8.2SpringSecurity学习总结

今天药忘吃喽~ 2024-04-06 09:35 63阅读 0赞

## SpringSecurity的总结 ##

> `SprngSecurity就是一系列的过滤器封装，在对servlet进行请求前进行数据过滤，完成用户的认证授权操作，针对不同的路由可以使用不同的过滤器链进行过滤`。具体原理图如下：

`springSecurity的位置，在过滤器中，通过代理了一个过滤器进行扩展`  
![在这里插入图片描述][2ac8ed53410c4d049b69a31d1bff00c7.png]  
`过滤器内部的结果`  
![在这里插入图片描述][9010ddade80e4631b69611b08c469001.png]

## Security过滤器排序 ##

以下是 Spring Security Filter 排序的完整列表：

*  ForceEagerSessionCreationFilter
 *  通道处理过滤器
 *  WebAsyncManagerIntegrationFilter
 *  SecurityContextPersistenceFilter
 *  HeaderWriterFilter
 *  过滤器
 *  `CsrfFilter`
 *  注销过滤器
 *  OAuth2AuthorizationRequestRedirectFilter
 *  Saml2WebSsoAuthenticationRequestFilter
 *  X509AuthenticationFilter
 *  AbstractPreAuthenticatedProcessingFilter
 *  CasAuthenticationFilter
 *  OAuth2LoginAuthenticationFilter
 *  Saml2WebSsoAuthenticationFilter
 *  `UsernamePasswordAuthenticationFilter`
 *  OpenIDAuthenticationFilter
 *  DefaultLoginPageGeneratingFilter
 *  DefaultLogoutPageGeneratingFilter
 *  并发会话过滤器
 *  DigestAuthenticationFilter
 *  BearerTokenAuthenticationFilter
 *  BasicAuthenticationFilter
 *  RequestCacheAwareFilter
 *  SecurityContextHolderAwareRequestFilter
 *  JaasApiIntegrationFilter
 *  `RememberMeAuthenticationFilter`
 *  匿名身份验证过滤器
 *  OAuth2AuthorizationCodeGrantFilter
 *  会话管理过滤器
 *  `ExceptionTranslationFilter`
 *  `FilterSecurityInterceptor`
 *  切换用户过滤器

## Security提供的接口 ##

### UserDetailService接口 ###

> 自定义用户名密码查询过程，返回Security自定义的User对象

### PasswordEncoder接口 ###

> 对返回的User对象的密码加密

### LogoutHandler接口 ###

> 处理注销操作的接口

## Security的使用 ##

### 认证 ###

*  配置文件配置
 *  实现UserDetailService接口，自定义用户名密码

`配置文件进行配置`  
![在这里插入图片描述][24afa11a068b4a18b500e61d95da3cb8.png]  
`重写userDetailService接口，在里面可以自定义用户角色权限查询`  
![在这里插入图片描述][1caa9240e8fc4c609e7c4739744664fe.png]  
`更改配置文件，重新设置认证页面或者路径，配置需要认证的路径和不需要认证的路径`  
![在这里插入图片描述][b64e8b4eef1e4af7bec3a4f7063618ed.png]

### 授权 ###

> 授权就是在用户认证过后，对用户对应的角色或者权限，符合对应角色或者权限的路径可以访问
> 
>  *  虽然分为用户的角色和权限，但是在用户处配置方式都是一样的，甚至角色权限混在一起的，所以权限和角色没有区别，有区别的话也就是角色的字段必须加`Role_关键字`

`通过用户的权限设置来授权路径访问`  
![在这里插入图片描述][e9e9060f99fd475f98ca047b12a79dcd.png]  
![在这里插入图片描述][1266bed1aa05414d897a2caabf40bc4d.png]  
`通过设置用户的角色来授权路径访问`

![在这里插入图片描述][43781390cb3c4c1dbb584cdd4b941930.png]  
![在这里插入图片描述][2922da9072e2425bb4bd5c8048c65da4.png]  
`授权异常跳转页面配置`  
![在这里插入图片描述][b377731179f64f44a9acdaac5130ba31.png]

## 通过注解简化授权配置 ##

> 所以security的注解必须要全局开启先

![在这里插入图片描述][1499fdb662a44080949fa3f9c4e1d11f.png]

### @Secured ###

> 给@controller注解配置@Secured设置角色控制授权，`注意是针对角色进行判断校验的，不是授权，授权是使用下面的两个注解`

![在这里插入图片描述][d175ddf5456a47829a1bf9e95e4020b6.png]

### @PreAuthorize ###

> 访问连接之前判断是否有权限

![在这里插入图片描述][dfe4a91b2c204a1a8f74bba0a11a3fe4.png]

### @PostAuthorize ###

> 方法执行之后进行权限校验

![在这里插入图片描述][d2713ec648c84fb4943cdf95ecd962b1.png]

### @ PostFilter ###

> 权限验证之后对数据进行过滤

![在这里插入图片描述][aed051e8e3d84c8190719e1deadf29fc.png]

### @PreFilter ###

> 对传入的数据进行过滤

![在这里插入图片描述][f2dfe6e8cc6a4585a58dcabf07d93bc7.png]

## Securiy其他功能 ##

### Security登录注销 ###

`配置注销的请求路径，和跳转页面`  
![在这里插入图片描述][8dbcc96428ba46b8b872b29719e7c905.png]  
‘`自定义注销handle完成自定义注销`

### Security自动登录 ###

![在这里插入图片描述][88be954cd3884d0aada05a1db82e23d0.png]

