Spring Security账号密码认证源码解析

于 2024-05-07 14:36:03 发布
阅读量795 收藏 27
点赞数 11
分类专栏: 程序员 文章标签: spring java android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H1767410/article/details/138531401
版权

// 该接口有两个方法,该接口的实现类主要做认证的。

public interface AuthenticationProvider {

Authentication authenticate(Authentication var1) throws AuthenticationException;

// supports是用来检测该类型的认证信息是否可以被自己处理。可以被处理则调用自身的authenticate方法。

boolean supports(Class<?> var1);

}

(4)ProviderManager的authenticate()方法源码关键部分如下:

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

Class toTest = authentication.getClass();

Object lastException = null;

Authentication result = null;

boolean debug = logger.isDebugEnabled();

// 拿到全部的provider

Iterator e = this.getProviders().iterator();

// 遍历provider

while(e.hasNext()) {

AuthenticationProvider provider = (AuthenticationProvider)e.next();

// 挨着个的校验是否支持当前token

if(provider.supports(toTest)) {

if(debug) {

logger.debug("Authentication attempt using " + provider.getClass().getName());

}

try {

// 找到后直接break,并由当前provider来进行校验工作

result = provider.authenticate(authentication);

if(result != null) {

this.copyDetails(authentication, result);

break;

}

} catch (AccountStatusException var11) {

this.prepareException(var11, authentication);

throw var11;

} catch (InternalAuthenticationServiceException var12) {

this.prepareException(var12, authentication);

throw var12;

} catch (AuthenticationException var13) {

lastException = var13;

}

}

}

// 若没有一个支持,则尝试交给父类来执行

if(result == null && this.parent != null) {

try {

result = this.parent.authenticate(authentication);

} catch (ProviderNotFoundException var9) {

;

} catch (AuthenticationException var10) {

lastException = var10;

}

}

}

其中会遍历调用AuthenticationProvider实现类对象的supports方法,如果方法返回true,则调用AuthenticationProvider实现类对象的authenticate()方法,该方法是用来进行认证的。

如果该ProviderManager的List providers都无法处理,则会调用该ProviderManager的AuthenticationManager parent的authenticate方法,流程一样。

4.AuthenticationManager对象的authenticate方法中调用AuthenticationProvider接口实现类DaoAuthenticationProvider的authenticate方法

**(1) DaoAuthenticationProvider **

对于我们前面封装的UsernamePasswordAuthenticationToken 对象,它的认证处理可以被DaoAuthenticationProvider类进行认证。

DaoAuthenticationProvider类中其实没有定义authenticate方法,它是继承了父类AbstractUserDetailsAuthenticationProvider中的authenticate方法。

AbstractUserDetailsAuthenticationProvider的authenticate()方法源码如下:

// 实现了AuthenticationProvider接口

public abstract class AbstractUserDetailsAuthenticationProvider implements AuthenticationProvider, InitializingBean, MessageSourceAware {

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, this.messages.getMessage(“AbstractUserDetailsAuthenticationProvider.onlySupports”, “Only UsernamePasswordAuthenticationToken is supported”));

String username = authentication.getPrincipal() == null?“NONE_PROVIDED”:authentication.getName();

boolean cacheWasUsed = true;

UserDetails user = this.userCache.getUserFromCache(username);

if(user == null) {

cacheWasUsed = false;

try {

// 调用自类retrieveUser

user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

} catch (UsernameNotFoundException var6) {

this.logger.debug(“User '” + username + “’ not found”);

if(this.hideUserNotFoundExceptions) {

throw new BadCredentialsException(this.messages.getMessage(“AbstractUserDetailsAuthenticationProvider.badCredentials”, “Bad credentials”));

}

throw var6;

}

Assert.notNull(user, “retrieveUser returned null - a violation of the interface contract”);

}

try {

/*

  • 前检查由DefaultPreAuthenticationChecks类实现(主要判断当前用户是否锁定,过期,冻结

  • User接口)

*/

this.preAuthenticationChecks.check(user);

// 子类具体实现

this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);

} catch (AuthenticationException var7) {

if(!cacheWasUsed) {

throw var7;

}

cacheWasUsed = false;

user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

this.preAuthenticationChecks.check(user);

this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);

}

// 检测用户密码是否过期

this.postAuthenticationChecks.check(user);

if(!cacheWasUsed) {

this.userCache.putUserInCache(user);

}

Object principalToReturn = user;

if(this.forcePrincipalAsString) {

principalToReturn = user.getUsername();

}

return this.createSuccessAuthentication(principalToReturn, authentication, user);

