Java最新Spring Security账号密码认证源码解析,关于电商秒杀系统中防超卖处理方案简述

于 2024-05-11 15:36:09 发布
阅读量717 收藏 18
点赞数 27
分类专栏: 程序员 文章标签: java 面试 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83977385/article/details/138718071
版权

最后

光给面试题不给答案不是我的风格。这里面的面试题也只是凤毛麟角,还有答案的话会极大的增加文章的篇幅,减少文章的可读性

Java面试宝典2021版

最常见Java面试题解析(2021最新版)

2021企业Java面试题精选

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

// 判断当前过滤器能否处理该请求,如果不能,则交给下一个filter去处理

if (!requiresAuthentication(request, response)) {

chain.doFilter(request, response);

return;

}

try {

// 调用子类中的方法,创建Authentication实现类

Authentication authenticationResult = attemptAuthentication(request, response);

if (authenticationResult == null) {

// return immediately as subclass has indicated that it hasn’t completed

return;

}

// 如果成功则做些session相关操作,例如将信息保存到session

this.sessionStrategy.onAuthentication(authenticationResult, request, response);

// Authentication success

if (this.continueChainBeforeSuccessfulAuthentication) {

chain.doFilter(request, response);

}

successfulAuthentication(request, response, chain, authenticationResult);

}

catch (InternalAuthenticationServiceException failed) {

this.logger.error(“An internal error occurred while trying to authenticate the user.”, failed);

unsuccessfulAuthentication(request, response, failed);

}

catch (AuthenticationException ex) {

// Authentication failed

unsuccessfulAuthentication(request, response, ex);

}

}

2.doFilter方法中调用了自身的attemptAuthentication()方法

在这里插入图片描述

3.attemptAuthentication()方法中调用了AuthenticationManager接口实现类ProviderManager的authenticate方法。

(1)在attemptAuthentication()方法中,只是将账号密码和一些请求信息封装在了一个类中,但并没有对权限,密码是否正确等进行认证,该方法就是用来进行认证管理的。

(2)AuthenticationManager是一个接口,该接口中只有一个authenticate方法。

public interface AuthenticationManager {

Authentication authenticate(Authentication var1) throws AuthenticationException;

}

(3)该接口的主要实现类为ProviderManager,调用的就是该类的authenticate方法。该类有二个用于认证的成员变量:

private List providers;

private AuthenticationManager parent;

AuthenticationProvider是一个接口,是用来提供认证服务的,ProviderManager只是用来管理认证服务的。

// 该接口有两个方法,该接口的实现类主要做认证的。

public interface AuthenticationProvider {

Authentication authenticate(Authentication var1) throws AuthenticationException;

// supports是用来检测该类型的认证信息是否可以被自己处理。可以被处理则调用自身的authenticate方法。

boolean supports(Class<?> var1);

}

(4)ProviderManager的authenticate()方法源码关键部分如下:

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

Class toTest = authentication.getClass();

Object lastException = null;

Authentication result = null;

boolean debug = logger.isDebugEnabled();

// 拿到全部的provider

Iterator e = this.getProviders().iterator();

// 遍历provider

while(e.hasNext()) {

AuthenticationProvider provider = (AuthenticationProvider)e.next();

// 挨着个的校验是否支持当前token

if(provider.supports(toTest)) {

if(debug) {

logger.debug("Authentication attempt using " + provider.getClass().getName());

}

try {

// 找到后直接break,并由当前provider来进行校验工作

result = provider.authenticate(authentication);

if(result != null) {

this.copyDetails(authentication, result);

break;

}

} catch (AccountStatusException var11) {

this.prepareException(var11, authentication);

throw var11;

} catch (InternalAuthenticationServiceException var12) {

this.prepareException(var12, authentication);

throw var12;

} catch (AuthenticationException var13) {

lastException = var13;

}

}

}

// 若没有一个支持,则尝试交给父类来执行

if(result == null && this.parent != null) {

try {

result = this.parent.authenticate(authentication);

} catch (ProviderNotFoundException var9) {

;

} catch (AuthenticationException var10) {

lastException = var10;

}

}

}

其中会遍历调用AuthenticationProvider实现类对象的supports方法,如果方法返回true,则调用AuthenticationProvider实现类对象的authenticate()方法,该方法是用来进行认证的。

如果该ProviderManager的List providers都无法处理,则会调用该ProviderManager的AuthenticationManager parent的authenticate方法,流程一样。

4.AuthenticationManager对象的authenticate方法中调用AuthenticationProvider接口实现类DaoAuthenticationProvider的authenticate方法

**(1) DaoAuthenticationProvider **

对于我们前面封装的UsernamePasswordAuthenticationToken 对象,它的认证处理可以被DaoAuthenticationProvider类进行认证。

DaoAuthenticationProvider类中其实没有定义authenticate方法,它是继承了父类AbstractUserDetailsAuthenticationProvider中的authenticate方法。

AbstractUserDetailsAuthenticationProvider的authenticate()方法源码如下:

