Spring Security 的身份验证和授权流程是如何工作的?

spring security 提供身份验证和授权机制,包括:身份验证:使用身份验证提供者检查用户凭证的有效性,如使用用户名和密码或 ldap 认证。授权:使用访问决策管理器比较用户权限和请求的 url,基于访问决策确定是否授予访问权限,例

spring security 提供身份验证授权机制,包括:身份验证:使用身份验证提供者检查用户凭证的有效性,如使用用户名和密码或 ldap 认证。授权:使用访问决策管理器比较用户权限和请求的 url,基于访问决策确定是否授予访问权限,例如 affirmativebased(任何匹配的角色即可允许访问)或 consensusbased(所有匹配的角色才能允许访问)。实战案例:rbac(基于角色的访问控制):使用 userdetailsservice 定义角色,使用 rolehierarchyvoter 建立角色层次结构,并使用 affirmativebased 访问决策管理器进行授权。

Spring Security 的身份验证和授权流程是如何工作的?

Spring Security 的身份验证和授权流程

身份验证

Spring Security 通过身份验证提供者进行身份验证,如:

  • UsernamePasswordAuthenticationProvider(使用用户名和密码身份验证)
  • UserDetailsService(使用自定义逻辑验证用户)
  • LDAPAuthenticationProvider(通过 LDAP 身份验证)
  1. 客户端向认证服务器发送认证请求,其中包含用户名和密码。
  2. 认证服务器将凭证交给相关的身份验证提供者。
  3. 身份验证提供者检查凭证的有效性并返回一个经过身份验证的 UserDetails 对象。

授权

在成功身份验证后,Spring Security 通过访问决策管理器进行授权,它包括:

  • AccessDecisionManager(确定是否授予访问权限)
  • AffirmativeBased(任何一个 Role 匹配即可允许访问)
  • ConsensusBased(所有 Role 匹配才能允许访问)

授权流程:

  1. 认证服务器检索 UserDetails 对象中的权限。
  2. 访问决策管理器比较用户权限和请求的 URL。
  3. 基于访问决策,决定是否授予访问权限。

实战案例:基于角色的访问控制

在基于角色的访问控制 (RBAC) 场景中,可以执行以下步骤来使用 Spring Security 进行授权:

  • 定义一个 UserDetailsService,该服务在给定用户名后返回具有适当角色的 UserDetails。
  • 配置 RoleHierarchyVoter 以建立角色层次结构。
  • 配置 AffirmativeBased 访问决策管理器。

配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.userDetailsService(userDetailsService());
    }

    @Override
    protected void configure(HttpSecurity http) {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ROLE_ADMIN")
                .antMatchers("/user/**").hasRole("ROLE_USER")
                .anyRequest().permitAll();
    }

}

登录后复制

UserDetailsService

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) {
        User user = userRepository.findByUsername(username);
        return new UserDetailsAdapter(user);
    }

}

登录后复制

UserDetailsAdapter

public class UserDetailsAdapter implements UserDetails {

    private final User user;

    public UserDetailsAdapter(User user) {
        this.user = user;
    }

    // ... UserDetails implementation methods ...

}

登录后复制

以上就是Spring Security 的身份验证和授权流程是如何工作的?的详细内容,更多请关注叮当号网其它相关文章!

文章来自互联网,只做分享使用。发布者:牧草,转转请注明出处:https://www.dingdanghao.com/article/363745.html

(0)
上一篇 2024-04-17 16:40
下一篇 2024-04-17 17:20

相关推荐

联系我们

在线咨询: QQ交谈

邮件:442814395@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信公众号