SpringBoot集成Spring Security——【认证流程】

最新推荐文章于 2024-03-31 02:59:22 发布
最新推荐文章于 2024-03-31 02:59:22 发布
阅读量1.9k 收藏 13
点赞数 3
文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ITxiaobaibai/article/details/127830089
版权

一、认证流程

请添加图片描述

上图是 Spring Security 认证流程的一部分,下面的讲解以上图为依据。

(1) 用户发起表单登录请求后,首先进入 UsernamePasswordAuthenticationFilter
请添加图片描述
UsernamePasswordAuthenticationFilter中根据用户输入的用户名、密码构建了 UsernamePasswordAuthenticationToken,并将其交给 AuthenticationManager来进行认证处理。

AuthenticationManager本身不包含认证逻辑,其核心是用来管理所有的 AuthenticationProvider,通过交由合适的 AuthenticationProvider来实现认证。

(2) 下面跳转到了 ProviderManager,该类是 AuthenticationManager的实现类:请添加图片描述
我们知道不同的登录逻辑它的认证方式是不一样的,比如我们表单登录需要认证用户名和密码,但是当我们使用三方登录时就不需要验证密码。
Spring Security 支持多种认证逻辑,每一种认证逻辑的认证方式其实就是一种 AuthenticationProvider。通过 getProviders() 方法就能获取所有的 AuthenticationProvider,通过 provider.supports() 来判断 provider 是否支持当前的认证逻辑。

当选择好一个合适的 AuthenticationProvider后,通过 provider.authenticate(authentication)来让 AuthenticationProvider进行认证。
(3) 传统表单登录的 AuthenticationProvider主要是由 AbstractUserDetailsAuthenticationProvider 来进行处理的,我们来看下它的 authenticate()方法。
首先通过 retrieveUser()方法读取到数据库中的用户信息:

user = retrieveUser(username,(UsernamePasswordAuthenticationToken) authentication);

retrieveUser()的具体实现在 DaoAuthenticationProvider中,代码如下:
请添加图片描述
当我们成功的读取UserDetails后,下面开始对其进行认证:
请添加图片描述
在上图中,我们可以看到认证校验分为 前校验、附加校验和后校验,如果任何一个校验出错,就会抛出相应的异常。所有校验都通过后,调用 createSuccessAuthentication()返回认证信息。
请添加图片描述
createSuccessAuthentication方法中,我们发现它重新 new 了一个 UsernamePasswordAuthenticationToken,因为到这里认证已经通过了,所以将 authorities 注入进去,并设置 authenticated 为 true,即需要认证。

(4)至此认证信息就被传递回 UsernamePasswordAuthenticationFilter中,在 UsernamePasswordAuthenticationFilter的父类 AbstractAuthenticationProcessingFilter的 doFilter() 中,会根据认证的成功或者失败调用相应的handler
请添加图片描述
这里调用的 handler 实际就是在 《SpringBoot集成Spring Security(6)——登录管理》中我们在配置文件中配置的 successHandler() failureHandler()

二、多个请求共享认证信息

Spring Security 通过 Session来保存用户的认证信息,那么 Spring Security 到底是在什么时候将认证信息放入 Session,又在什么时候将认证信息从 Session 中取出来的呢?

下面将 Spring Security 的认证流程补充完整,如下图:
请添加图片描述
在上一节认证成功的 successfulAuthentication()方法中,有一行语句:

SecurityContextHolder.getContext().setAuthentication(authResult);

其实就是在这里将认证信息放入 ```Session`` 中。

查看 SecurityContext 源码,发现内部就是对 Authentication 的封装,提供了 equals、hashcode、toString等方法,而SecurityContextHolder可以理解为线程中的 ThreadLocal

我们知道一个 HTTP 请求和响应都是在一个线程中执行,因此在整个处理的任何一个方法中都可以通过 SecurityContextHolder.getContext()来取得存放进去的认证信息。

Session 中对认证信息的处理由 SecurityContextPersistenceFilter 来处理,它位于 Spring Security 过滤器链的最前面,它的主要作用是:

  • 当请求时,检查 Session 中是否存在 SecurityContext,如果有将其放入到线程中。
  • 当响应时,检查线程中是否存在SecurityContext,如果有将其放入到 Session中。
    请添加图片描述

三、获取用户认证信息

通过调用 SecurityContextHolder.getContext().getAuthentication() 就能够取得认证信息:

@GetMapping("/me")
@ResponseBody
public Object me() {
    return SecurityContextHolder.getContext().getAuthentication();
}

请添加图片描述
上面的写法有点啰嗦,我们可以简写成下面这种,Spring MVC会自动帮我们从 Spring Security中注入:

@GetMapping("/me")
@ResponseBody
public Object me(Authentication authentication) {
    return authentication;
}

如果你仅想获取 UserDetails 对象,也是可以的,写法如下:

@GetMapping("/me")
@ResponseBody
public Object me(@AuthenticationPrincipal UserDetails userDetails) {
    return userDetails;
}