}

}

(2)在该方法中,调用了自身的retrieveUser方法,该方法在DaoAuthenticationProvider中,源码如下:

在这里插入图片描述

该方法首先调用UserDetailsService接口中的loadUserByUsername方法获得数据库或者内存等地方保存的用户信息,所以可以通过实现该接口,可以自定义设置用户信息的来源。

然后将获得到的密码和请求的密码进行比对,如果相同,则方法获取到的用户信息。接着做一些安全检查之类的:

this.preAuthenticationChecks.check(user);

// 子类具体实现

this.additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken)authentication);

this.postAuthenticationChecks.check(user);

最后该方法返回

return createSuccessAuthentication(principalToReturn, authentication, user);

createSuccessAuthentication方法中调用UsernamePasswordAuthenticationToken的另一个构造器,该构造器会生成具有用户权限和验证通过标识的UsernamePasswordAuthenticationToken类的对象。

5.最后返回到UsernamePasswordAuthenticationFilter的doFilter方法中

二、流程总结

=====================================================================

(1)UsernamePasswordAuthenticationFilter的doFilter()方法

(2)UsernamePasswordAuthenticationFilter的attemptAuthentication()方法

在该方法中主要生成了未通过验证的Authentication接口的实现类UsernamePasswordAuthenticationToken 对象。

(3)AuthenticationManager实现类ProviderManager的authenticate()方法

该方法主要通过轮询判断AuthenticationProvider接口实现类DaoAuthenticationProvider能否认证UsernamePasswordAuthenticationToken 对象,

(4)AuthenticationProvider接口实现类DaoAuthenticationProvider的authenticate()方法

该方法主要调用retrieveUser()进行密码判断,对密码正确后的用户信息进行一些其他的安全判断,并最后生通过验证的Authentication接口的实现类UsernamePasswordAuthenticationToken 对象。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
…(img-AXjtRS4x-1715063752428)]

[外链图片转存中…(img-48eTdpB6-1715063752428)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