// 实现了AuthenticationProvider接口

public abstract class AbstractUserDetailsAuthenticationProvider implements AuthenticationProvider, InitializingBean, MessageSourceAware {

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, this.messages.getMessage(“AbstractUserDetailsAuthenticationProvider.onlySupports”, “Only UsernamePasswordAuthenticationToken is supported”));

String username = authentication.getPrincipal() == null?“NONE_PROVIDED”:authentication.getName();

boolean cacheWasUsed = true;

UserDetails user = this.userCache.getUserFromCache(username);

if(user == null) {

cacheWasUsed = false;

try {

// 调用自类retrieveUser

user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

} catch (UsernameNotFoundException var6) {

this.logger.debug(“User '” + username + “’ not found”);

最后

由于细节内容实在太多了,为了不影响文章的观赏性,只截出了一部分知识点大致的介绍一下,每个小节点里面都有更细化的内容!

小编准备了一份Java进阶学习路线图(Xmind)以及来年金三银四必备的一份《Java面试必备指南》

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

1715412947095)]

小编准备了一份Java进阶学习路线图(Xmind)以及来年金三银四必备的一份《Java面试必备指南》

[外链图片转存中…(img-ESJco9q9-1715412947096)]

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

需要这份系统化的资料的朋友,可以点击这里获取

2401_83977385
关注
  • 27
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
账号密码忘了不要慌,教你用Python自动解密解码,轻松获取!
轻松学python的博客
08-21 2698
前些天突然想进一个网站,但是太久没登录,密码早就忘了,于是想到Python 的一款神器Ciphey,三下五除二就把密码找回来了! Ciphey 是一个使用自然语言处理和人工智能的全自动解密/解码/破解工具。 简单地来讲,你只需要输入加密文本,它就能给你返回解密文本。就是这么牛逼。 有了Ciphey,你根本不需要知道你的密文是哪种类型的加密,你只知道它是加密的,那么Ciphey就能在3秒甚至更短的时间内给你解密,返回你想要的大部分密文的答案。 很多小伙伴在学习Python的过程中因为没有好的系统的
Java项目开源源码电商商城系统)
04-17
Smart Shop商城是基于springcloud的商城系统。百万真实用户沉淀并检验的商城。本商城是前后端分离商城、微服务架构商城、轻量级的商城。商城支持集群部署。 B2C商城 小程序商城 H5商城 APP商城 Java商城 积分商城 ...
Spring Security账号密码认证源码解析
qq_51114283的博客
07-23 920
一、流程源码分析 1.首先调用了UsernamePasswordAuthenticationFilter的doFilter()方法。 前端请求时,请求信息首先到达UsernamePasswordAuthenticationFilter,该类的继承关系如下。 UsernamePasswordAuthenticationFilter是一个过滤器,所以首先执行doFilter()方法,该方法在它的父类AbstractAuthenticationProcessingFilter 中,方法源码如下: private
springsecurity密码校验实现代码
weixin_42602368的博客
02-07 81
: 这是一段关于Spring Security密码校验实现的代码: @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsServi...
Spring Security密码认证源码级讲解
yunqing_71的博客
09-21 356
关注我,更多精彩文章第一时间推送给你 一、前言 本文根据我的项目进行Security密码认证源码级别讲解,我们将通过localhost:9090访问来开始进行Debug说明,我已经在源码中打了很多个端点,基本能讲到Security用户名密码认证的全部流程,主要是给自己加深印象,其次分享给大家,如果讲解过程中有什么错误,也请大家不吝指正,谢谢!代码基于springboot2.2.1、security5、jdk8、mysql8.0、maven构建。 二、debug启动springboot应用 1、由于我
Spring Security 密码方式认证代码解析
qq_37795502的博客
08-12 315
Spring Security教程网上都有,可以先自行下载到本地运行。 我现在只讲讲其中用密码认证时,匹配密码是否一致的具体代码在哪里看。 首先,我们在WebSecurityConfig中先配置密码加密的方式,一般都是BCryptPasswordEncoder这种的加密方法 让我们仔细分析认证过程: 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到, 封装为请求Authentication,通常情况下
基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip
12-14
基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip基于springboot+SpringSecurity的一款权限认证系统源码+数据库.zip基于springboot...
JavaSpringSecurity密码错误5次锁定用户的实现方法
08-31
