期 
boolean isAccountNonExpired(); 

// 表示判断账户是否被锁定 
boolean isAccountNonLocked(); 

// 表示凭证{密码}是否过期 
boolean isCredentialsNonExpired(); 

// 表示当前用户是否可用 
boolean isEnabled();  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

以下是 UserDetails 实现类 User：

以后我们只需要使用 User 这个实体类即可！！！

整体感知：

返回顶部

---

四、PasswordEncoder 接口讲解

// 表示把参数按照特定的解析规则进行解析
String encode(CharSequence rawPassword);

/* 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹
配，则返回 true；如果不匹配，则返回 false。第一个参数表示需要被解析的密码。第二个
参数表示存储的密码。*/
boolean matches(CharSequence rawPassword, String encodedPassword);

/* 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回 true，否则返回
false。默认返回 false。*/
default boolean upgradeEncoding(String encodedPassword) {
	return false;
}
1
2
3
4
5
6
7
8
9
10
11
12
13

BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器，平时多使用这个解析 器。

BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单 向加密。可以通过 strength 控制加密强度，默认 10.

---

测试：

public class PWDEncoderTest {

    public static void test01() {
        // 创建密码解析器
        BCryptPasswordEncoder bCryptPasswordEncoder = new
                BCryptPasswordEncoder();
        // 对密码进行加密
        String number = bCryptPasswordEncoder.encode("123456");
        // 打印加密之后的数据
        System.out.println("加密之后数据：\t" + number);
        //判断原字符加密后和加密之前是否匹配
        boolean result1 = bCryptPasswordEncoder.matches("1234", number);
        boolean result2 = bCryptPasswordEncoder.matches("123456", number);
        // 打印比较结果
        System.out.println("比较结果：\t" + result1 + "\t" + result2);
    }

    public static void main(String[] args) {
        test01();
    }

}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

整体感知：

返回顶部

---

总结

参考：https://www.bilibili.com/video/BV15a411A7kP?p=4

---