Java小猿。
关注
  • 11
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
账号密码忘了不要慌,教你用Python自动解密解码,轻松获取!
轻松学python的博客
08-21 2699
前些天突然想进一个网站,但是太久没登录,密码早就忘了,于是想到Python 的一款神器Ciphey,三下五除二就把密码找回来了! Ciphey 是一个使用自然语言处理和人工智能的全自动解密/解码/破解工具。 简单地来讲,你只需要输入加密文本,它就能给你返回解密文本。就是这么牛逼。 有了Ciphey,你根本不需要知道你的密文是哪种类型的加密,你只知道它是加密的,那么Ciphey就能在3秒甚至更短的时间内给你解密,返回你想要的大部分密文的答案。 很多小伙伴在学习Python的过程中因为没有好的系统的
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springsecurity密码校验实现代码
weixin_42602368的博客
02-07 81
: 这是一段关于Spring Security密码校验实现的代码: @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsServi...
Spring Security密码认证源码级讲解
yunqing_71的博客
09-21 356
关注我,更多精彩文章第一时间推送给你 一、前言 本文根据我的项目进行Security密码认证源码级别讲解,我们将通过localhost:9090访问来开始进行Debug说明,我已经在源码中打了很多个端点,基本能讲到Security用户名密码认证的全部流程,主要是给自己加深印象,其次分享给大家,如果讲解过程中有什么错误,也请大家不吝指正,谢谢!代码基于springboot2.2.1、security5、jdk8、mysql8.0、maven构建。 二、debug启动springboot应用 1、由于我
Spring Security 密码方式认证代码解析
qq_37795502的博客
08-12 315
Spring Security教程网上都有,可以先自行下载到本地运行。 我现在只讲讲其中用密码认证时,匹配密码是否一致的具体代码在哪里看。 首先,我们在WebSecurityConfig中先配置密码加密的方式,一般都是BCryptPasswordEncoder这种的加密方法 让我们仔细分析认证过程: 用户提交用户名、密码SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到, 封装为请求Authentication,通常情况下
Spring Security基于数据库实现认证过程解析
08-18
主要介绍了Spring Security基于数据库实现认证过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
Spring security基于数据库中账户密码认证
08-24
主要介绍了Spring security基于数据库中账户密码认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
c语言编写的破解电信、联通宽带账号密码的程序源代码
07-01
使用C语言编写的小程序,用于破解电信、联通等宽带账号的一个程序的源代码,内附有txt简要的使用说明,这个程序只能在Windows操作系统上进行的宽带密码的破解(偷获)
获取网页密码
02-23
获取网页密码
SpringSecurity认证流程详解(附源码
weixin_50205273的博客
11-22 564
盐值加密 1. 原理概述 SpringSecurity使用地是随机盐值加密 随机盐是在对密码摘要之前随机生成一个盐,并且会把这个盐的明文和摘要拼接一起保存 举个例子:密码是pwd,随机盐是abc,pwd+abc摘要后的信息是xyz,最后保存的密码就是abcxyz 随机盐 同一个密码,每次摘要后的结果都不同,但是可以根据摘要里保存的盐来校验摘要和明文密码是否匹配 在hashpw函数中, 我们可以看到以下这句 real_salt = salt.substring(off + 3, off + 25
SpringSecurity5-教程1-用户名密码登录源码分析
zhouwenjun0820的博客
03-16 959
spring security
Python密码安全分析-拒绝盗号(文末源代码)
最新发布
jackson14328的博客
06-08 513
那么盗号的原因是什么呢?原来,是用的暴力破解,首先利用BUG绕过次数限制,之后使用工具破解,注意,这里会用到常见的密码而非简单的密码,比如“QWERTYUIOP”,“123456”,“000000”等。那么,我用ChatGPT生成了一个密码安全分析,完美分析密码复杂度。这个代码可以分析出破解时间和密码强度,一切均为线下计算,不连接互联网。可以看到,现在ChatGPT还是有待改进,文章中频繁用到“接下来”,“然后”等词语,但是已经可以。接下来,看一下ChatGPT对这个代码的介绍,顺便感受一下AI的魅力!
Spring Security 用户名密码登录源码解析
jgzquanquan的博客
03-28 1128
简介 本文主要讲解SpringSecurity账号密码登录部分的源码解析,其基本流程如下图所示。用户请求首先会进入到UsernamePasswordAuthenticationFilter中,此时的Authentication是未认证的。接着通过ProviderManager找到匹配的Provider,此处找到是DaoAuthenticationProvider,接着去校验相关相关逻辑。User...
用C++的源码一键获取密码,超完整的hack教学!
weixin_33724570的博客
05-22 326
早期SMB协议在网络上传输明文口令。后来出现"LAN Manager Challenge/Response"验证机制,简称LM,它是如此简单以至很容易被破解。微软提出了WindowsNT挑战/响应验证机制,称之为NTLM。现在已经有了更新的NTLMv2以及Kerberos验证体系。Windows加密过的密码口令,我们称之为hash(中文:哈希),Windows的系统密码hash默认情况下一般由两部...
php脚本暴力破解网站密码(附php源代码)
热门推荐
qq_37910492的博客
11-30 1万+
有一种网站,没有验证码;有一种网站,你可以利用某种手段获取到登陆者的用户名(比如邮箱啦等等,用户名你是知道的),你所不知道的仅仅是登录密码,有没有什么方法可以破解呢?      我们单位有一个内网(虽是内网,但有时在家也可以登录),用户名可以搞到,密码原始是六位的数字(其实大多数人都没有修改过),而且牛叉的是,这个网站登录时,如果输入错误次数过多也不会让你输入验证码,这太好了,心中窃喜,可以用暴力...
配置springsecurity 账号密码异常
04-02
如果您遇到配置Spring Security后无法使用正确的账号密码登录的问题,可能有以下几种原因: 1. 密码加密方式不匹配:在Spring Security中,密码通常需要加密后存储在数据库中。如果您使用了不同的加密方式,那么登录时就会出现密码不匹配的问题。请确保您使用的加密方式与Spring Security中的一致。 2. 数据库中的密码格式不正确:如果您手动将密码存储在数据库中,那么请确保密码的格式与Spring Security要求的格式一致。通常来说,Spring Security要求密码格式为“{加密方式}加密后的密码”。 3. 用户名或密码输入错误:请确保您输入的用户名和密码是正确的。如果您不确定用户名或密码是否正确,可以尝试重置密码或创建一个新用户。 4. 配置文件中的用户名或密码不正确:请确保您在配置文件中正确地指定了用户名和密码。如果您使用了属性文件来存储用户名和密码,请确保属性文件的路径和名称正确。 5. 配置文件中的加密方式不正确:请确保您在配置文件中正确地指定了密码加密方式。如果您使用了不同的加密方式,那么登录时就会出现密码不匹配的问题。请确保您使用的加密方式与Spring Security中的一致。 如果您确定以上所有问题都已排除,但仍无法使用正确的账号密码登录,请尝试调试代码以查找问题的根本原因。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值