springsecurity认证与授权流程理解
1.前言
为了更好的理解springSecurity,这里对其认证与授权的流程做一个简单总结。
2.springSecurity过滤器
具体可参考:Spring Security 实战干货:必须掌握的一些内置 Filter
以下是作的一些截图:
3.认证与授权流程图:
对于springSecurity的过滤器,我的理解是大致可以分为三类:
1.常规的过滤器,用于对http协议进行支持,如cors,xsrf,headerWrite等,它们通常需要沿着过滤链继续传递;
2.用于认证的过滤器,它们可以根据认证的结果对过滤链进行阻断,如直接返回结果给前端,或者重定向;
3.用于授权的过滤器,它以认证为前提。处于过滤链的末端,通过它之后,将会进入到servlet进行服务;
图中,分别展开了一个认证过滤器和授权过滤器,用于大体的展示相应的流程。 我们也可以在过滤器上增加我们自己的过滤器来满足相应的要求。授权流程由于较晚,因此没有再继续整理,所以结束的比较突然。