核心组件
SecurityContextHolder
spring security框架的核心是SecurityContextHolder。与安全有关的信息内容都会被存储在SecurityContextHolder里,其中包括用户的信息。默认情况SecurityContextHolder用一个ThreadLocal来存储信息。这样做的好处就是在同一个线程里面执行的方法可以随时调用SecurityContext,而不必把SecurityContext作为一个参数传递给要调用的方法。
获取当前用户的信息
我们在SecurityContextHolder里存储了当前用户和应用程序相关的信息。Spring Security用Authentication对象代表这些信息。Authentication对象不需要自己创建,Spring Security会自动将信息封装到Authentication对象里。可以通过下面的代码,在应用程序中的任何地方获取当前用户的认证信息
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
String username = ((UserDetails)principal).getUsername();
} else {
String username = principal.toString();
}
getContext()方法返回一个SecurityContext的对象,SecurityContextHolder就是把SecurityContext保存在ThreadLocal里的。Spring Security大部分认证方法都会返回一个UserDetails对象作为用户信息。
UserDetails
UserDetails是spring security框架中的重要接口,UserDetails代表一个当前用户。在应用程序自己的用户信息和Spring Security需要的用户信息之间,需要UserDetails来转换。我们经常需要将从SecurityContext中获取的用户信息转换成程序所需要的用户信息,以便可以调用业务方法如getEmail() getAddress()等应用程序用户所特有的方法。
GrantedAuthority
通过字面可以看出是和授权有关的类。Authentication.getAuthorities()是授权的重要方法,它返回一组Authority对象。一个GrantedAuthority代表一种权限同时被赋给一个账号,使其拥有该权限。授权通常是基于角色的。
总结
SecurityContextHolder:提供访问SecurityContext的方法。
SecurityContext:保存Authentication和可能与请求有关的安全信息。
Authentication:代表用户和程序相关信息。
GrantedAuthority:代表应用范围内的权限,通常被授予给用户。
UserDetails:代表用户的基本信息,通常用UserDetails来构建Authenitcation对象。
UserDetailsService:用来构建UserDetails。
分享到:
相关推荐
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
spring security学习笔记
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话...通过深入学习和实践,我们可以更好地掌握SpringSecurity,为我们的应用构建坚固的安全防线。
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
《Spring Security 3笔记》 在深入探讨Spring Security 3的知识点之前,我们先了解下这个框架的基本概念。Spring Security是Spring生态系统中的一个组件,它为Java应用提供了全面的安全服务,包括认证、授权以及Web...
### Spring Security自定义UserDetailsService详解 #### 一、引言 Spring Security作为Java开发中用于构建安全应用程序的强大框架,提供了丰富的特性和灵活的定制能力。其中,`UserDetailsService`是核心组件之一...
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Web应用和企业级应用提供了全面的...通过学习这些文档,开发者可以更好地理解Spring Security的工作原理,从而更有效地实现应用的安全控制。
Spring Security 是一个强大的且高度可定制的框架,用于为Java应用程序提供身份验证和授权服务。它主要用于保护基于Spring的...通过学习本笔记,你可以逐步掌握Spring Security的基础知识,并将其运用到实际项目中。
这份"Spring学习笔记+学习源码.zip"资源包含了深入学习Spring及其相关技术的知识点,以及实践代码,对提升Spring技能将大有裨益。 首先,我们来详细讨论Spring框架的主要组件和功能: 1. **依赖注入(Dependency ...
这篇教程的学习笔记将带你深入理解其核心概念和工作原理。首先,我们来概述 Spring Security 的基本架构和主要组件。 **1. ** **Spring Security 架构** Spring Security 的架构基于过滤器链,它拦截并处理应用...
spring security方面的学习资料,包含:Spring+Security+3+与+CAS单点登录配置;Spring+Security3中文教程;Spring-Security安全权限管理手册;Spring+Security文库;还有一个学习笔记!
在"SpringSecurity笔记2-SpringSecurity命名空间"的学习中,还会涉及到如何自定义过滤器链,以及如何通过`<custom-filter>`元素插入自定义的SpringSecurity过滤器。同时,理解`<access-denied-handler>`和`...
在这个名为"狂神Spring Security静态资源"的资料中,我们可以期待学习到关于如何保护Web应用中的静态资源不被未经授权的用户访问。 首先,了解Spring Security的基本概念是必要的。它主要由四个组件构成:...
Spring Security 是一个强大的Java安全框架,用于...总的来说,Spring Security 3的学习笔记和源码分析对提升安全开发技能大有裨益,不仅可以加深理论理解,还能在实际项目中灵活运用,构建更加健壮、安全的应用系统。
马士兵老师是知名的Java教育专家,他的Spring框架学习笔记深入浅出,对于初学者和进阶者来说都是一份宝贵的资源。这份笔记涵盖了Spring的核心概念、配置、AOP(面向切面编程)、DI(依赖注入)等关键知识点。 1. **...
在本学习笔记中,我们将深入探讨Spring Security的核心概念和配置,以及如何设计数据库表来支持权限管理。 首先,Spring Security的配置始于Web应用的入口点——`web.xml`文件。在这里,我们需要定义一个名为`...
通过学习其中的代码、笔记和文档,你将理解Spring Security如何与Spring框架协同工作,如何设置认证和授权,以及如何保护你的应用程序免受常见安全威胁。这是一个很好的起点,可以帮助你在Java安全领域打下坚实的...
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...