- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在开发一个 java spring boot 项目,我正在尝试为使用 JWT 的用户身份验证设置 spring 安全性,我正在关注的教程(以及我在互联网上找到的许多教程和项目)会谈关于两个部分 - 身份验证和授权。
在大多数教程中有两个过滤器类,一个处理身份验证,另一个处理授权!(我发现有些只有一个扩展 OncePerRequestFilter
类的类)。
在那些有两个过滤器类的项目中,身份验证过滤器类扩展 UsernamePasswordAuthenticationFilter
类。授权类扩展 BasicAuthenticationFilter
类。
有没有一种方法我只能在我的项目中使用身份验证部分,或者我应该使用这两个类来设置 spring security 中的用户身份验证?
任何解释将不胜感激。
最佳答案
Is there a way that I can only use authentication part in my project or should I use both classes to set up user authentication in spring security?
不,没有仅身份验证部分的概念,您对 spring security 有错误的认识,spring security 就是通过使用默认配置或通过实现您的自定义配置进行配置。 (AuthenticationFilters
、AuthenticationProviders
、AuthenticationToken
等)
Spring 安全性在代理过滤器或 spring 托管 beans 方面在您的应用程序之前放置了一个WALL(HttpFireWall)。如果在身份验证和授权部分都成功,则请求可以到达您的应用程序。
它将经历
在这一步Authentication
对象将被创建。从 auth 对象你可以得到
UserDetails
或AuthenticatedPrincipal
或Principal
)AuthenticationManager
相关的任何内容)FilterSecurityInterceptor
几乎排在过滤器链的最后,它从 SecurityContext
获取 Authentication
对象并获得授权权限列表(授予角色) 并决定是否允许此请求到达所请求的资源,通过与 HttpSecurityConfiguration
中配置的允许的 AntMatchers 进行匹配来做出决定。
考虑异常 401-UnAuthorized 和 403-Forbidden。这些决定将在过滤器链的最后完成
401-UnAuthorized:未经身份验证的用户试图访问安全资源。
403-Forbidden:经过身份验证的用户试图访问受限资源。
未经身份验证的用户将被允许访问不受限制的资源,他不会收到未经授权的错误,但它由 AnonymousAuthenticationFilter
处理,它为未经身份验证的用户设置权限 ROLE_ANONYMOUS
。
注意事项
下面给出过滤器顺序。在哪里,
身份验证是@order-4
授权为@Order-9(Last)
只是给出一些关于 spring 安全过滤器的概念From Doc
Spring Security has several areas where patterns you have defined are tested against incoming requests in order to decide how the request should be handled. This occurs when theFilterChainProxy
decides which filter chain a request should be passed through and also when theFilterSecurityInterceptor
decides which security constraints apply to a request. It's important to understand what the mechanism is and what URL value is used when testing against the patterns that you define.
Filter Ordering
The order that filters are defined in the chain is very important. Irrespective of which filters you are actually using, the order should be as follows:
1.ChannelProcessingFilter
, because it might need to redirect to a different protocol
2.SecurityContextPersistenceFilter
, so a SecurityContext can be set up in the SecurityContextHolder at the beginning of a web request, and any changes to the SecurityContext can be copied to theHttpSession
when the web request ends (ready for use with the next web request)
3.ConcurrentSessionFilter
, because it uses theSecurityContextHolder
functionality but needs to update theSessionRegistry
to reflect ongoing requests from the principal
4. Authentication processing mechanisms -UsernamePasswordAuthenticationFilter
, CasAuthenticationFilter, BasicAuthenticationFilter etc - so that the SecurityContextHolder can be modified to contain a valid Authentication request token
5. TheSecurityContextHolderAwareRequestFilter
, if you are using it to install a Spring Security awareHttpServletRequestWrapper
into your servlet container
6.RememberMeAuthenticationFilter
, so that if no earlier authentication processing mechanism updated theSecurityContextHolder
, and the request presents a cookie that enables remember-me services to take place, a suitable remembered Authentication object will be put there
7.AnonymousAuthenticationFilter
, so that if no earlier authentication processing mechanism updated theSecurityContextHolder
, an anonymous Authentication object will be put there
8.ExceptionTranslationFilter
, to catch any Spring Security exceptions so that either an HTTP error response can be returned or an appropriateAuthenticationEntryPoint
can be launched
9.FilterSecurityInterceptor
, to protect web URIs and raise exceptions when access is denied
最后,如果您是 Spring Security 的新手。我的建议是尝试最多的示例并花更多时间在调试日志上并尝试理解流程。
关于java - Spring Security上下文中的身份验证和授权有什么区别?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58350894/
我们需要实现如下授权规则。 如果用户是 super 管理员,则向他提供所有客户信息。比如订单信息。如果用户是客户管理员,只提供他自己的客户信息。等等 我们计划在 DAO 层实现过滤。 创建通用设计来处
我有 https 设置的 Spring Security。 尝试以安全方式在 URL 上运行 curl GET 时,我看到了意外行为。 当 curl 第一次向服务器发送请求时,它没有授权数据(为什么?
