springsecurity登陆认证流程详解

最新推荐文章于 2024-05-15 07:51:40 发布
最新推荐文章于 2024-05-15 07:51:40 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: Spring 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C_1_1_/article/details/91347016
版权

 

目录

 

框架原理

登陆认证的详细执行流程 

首先,进入AbstractAuthenticationProcessingFilter:

之后,调用AuthenticationManager的authenticate方法进行验证

调用AuthenticationManager的authenticate方法进行验证的流程—

之后,

调用DaoAuthenticationProvider的authenticate方法进行验证的流程—

最后的认证流程在AbstractUserDetailsAuthenticationProvider类中完成,将拥有认证成功信息的authentication返回给 AbstractAuthenticationProcessingFilter做认证成功后的后续处理——将认证信息加入session中、执行下一个filter等

具体的认证流程图如下——

从登陆认证的过程中我们可以大致了解SpringSecurity的工作原理——

框架原理

springsecurity本质上使用的时Java中的Filter,通过Spring框架的特性将诸多的过滤器作为bean配置在Spring框架中,用户信息的获取通过认证管理器AuthenticationManager实现——authenticamanager调用相应的认证实现类provider去完成用户的认证功能;

详见文章:http://www.blogjava.net/youxia/archive/2008/12/07/244883.html

 

 

登陆认证的详细执行流程 

具体如下——

首先,进入AbstractAuthenticationProcessingFilter:

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
implements ApplicationEventPublisherAware, MessageSourceAware {
    
    // 过滤器doFilter方法
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        /*
         * 判断当前filter是否可以处理当前请求,若不行,则交给下一个filter去处理。
         */
        if (!requiresAuthentication(request, response)) {
            chain.doFilter(request, response);

            return;
        }

        if (logger.isDebugEnabled()) {
            logger.debug("Request is to process authentication");
        }

        Authentication authResult;

        try {
            // 很关键!!!调用了子类(UsernamePasswordAuthenticationFilter)的方法
            authResult = attemptAuthentication(request, response);
            if (authResult == null) {
                // return immediately as subclass has indicated that it hasn't completed
                // authentication
                return;
            }
            // 最终认证成功后,会处理一些与session相关的方法(比如将认证信息存到session等操作)。
            sessionStrategy.onAuthentication(authResult, request, response);
        }
        catch (InternalAuthenticationServiceException failed) {
            logger.error(
                    "An internal error occurred while trying to authenticate the user.",
                    failed);
            // 认证失败后的一些处理。
            unsuccessfulAuthentication(request, response, failed);

            return;
        }
        catch (AuthenticationException failed) {
            // Authentication failed
            unsuccessfulAuthentication(request, response, failed);

            return;
        }

        // 认证成功
        if (continueChainBeforeSuccessfulAuthentication) {
            chain.doFilter(request, response);
        }
        /*
         * 最终认证成功后的相关回调方法,主要将当前的认证信息放到SecurityContextHolder中
         * 并调用成功处理器做相应的操作。
         */
        successfulAuthentication(request, response, chain, authResult);
    }
}

AbstractAuthenticationProcessingFilter的""authResult = attemptAuthentication(request, response)""触发UsernamePasswordAuthenticationFilter——

