2021-01-12

最新推荐文章于 2021-04-29 09:31:25 发布
最新推荐文章于 2021-04-29 09:31:25 发布
阅读量314 收藏
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hack_Bug/article/details/112505695
版权

  • Spring-Security源码解读:

    1.使用ctrl+shift+n组合键查找UsernamePasswordAuthenticationFilter过滤器,该过滤器是用来处理用户认证逻辑的,进入后如图:

  •  

  • (1)可以看到它默认的登录请求url是"/login",并且只允许POST方式的请求

    (2)obtainUsername()方法点进去发现它默认是根据参数名为"username"和"password"来获取用户名和密码的

    (3)通过构造方法实例化一个UsernamePasswordAuthenticationToken对象,此时调用的是UsernamePasswordAuthenticationToken的两个参数的构造函数,如图:

  • 其中super(null)调用的是父类的构造方法,传入的是权限集合,因为目前还没有认证通过,所以不知道有什么权限信息,这里设置为null,然后将用户名和密码分别赋值给principal和credentials,同样因为此时还未进行身份认证,所以setAuthenticated(false)

    (4)setDetails(request, authRequest)是将当前的请求信息设置到UsernamePasswordAuthenticationToken中

    (5)通过调用getAuthenticationManager()来获取AuthenticationManager,通过调用它的authenticate方法来查找支持该token(UsernamePasswordAuthenticationToken)认证方式的provider,然后调用该provider的authenticate方法进行认证

    2.AuthenticationManager是用来管理AuthenticationProvider的接口,通过查找后进入,然后使用ctrl+H组合键查看它的继承关系,找到ProviderManager实现类,它实现了AuthenticationManager接口,查看它的authenticate方法,它里面有段这样的代码:

  • for (AuthenticationProvider provider : getProviders()) {
        if (!provider.supports(toTest)) {
            continue;
        }
    ...
    try {
            result = provider.authenticate(authentication);
    ...
    }
}

    通过for循环遍历AuthenticationProvider对象的集合,找到支持当前认证方式的AuthenticationProvider,找到之后调用该AuthenticationProvider的authenticate方法进行认证处理:

  • result = provider.authenticate(authentication);
    3.AuthenticationProvider接口,就是进行身份认证的接口,它里面有两个方法:authenticate认证方法和supports是否支持某种类型token的方法,通过ctrl+h查看继承关系,找到AbstractUserDetailsAuthenticationProvider抽象类,它实现了AuthenticationProvider接口,它的supports方法如下:

    public boolean supports(Class<?> authentication) {
        return (UsernamePasswordAuthenticationToken.class
            .isAssignableFrom(authentication));
        }
说明它是支持UsernamePasswordAuthenticationToken类型的AuthenticationProvider

再看它的authenticate认证方法,其中有一段这样的代码:

boolean cacheWasUsed = true;
    UserDetails user = this.userCache.getUserFromCache(username);
 
    if (user == null) {
        cacheWasUsed = false;
 
        try {
            user = retrieveUser(username,
                    (UsernamePasswordAuthenticationToken) authentication);
        }
    ...
    }
如果从缓存中没有获取到UserDetails,那么它调用retrieveUser方法来获取用户信息UserDetails,这里的retrieveUser是抽象方法,等一会我们看它的子类实现。

用户信息UserDetails是个接口,我们进入查看,它包含以下6个接口方法:

Collection<? extends GrantedAuthority> getAuthorities();//获取权限集合
String getPassword();  //获取密码
String getUsername();   //获取用户名
boolean isAccountNonExpired(); //账户未过期
boolean isAccountNonLocked();   //账户未锁定
boolean isCredentialsNonExpired(); //密码未过期
boolean isEnabled();    //账户可用
查看它的继承关系发现User类实现了该接口,并实现了该接口的所有方法

接着AbstractUserDetailsAuthenticationProvider往下看,找到下面的代码:

    preAuthenticationChecks.check(user);
    additionalAuthenticationChecks(user,
                (UsernamePasswordAuthenticationToken) authentication);
preAuthenticationChecks预检查,在最下面的内部类DefaultPreAuthenticationChecks中可以看到,它会检查上面提到的三个boolean方法,即检查账户未锁定、账户可用、账户未过期,如果上面的方法只要有一个返回false,就会抛出异常,那么认证就会失败。

additionalAuthenticationChecks是附加检查,是个抽象方法,等下看子类的具体实现。

下面还有个postAuthenticationChecks.check(user)后检查,在最下面的DefaultPostAuthenticationChecks内部类中可以看到,它会检查密码未过期,如果为false就会抛出异常