主要介绍了JavaSpringSecurity密码错误5次锁定用户的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Java课程实验 Spring Security 实现用户认证和授权管理
07-07
要在Spring Boot中实现用户认证和授权管理,你可以使用Spring Security框架。Spring Security提供了一套强大的功能来处理用户身份验证和授权,以下是一些常见的步骤: 1.添加Spring Security依赖: 在项目的 pom.xml...
Java基于springboot+SpringSecurity的一款权限认证系统(源码+数据库).zip
最新发布
01-15
开发基于Spring Boot和Spring Security的权限认证系统可以按照以下步骤进行: 1. 确定需求:明确权限认证系统的功能和特性,比如用户管理、角色管理、权限管理等。 2. 数据库设计:设计数据库表结构,包括用户表、...
c语言编写的破解电信、联通宽带账号密码的程序源代码
07-01
使用C语言编写的小程序,用于破解电信、联通等宽带账号的一个程序的源代码,内附有txt简要的使用说明,这个程序只能在Windows操作系统上进行的宽带密码的破解(偷获)
获取网页密码
02-23
获取网页密码
SpringSecurity认证流程详解(附源码
weixin_50205273的博客
11-22 564
盐值加密 1. 原理概述 SpringSecurity使用地是随机盐值加密 随机盐是在对密码摘要之前随机生成一个盐,并且会把这个盐的明文和摘要拼接一起保存 举个例子:密码是pwd,随机盐是abc,pwd+abc摘要后的信息是xyz,最后保存的密码就是abcxyz 随机盐 同一个密码,每次摘要后的结果都不同,但是可以根据摘要里保存的盐来校验摘要和明文密码是否匹配 在hashpw函数中, 我们可以看到以下这句 real_salt = salt.substring(off + 3, off + 25
SpringSecurity5-教程1-用户名密码登录源码分析
zhouwenjun0820的博客
03-16 959
spring security
Python密码安全分析-拒绝盗号(文末源代码)
jackson14328的博客
06-08 513
那么盗号的原因是什么呢?原来,是用的暴力破解,首先利用BUG绕过次数限制,之后使用工具破解,注意,这里会用到常见的密码而非简单的密码,比如“QWERTYUIOP”,“123456”,“000000”等。那么,我用ChatGPT生成了一个密码安全分析,完美分析密码复杂度。这个代码可以分析出破解时间和密码强度,一切均为线下计算,不连接互联网。可以看到,现在ChatGPT还是有待改进,文章中频繁用到“接下来”,“然后”等词语,但是已经可以。接下来,看一下ChatGPT对这个代码的介绍,顺便感受一下AI的魅力!
Spring Security 用户名密码登录源码解析
jgzquanquan的博客
03-28 1128
简介 本文主要讲解SpringSecurity账号密码登录部分的源码解析,其基本流程如下图所示。用户请求首先会进入到UsernamePasswordAuthenticationFilter中,此时的Authentication是未认证的。接着通过ProviderManager找到匹配的Provider,此处找到是DaoAuthenticationProvider,接着去校验相关相关逻辑。User...
用C++的源码一键获取密码,超完整的hack教学!
weixin_33724570的博客
05-22 325
早期SMB协议在网络上传输明文口令。后来出现"LAN Manager Challenge/Response"验证机制,简称LM,它是如此简单以至很容易被破解。微软提出了WindowsNT挑战/响应验证机制,称之为NTLM。现在已经有了更新的NTLMv2以及Kerberos验证体系。Windows加密过的密码口令,我们称之为hash(中文:哈希),Windows的系统密码hash默认情况下一般由两部...
php脚本暴力破解网站密码(附php源代码)
qq_37910492的博客
11-30 1万+
有一种网站,没有验证码;有一种网站,你可以利用某种手段获取到登陆者的用户名(比如邮箱啦等等,用户名你是知道的),你所不知道的仅仅是登录密码,有没有什么方法可以破解呢?      我们单位有一个内网(虽是内网,但有时在家也可以登录),用户名可以搞到,密码原始是六位的数字(其实大多数人都没有修改过),而且牛叉的是,这个网站登录时,如果输入错误次数过多也不会让你输入验证码,这太好了,心中窃喜,可以用暴力...
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
热门推荐
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
springsecurity源码解析
09-15
Spring Security 是一个功能强大且广泛使用的安全框架,用于保护 Java 应用程序的身份验证和授权。它提供了一套全面的安全解决方案,包括认证、授权、攻击防护等功能。 Spring Security源码是开源的,可以从官方仓库(https://github.com/spring-projects/spring-security)获取到。在源码中,主要包含以下几个关键模块: 1. 核心模块(Core):提供了基本的认证和授权功能,包括用户身份认证、访问控制等。核心模块的源码位于 `spring-security-core` 包下。 2. Web 模块(Web):提供了与 Web 应用程序集成的相关功能,如基于 URL 的授权、Web 表单登录、记住我功能等。Web 模块的源码位于 `spring-security-web` 包下。 3. 配置模块(Config):提供了基于 Java 配置和 XML 配置的方式来配置 Spring Security。配置模块的源码位于 `spring-security-config` 包下。 4. 测试模块(Test):提供了用于测试 Spring Security 的工具和辅助类。测试模块的源码位于 `spring-security-test` 包下。 在源码中,你可以深入了解 Spring Security 的内部工作原理、各个组件之间的协作关系以及具体的实现细节。可以通过跟踪调试源码,了解每个功能是如何实现的,从而更好地理解和使用 Spring Security。 请注意,Spring Security源码是非常庞大且复杂的,需要一定的时间和精力去深入研究。建议在阅读源码之前,先对 Spring Security 的基本概念和使用方法有一定的了解,这样会更有助于理解源码中的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值