// 继承了AbstractAuthenticationProcessingFilter
最低0.47元/天 解锁文章
C_1_1_
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文梳理SpringSecurity中的登录认证流程
heshengfu1211的博客
03-20 5063
想要在基于SpringSecuritySpringBoot项目中实现多种自定义的登录认证方式,先把一文梳理SpringSecurity中的登录认证流程中基于用户名密码模式的登录认证搞懂了再说!
SpringSecurity登录认证流程
爱敲键盘的程序源的博客
11-19 950
SpringSecurity登录认证流程
CA 认证过程及 https 实现方法_ca登录认证流程
最新发布
2401_84558914的博客
05-15 606
CA 证书作用:身份认证,实现数据的不可否认性。
Spring Security:身份验证令牌Authentication介绍与Debug分析
kaven
01-21 1万+
Spring Security中,通过Authentication来封装用户的验证信息以及用户验证实现,Authentication可以是需要验证和已验证的用户信息封装。接下来,博主介绍Authentication接口及其实现类。 Authentication Authentication接口源码(Authentication接口继承Principal接口,Principal接口表示主体的抽象概念,可用于表示任何实体): package org.springframework.security.core;
全网最详解Spring Security登录原理(带你看源代码)
OuKman的博客
02-15 6870
根据上图所示配置了所有的请求都需要身份认证,那么,此拦截器就会检测当前请求是否经过了绿色过滤器的认证,即检查标记,实际上,这一段配置可以写的非常复杂,比如可以配置某类请求只有VIP用户才允许访问等,这些配置都会被拦截器读取,拦截器会根据这些配置做判断。如果判断通过,那么访问到具体API,如果不过,根据不过的原因,会抛出不同的异常。 比如在当前配置中,配置了所有请求都需要身份认证,那么,如果当前请求没有认证,拦截器就会抛出一个用户没有经过身份认证异常。如果配置文件中配置了当前请求只有VIP用户才能访问,而..
Spring Security登录流程
dashenyyy的博客
07-02 404
首先我们先要了解到整个的安全认证体系是由一条过滤链来完成的。如下图: 下面我们来看下整个登录流程。我们采用用户名密码的登录方式: 先进入UsernamePasswordAuthenticationFilter先获取用户名和密码。然后构造一个UsernamePasswordAuthenticationToken 注意这个类,它是实现了Authentication接口,这个接口非常重要!我们可以看下图最后一行开始认证。 我们进入这个方法进入ProviderManager类...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring Security是Java世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
详解最简单易懂的Spring Security 身份认证流程讲解
08-26
"Spring Security 身份认证流程讲解" Spring Security 是一个功能强大且复杂的框架,对于 JavaEE 工程师来说是一个必备的知识点。本文将从身份认证的角度讲解 Spring Security 的原理和实现过程。 身份认证是 Web...
Spring Security整合Oauth2实现流程详解
09-07
本文将详细讲解如何整合Spring Security与OAuth2,以实现基于password模式的认证。 首先,我们需要创建一个新的Spring Boot项目,并添加必要的依赖。在`pom.xml`文件中,引入Spring SecuritySpring Web、OAuth2的...
若依框架解读(前后端分离版)—— 2.Spring Security登录流程(图画版)
hwp_ing的博客
11-26 2023
重点有关Spring Security部分。
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4815
本文重点解析了SpringSecurity在登录过程中的详细流程,以及整体总结
Spring Security 登录流程
CHENFU_ZKK的博客
09-26 1625
Spring Security 登录流程
SpringSecurity登录原理(源码级讲解)
WGH100817的博客
06-14 627
一、简单叙述 首先会进入UsernamePasswordAuthenticationFilter并且设置权限为null和是否授权为false,然后进入ProviderManager查找支持UsernamepasswordAuthenticationToken的provider并且调用provider.authenticate(authentication);再然...
spring security 登录、权限管理配置
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
Spring Security教程外篇(1)---- AuthenticationException异常详解
热门推荐
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-16 6万+
这个异常是在登录的时候出现错误时抛出的异常,比如账户锁定,证书失效等,先来看下AuthenticationException常用的的子类: UsernameNotFoundException 用户找不到 BadCredentialsException 坏的凭据 AccountStatusException 用户状态异常它包含如下子类 AccountExpiredException 账户过期
Spring boot+Security OAuth2 爬坑日记(4)自定义异常处理 上
Yuit
11-15 3万+
为了方便与前端更好的交互,服务端要提供友好统一的信息返回格式,(他好我也好 ->_-> ),Spring Security OAuth2 提供了自定义异常的入口;我们需要做的就是实现对应的接口,然后将实现的类配置到对应的入口即可。默认的信息返回格式如下: { &amp
spring security basic 认证流程
06-10
Spring Security Basic 认证流程如下: 1. 用户向服务器发送请求。 2. 服务器返回 401 Unauthorized 状态码,并携带一个 WWW-Authenticate 头部,要求客户端提供认证信息。 3. 客户端将用户名和密码进行 base64 编码,然后在 Authorization 头部中添加 Basic 前缀,发送给服务器。 4. 服务器收到客户端的认证信息后,将其解码并与用户存储在数据库或其他存储介质中的信息进行比对。 5. 如果认证信息正确,则返回 200 OK 状态码,并将用户信息存储在安全上下文中,以便后续访问请求的权限控制。 6. 如果认证信息不正确,则返回 401 Unauthorized 状态码,要求客户端重新提供认证信息。 以上是 Spring Security Basic 认证的基本流程,具体实现可以参考 Spring Security 官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值