本文阅读量次

1. Spring Security¶

1.1 密码管理¶

默认使用 DelegatingPasswordEncoder 进行密码管理

spring encodepassword password

[TODO]

CsrfFilter
UsernamePasswordAuthenticationFilter
BasicAuthenticationFilter
AuthorizationFilter *
SecurityFilterChain
SecurityContext
SecurityContextHolder *
AuthenticationManager => 决定 Spring Security's Filters 如何进行 authentication；AuthenticationManager 是 interface，实现类是 ProviderManager。ProviderManager 管理了多个 AuthenticationProvider，认证操作是委托给每个 provider 进行的。所以不同的认证方式，如账号密码，OAuth2 是不同的 AuthenticationProvider
- 不同 ProviderManager 的场景是什么？
AuthenticationProvider
- DaoAuthenticationProvider 用户名密码
- JwtAuthenticationProvider
- ... *
Authentication => 认证成功后的一个基本信息封装，包括人，标识，认证类型，认证成功后人拥有的权限
UserDetails 标识人
Credentials 密码/凭证
GrantedAuthority 权限 *
HttpSessionRequestCache *
AuthenticationException
AccessDeniedException

Role-based 认证规则是以 "ROLE_" 前缀作为开头的，可以通过 GrantedAuthorityDefaults 进行自定义(需要通过 static method 进行注入)
Spring Security 的控制机制可以作用在方法上(method invocation)，也可以作用在 web 请求上，或者 websocket 的 message 上
分为 pre-invocation 决策和 post-invocation 决策
AuthorizationFilter 默认是在 Spring Security filter chain 中的最后一个