*  security自动登录已经配置好了对应的数据库操作，也就是tokenrepository,我们只需要给他配置上数据源即可  
    ![在这里插入图片描述][b9213580f0c44540afaf9777133c3cc9.png]
 *  在配置文件中配置自动登录的相关设置  
    ![在这里插入图片描述][6e2d4791cb764c1d847553af9baefc52.png]

### CSRF ###

> 用户登录这个网站没有退出，登录信息仍然存在，这时候用户在一个新的页面打开其他网站，其他网站伪造好了对这个网站的put操作，但是你不知道只是点击了一下，然后就可以用这个请求成功发送数据。

![在这里插入图片描述][003073fcecf84c56bada1cacb5acf43f.png]

> 解决办法：每次请求都要进行用户身份验证，这个前提是网站自身的cookie是绝对安全的，其他人无法访问。

### SpringSecurity定义多个过滤器链 ###

> 可以定义多个过滤器链完成不同路径请求的处理，适合处理登陆和后期token验证的任务  
> ![在这里插入图片描述][4bc4b744a76f4226936b561008b03411.png]

### SpringCloudSecurity可以搭建Oauth2认证服务器 ###

![在这里插入图片描述][3e59467388d840209b013a59eb7c816e.png]  
[推荐链接][Link 1]

`OAuth2.0协议包含的角色`

*  资源所有者（Resource Owner）：  
    能够授予对受保护资源的访问权限的实体。通常是用户（user），也可以是应用程序，即该资源的拥有者。
 *  认证服务器（Authorization server）：  
    又称为授权服务器，认证成功后会给客户端发放令牌()，作为客户端访问资源服务器的凭据。  
    服务器认证成功后向客户端颁发访问令牌（access\_token），作为客户端访问资源服务器的凭据，并验证资源所有者并获得授权。  
    简单点说就是登录功能，用于服务提供者对资源拥有的身份进行认证，对访问资源进行授权。
 *  资源服务器（Resource server）  
    托管受保护资源的服务器，能够接受并使用访问令牌响应受保护的资源请求。
 *  第三方应用程序（Third-party application）： - 示例中的浏览器、微信客户端  
    又称为客户端（client），本身不存储资源，需要通过资源拥有者的授权去请求资源服务器的资源。

`四种授权模式（authorization grant）：`

*  Authorization code Grant：授权码模式，推荐使用
 *  Implicit Grant：隐藏/简化模式，不推荐使用
 *  Resource Owner Password Credentials Grant：密码模式
 *  Client Credentials Grant：客户端模式

[2ac8ed53410c4d049b69a31d1bff00c7.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/0902491dcc274f5ebb5ce56e705b9581.png
[9010ddade80e4631b69611b08c469001.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/67b51955381049cebdcf5eb45d7f97c1.png
[24afa11a068b4a18b500e61d95da3cb8.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/88dfd652b7634dad88a9ff06fdd17709.png
[1caa9240e8fc4c609e7c4739744664fe.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/0ec2d9f06d824436a9a7f26e9c7c9059.png
[b64e8b4eef1e4af7bec3a4f7063618ed.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/1dabefd8ea8443e09d8d19d4a1f4026c.png
[e9e9060f99fd475f98ca047b12a79dcd.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/ec27f779747f46ad99cc1e5506d3f86d.png
[1266bed1aa05414d897a2caabf40bc4d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/21532b590ed74542b858a2eb34143651.png
[43781390cb3c4c1dbb584cdd4b941930.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/e538a73b77a346c8a985add7c9edc2ab.png
[2922da9072e2425bb4bd5c8048c65da4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/18deaf5bcc25450b9b70e3efb6dba4e9.png
[b377731179f64f44a9acdaac5130ba31.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/6a9d4511e579469b993041abaeb3035e.png
[1499fdb662a44080949fa3f9c4e1d11f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/8f7c291ed31549c49983ed0bfb859f14.png
[d175ddf5456a47829a1bf9e95e4020b6.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/9d06d40e32f44956a7bb603f4652624e.png
[dfe4a91b2c204a1a8f74bba0a11a3fe4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/94ae774fdfbb4a0898d1b004e4c3bcab.png
[d2713ec648c84fb4943cdf95ecd962b1.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/9f4ec114004843209e3a22b00c62d293.png
[aed051e8e3d84c8190719e1deadf29fc.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/862ad318b7da42a8b3f40a3175bce10a.png
[f2dfe6e8cc6a4585a58dcabf07d93bc7.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/8c7144eff0ce489590a608158b68b340.png
[8dbcc96428ba46b8b872b29719e7c905.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/d6f7e0d5acdc429d99ecaa8118b9e8be.png
[88be954cd3884d0aada05a1db82e23d0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/b938abadbd3d4642894c7d5ec60e2b15.png
[b9213580f0c44540afaf9777133c3cc9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/c1089bd269eb474cb13b27b69c652860.png
[6e2d4791cb764c1d847553af9baefc52.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/3e4936d551144f8b928286fa205ce68a.png
[003073fcecf84c56bada1cacb5acf43f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/7565c43c82b04768a835e61578269864.png
[4bc4b744a76f4226936b561008b03411.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/2e4ceacad9d74671b3fef9eb76c5ba84.png
[3e59467388d840209b013a59eb7c816e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/06/4c0613189eef4435bac61b47ad0720c6.png
[Link 1]: https://www.cnblogs.com/kuangdaoyizhimei/p/14250374.html