如果您熟悉AOP,您會發現有不同類型的建議可用:之前,之后,拋異常和包圍。 包圍建議非常有用,因為建議 可以選擇是否繼續進行方法調用,是否修改響應,以及是否拋出異常。 Spring Security為方法調用和Web請求提供了包圍的建議。 我們使用Spring的標準AOP支持實現方法調用的包圍建議,并使用標準Filter實現Web請求的包圍建議。
對于那些不熟悉AOP的人來說,要理解的關鍵是Spring Security可以幫助您保護方法調用以及Web請求。 大多數人都對在服務層上保護方法調用感興趣。 這是因為服務層是大多數業務邏輯駐留在當前一代Java EE應用程序中的地方。 如果您只需要在服務層中保護方法調用,那么Spring的標準AOP就足夠了。 如果您需要直接保護域對象,您可能會發現AspectJ值得考慮。
您可以選擇使用AspectJ或Spring AOP執行方法授權,也可以選擇使用過濾器執行Web請求授權。 您可以將這些方法中的零個,一個,兩個或三個一起使用。 主流使用模式是執行一些Web請求授權,再加上服務層上的一些Spring AOP方法調用授權。
- 架構
- 9.技術概述
- 9.1 運行環境
- 9.2 核心組件
- 9.2.1 SecurityContextHolder, SecurityContext and Authentication Objects
- 9.2.2 The UserDetailsService
- 9.2.3 GrantedAuthority
- 9.2.4 總結
- 9.3 驗證
- 9.3.1 在Spring Security中驗證是什么
- 9.3.2 直接設置SecurityContextHolder內容
- 9.4 web應用中的驗證
- 9.4.1 ExceptionTranslationFilter
- 9.4.2 AuthenticationEntryPoint
- 9.4.3 驗證機制
- 9.4.4 在請求之間存儲SecurityContext
- 9.5 Spring Security中的訪問控制(授權)
- 9.5.1 Security and AOP Advice
- 9.5.2 Secure Objects and the AbstractSecurityInterceptor
- 什么是配置屬性
- RunAsManager
- AfterInvocationManager
- 擴展安全對象模型
- 9.6 本地化
- 10 核心服務
- 10.1 The AuthenticationManager, ProviderManager and AuthenticationProvider
- 10.1.1 成功驗證時擦除憑據
- 10.1.2 DaoAuthenticationProvider
- 10.2 UserDetailsService實現
- 10.2.1 In-Memory Authentication
- 10.2.2 JdbcDaoImpl
- Authority Groups
- 10.3 Password Encoding
- 10.3.1 密碼發展史
- 10.3.2 DelegatingPasswordEncoder
- 密碼存儲格式
- 密碼編碼
- 密碼比對
- 入門體驗
- 排除故障
- 10.3.3 BCryptPasswordEncoder
- 10.3.4 Pbkdf2PasswordEncoder
- 10.3.5 SCryptPasswordEncoder
- 10.3.6 其他PasswordEncoders
- 10.4 Jackson的支持
- 11 測試方法安全
- 12 集成spring mvc測試
- 13 webflux支持
- 14 安全過濾器鏈
- 14.1 DelegatingFilterProxy
- 14.2 FilterChainProxy
- 14.2.1 繞過過濾鏈
- 14.3 過濾器順序
- 14.4 匹配請求和http防火墻
- 14.5 與其他基于過濾器的框架一起使用
- 14.6 Advanced Namespace Configuration
- 15. 核心的安全過濾器
- 15.1 FilterSecurityInterceptor
- 15.2 ExceptionTranslationFilter
- 15.3 SecurityContextPersistenceFilter
- 15.4 UsernamePasswordAuthenticationFilter