关闭。这个问题是 opinion-based 。它目前不接受答案。 想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它。 1年前关闭。 Improve thi
我正在构建以下内容: 一个 JavaScript 单页应用程序; 一个暴露 RESTful API 的 Node.js 后端,它将存储用户数据; 用户凭据(电子邮件/密码)可以通过单页应用程序创建并存
在带有RESTful Web服务的Spring Boot应用程序中,我已将Spring Security与Spring Social和SpringSocialConfigurer一起配置。 现在,我有
我正在为真实世界组织的成员在 Rails 中构建一个基于社区的站点。我正在努力遵循 RESTful 设计的最佳实践,其中大部分或多或少是书本上的。使我的大脑在整洁的 RESTful 圈子中运转的问题是
我想启用 ABAC mode对于我在 Google 容器引擎中使用的 Kubernetes 集群。 (更具体地说,我想限制自动分配给所有 Pod 的默认服务帐户对 API 服务的访问)。但是,由于 -
奇怪的事情 - 在 git push gitosis 上不会将新用户的 key 添加到/home/git/.ssh/authorized_keys。当然-我可以手动添加 key ,但这不好:( 我能做
我很好奇您提供 的顺序是否正确和元素中的元素重要吗? 最佳答案 是的,顺序很重要。本页介绍了基本原理:http://msdn.microsoft.com/en-us/library/wce3kxhd
我阅读了如何使用 @login_required 的说明以及其他带有解析器的装饰器。但是,如果不使用显式解析器(而是使用默认解析器),如何实现类似的访问控制? 就我而言,我将 Graphite 烯与
我用 php 开发了一个审核应用程序,通过它我可以审核所有帖子和评论。我还可以选择在 Facebook 粉丝页面墙上发布帖子。但是,当我尝试这样做时,会引发异常,显示“用户尚未授权应用程序执行此操作”
我使用 jquery-ajax 方法 POST 来发布授权 header ,但 Firebug 显示错误“401 Unauthorized” header 作为该方法的参数。 我做错了什么?我该怎么办
我有两组用户,一组正在招聘,一组正在招聘。 我想限制每个用户组对某些页面的访问,但是当我在 Controller 中使用 [Authorize] 时,它允许访问任何已登录的用户而不区分他们来自哪个组?
我有一个简单直接的授权实现。好吧,我只是认为我这样做,并且我想确保这是正确的方法。 在我的数据库中,我有如下表:users、roles、user_role、permissions、 role_perm
我的 soap 连接代码: MessageFactory msgFactory = MessageFactory.newInstance(); SOAPMessage message
我想知道是否可以将 mysql 用户设置为只对数据库中的特定表或列具有读取权限? 最佳答案 是的,您可以使用 GRANT 为数据库在细粒度级别执行此操作。见 http://dev.mysql.com/
我试图获得发布流和离线访问的授权,但出现此错误。 而且它没有显示我想要获得的权限。我的代码如下: self.fb = [[Facebook alloc] initWithAppId:@"xxxxxxx
我是 NodeJS 的初学者,我尝试使用 NodeJS + Express 制作身份验证表单。我想对我的密码进行验证(当“confirmpassword”与“password”不同时,它应该不返回任何
我能够为测试 paypal 帐户成功生成访问 token 和 TokenSecret。然而,下一步是为调用创建授权 header 。 在这种情况下,我需要提供我不确定的 Oauth 签名或 API 签
我正在尝试获取授权 steam 页面的 html 代码,但我无法登录。我的代码是 public string tryLogin(string EXP, string MOD, string TIME)
我是一名优秀的程序员,十分优秀!