如果上面的检查都通过并且没有异常,表示认证通过,会调用下面的方法:

createSuccessAuthentication(principalToReturn, authentication, user);
跟进发现此时通过构造方法实例化对象UsernamePasswordAuthenticationToken时,调用的是三个参数的构造方法:

    public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
        Collection<? extends GrantedAuthority> authorities) {
    super(authorities);
    this.principal = principal;
    this.credentials = credentials;
    super.setAuthenticated(true); // must use super, as we override
}
此时会调用父类的构造方法设置权限信息,并调用父类的setAuthenticated(true)方法,到这里就表示认证通过了。

下面我们看看AbstractUserDetailsAuthenticationProvider的子类,同ctrl+h可查看继承关系,找到DaoAuthenticationProvider

4.DaoAuthenticationProvider类

(1)查看additionalAuthenticationChecks附加检查方法,它主要是检查用户密码的正确性,如果密码为空或者错误都会抛出异常

(2)获取用户信息UserDetails的retrieveUser方法,主要看下面这段代码:

UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
它是调用了getUserDetailsService先获取到UserDetailsService对象,通过调用UserDetailsService对象的loadUserByUsername方法获取用户信息UserDetails

找到UserDetailsService,发现它是一个接口,查看继承关系,有很多实现,都是spring-security提供的实现类,并不满足我们的需要,我们想自己制定获取用户信息的逻辑,所以我们可以实现这个接口。比如从我们的数据库中查找用户信息

5.SecurityContextPersistenceFilter过滤器

那么用户认证成功之后,又是怎么保存认证信息的呢,在下一次请求过来是如何判断该用户是否已经认证了呢?

请求进来时会经过SecurityContextPersistenceFilter过滤器,进入SecurityContextPersistenceFilter过滤器并找到以下代码:

SecurityContext contextBeforeChainExecution = repo.loadContext(holder);
从session中获取SecurityContext对象,如果没有就实例化一个SecurityContext对象

SecurityContextHolder.setContext(contextBeforeChainExecution);
将SecurityContext对象设置到SecurityContextHolder中

chain.doFilter(holder.getRequest(), holder.getResponse());
表示放行,执行下一个过滤器

执行完后面的过滤并经过servlet处理之后,响应给浏览器之前再次经过此过滤器。查看以下代码:

SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
SecurityContextHolder.clearContext();
this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
通过SecurityContextHolder获取SecurityContext对象,然后清除SecurityContext,最后将获取的SecurityContext对象放入session中

其中SecurityContextHolder是与ThreadLocal绑定的,即本线程内所有的方法都可以获得SecurityContext对象,而SecurityContext对象中包含了Authentication对象,即用户的认证信息,spring-security判断用户是否认证主要是根据SecurityContext中的Authentication对象来判断。Authentication对象的详细信息如图:

    最后整个过程的流程大致如下图:

  •  

Hack_Bug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security Filter详解
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
ffmpeg-4.3.1-2021-01-01-essentials_build.rar
04-12
在“ffmpeg-4.3.1-2021-01-01-essentials_build.rar”这个压缩包中,提供的是一套预编译的 FFmpeg 基础构建,专为简化安装和使用过程设计。 FFmpeg 的主要特点包括: 1. **多格式支持**:FFmpeg 支持众多的音频和...
全面解析Spring Security 过滤器链的机制和特性
08-18
主要介绍了Spring Security 过滤器链的机制和特性,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security详解(三)认证之核心过滤器
Jagger的博客
06-22 7105
这章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 3 核心过滤器 3.1 概述 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: - ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的...
图解Spring Security默认使用的过滤器
xyz20003的专栏
06-15 406
第 9 章 图解过滤器 图 9.1. auto-config='true'时的过滤器列表 9.1. HttpSessionContextIntegrationFilter 图 9.2. org.springframework.security.context.HttpSessionContextIntegrationF...
Spring Security详解一:过滤器
骑个小蜗牛的博客
04-29 4367
过滤器及顺序 ChannelProcessingFilter 使用https还是http的通过过滤器。通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行。 它主要有两个属性: ChannelDecisionManager:用来判断请求是否符合既定的协议规则。它维护了一个 ChannelProcessor 列表 这些ChannelProcessor 是具体用来执行 ANY_CHANNEL 策略 (任何通道都可以), REQUIRES_SECURE_CHA
APToolV7200(2021-02-01)
最新发布
12-13
APTool-UMPTooV7200 是一款专门用于量产chipsbank主控U盘的工具。这款工具的主要功能是对U盘进行量产操作,也就是通过制作U盘固件,将U盘的物理存储芯片的空间划分为分区,赋予U盘可读写和存储的功能。...
CVE-2021-21315-PoC:CVE 2021-21315 PoC
03-03
CVE-2021-21315系统信息这是的概念证明,它影响到的系统信息库(npm程序包“ systeminformation”)。 “请务必检查或清理传递给si.inetLatency(),si.inetChecksite(),si.services(),si.processLoad()的...
2021-01-11-raspios-buster-i386.iso 百度网盘
02-12
树莓派系统镜像 2021-01-11-raspios-buster-i386.iso
2021-01-04 汽车信息安全知识能力全景图2.0.pdf
08-14
汽车信息安全知识能力全景图2.0 汽车信息安全知识能力全景图2.0涵盖了汽车信息安全的方方面面,包括车内安全技术、软件安全、操作系统、隔离技术、访问控制、安全运行、安全存储、密码学、国密算法、国际算法、应用...
UNALIS-2021-01
03-12
【压缩包子文件的文件名称列表】"UNALIS-2021-01-main" 这个文件名可能是该项目的核心文件或者主目录。在IT实践中,"main"通常指的是程序的入口点或者主要组件。这可能包含源代码、数据文件、配置文件或者项目的总结...
YYT 1824-2021
04-01
【YYT 1824-2021】是中国医药行业的一项标准,全称为"EB病毒核酸检测试剂盒(荧光PCR法)",它规定了使用荧光PCR技术检测EB病毒核酸的相关要求和试验方法。这项标准适用于定性或定量检测人体全血、血清/血浆中的EB病毒...
APS-2021-01:APS-2021-01
03-29
在压缩包文件 "APS-2021-01-main" 中,"main" 通常指代主程序或主要代码库。这可能包含项目的源代码、配置文件、测试脚本等核心组成部分。为了深入理解这个问题,我们可能需要解压这个文件并查看其内容。不过,由于...
2021-node-01
03-13
在这个压缩包“2021-node-01-master”中,我们可以预期找到一系列关于Node.js的资料,可能包括: 1. **基础概念**:讲解Node.js的事件驱动、非阻塞I/O模型,以及如何利用JavaScript进行服务器编程。 2. **安装与...
gtk2-runtime-2.24.33-2021-01-30-ts-win64.exe
07-14
gtk2-runtime-2.24.33-2021-01-30-ts-win64.exe
SpringSecurity过滤器链和认证过程y源码分析
Fupengyao的博客
08-07 537
介绍 SpringSecurity核心功能:认证(身份校验,你是谁),授权(你能干什么),攻击防护(防止伪造身份) 一、原理过滤器链 REST API:相当于应用的controller,用户的增删该查的一些服务 Spring Security过滤器链:这个是最核心的部分,相当于一组Filter,请求和响应都会经过过滤器,这些过滤器在系统启动的时候,Spring boot会自动把它们都配置进...
Spring Security 实战干货:图解Spring Security的过滤器体系
码农小胖哥
07-02 3707
欢迎加入[微信圈子]程序员交流圈交流编程经验。1. 前言我在Spring Security 实战干货:内置 Filter 全解析对Spring Security的内置过滤器进行罗列...
spring security学习- 图解过滤器
u013269938的专栏
05-07 742
图解过滤器 图 11.1. auto-config='true'时的过滤器列表 11.1. HttpSessionContextIntegrationFilter 图 11.2. org.springframework.security.context.HttpSessionContextIntegrationFilte
spring security过滤器
qujiahuiqu的博客
03-11 288
spring security过滤器一、spring security过滤器的简单介绍二、配置spring security过滤器1.在pom.xml文件中输入以下代码下载spring security的架包2.在web.xml文件中配置spring security过滤器3.在resources包下创建spring-security.xml文件三、案例1.bean层2.Dao层3.mapper4...
在spark shell中创建表,如下表所示: 用户 id 月份 小计 累积 u01 2021-01 11 11 u01 2021-02 12 23 002 2021-01 12 12 u03 2021-01 u04 2021-01
05-24
User("002", "2021-01", 12, 12), User("u03", "2021-01", null, null), User("u04", "2021-01", null, null) ).toDF() data.createOrReplaceTempView("users") ``` 4. 使用Spark SQL语句查询表: ``` spark....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值