请添加图片描述

小POooo
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
扩展篇:再探Spring Security过滤器链之SecurityContext
小奇学编程的博客
10-25 974
扩展篇:再探Spring Security过滤器链 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security 的过滤器链,完整的剖析全链路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证流程有了一个比较全面的
SpringBoot整合SpringSecurity超详细入门教程
最新发布
2401_83916435的博客
03-31 827
就写到这了,也算是给这段时间的面试做一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer!越努力越幸运!金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。
Spring Security用户认证流程源码详解
热门推荐
不清不慎的博客
04-21 1万+
上篇文章讲解了Spring Security的基本原理以及如何自定义用户认证逻辑,这篇文章将在上篇的基础上解读Spring Security的源码更清楚的了解它的认证逻辑流程。 本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一、用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求来的时...
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9665
springboot整合springsecurity实现用户登录认证和鉴权
Spring Security认证流程
chenjiangquan的博客
12-14 117
Spring Security认证流程
SpringBoot集成Spring Security的方法
08-18
Spring security,是一个强大的和高度可定制的身份验证和...这篇文章主要介绍了SpringBoot集成Spring Security的操作方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
02-16
Spring Security 默认是账号和密码登录,现在是对 Spring Security 进行扩展,来实现短信验证码方式登录。 SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
SpringBoot集成Spring security JWT实现接口权限认证 源码
03-24
详细介绍请看博客:https://blog.csdn.net/hyh17808770899/article/details/109733851 源码完全可行,于2022.03.14根据该博客创建,本资源内容包含项目源码、所关联的数据库表,以及postman测试接口JSON文档
springboot 整合shiro之Authentication
曹振浩
03-11 562
shiro目录: springboot 整合shiro之shiroconfig配置文件 springboot 整合shiro之Authentication shior作为轻量级的权限管理框架,相较于SpringSecurity框架,没有其强大的功能,但在是学习和实际使用中,shiro可以满足基本的使用,包括有身份验证、授权、加密的功能 shiro的功能介绍,分为以下几块(官方介绍,看不懂 的...
Spring Boot 2.x实战78 - Spring Security 2 - Spring Security认证Authentication
汪云飞记录本
06-18 1429
1.3 Authentication Spring Security为我们提供了一个专门的org.springframework.security.core.Authentication接口来代表认证;它最常用的实现类有UsernamePasswordAuthenticationToken。 一旦请求被认证后,Authentication对象就会自动存储在由SecurityContextHolder管理的SecurityContext中。 认证的原理通过下面类的处理顺序来进行的: FilterChain
SpringBoot-Security登录认证与授权
MoneyZHC的博客
07-09 198
SpringBoot-Security登录认证与授权 package com.money.config; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.sp
Spring Security: 认证架构(流程)
weixin_34122810的博客
09-25 175
接收HTTP请求 Spring security 定义了一个过滤器链, 当认证请求到达这个链时, 该请求将会穿过这个链条用于认证和授权. 这个链上的可以定义1..N个过滤器, 过滤器的用途是获取请求中的认证信息, 根据认证方式进行路由, 把认证信息传递给对应的认证处理程序进行处理. 下面的示例图显示了Spring security中常用...
SpringbootSecurity登陆验证(前后端分离)
weixin_68193389的博客
11-09 746
从前端页面输入账号向后端发送跨域请求,后端接受参数验证是否在数据库中存在,如果存在就去把用户在数据库中的角色权限和资源权限查出来,保存在Security中.登陆成功后就把用户的信息用JWTUtil.createToken()方法生成token,返回给前端,前端拿到token,前端再次向后端发起请求时携带token,后端识别,如果正确的话就放行,不正确就访问失败。
SpringBoot集成Spring Security(1)——登录认证
风清云淡
11-18 1700
一、前言 权限认证框架最常见的除了Shiro,另一个就是Spring Security,相比Shiro而言Spring Security学习难度较大,这里我通过博客记录下自己学习Spring Security的历程。 如果您跟随博客学习,请尽量保持环境一致,否则掉坑了不负责哈O(∩_∩)O~ 环境:SpringBoot2.3.6.RELEASE,Spring Security5+ 二、环境依赖 这里使用的SpringBoot是2.3.6,Spring Security默认是5.3.5 <depen
SpringSecurity 完整认证流程
woruosuifenglang的博客
07-06 1021
springSecurity 完整认证流程
springsecurity认证流程
qq_37976540的博客
02-13 144
认证核心组件 基于用户凭证创建 AuthenticationToken 这里我们以最常用表单登录为例子, 用户在登录表单中输入用户名和密码, 并点击确定, 浏览器提交POST请求到服务器, 穿过过滤器链, 被 UsernamePasswordAuthenticationFilter 识别, UsernamePasswordAuthenticationFilter 提取请求中的用户名和密码来创...
SpringSecurity登录认证流程
weixin_52353216的博客
11-07 2405
springsecurity的登录认证流程及对源码的一些解读
springboot整合springsecurity认证流程
06-10
好的,下面是SpringBoot整合SpringSecurity认证流程: 1. 引入依赖 在 `pom.xml` 文件中添加 Spring Security 相关的依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置安全规则 在 `application.yml` 或 `application.properties` 文件中配置安全规则: ``` spring: security: user: name: admin password: admin # 需要放行的请求路径 ignored: /css/**,/js/**,/images/** ``` 3. 创建安全配置类 创建一个继承 `WebSecurityConfigurerAdapter` 的安全配置类,并重写 `configure(HttpSecurity http)` 方法,配置安全规则。 ``` @Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 配置安全规则 http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() .and() .formLogin().loginPage("/login").permitAll() .and() .logout().permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { // 配置用户信息 auth.inMemoryAuthentication() .withUser("admin").password("{noop}admin").roles("ADMIN") .and() .withUser("user").password("{noop}user").roles("USER"); } } ``` 在上面的代码中,`configure(HttpSecurity http)` 方法配置了三个安全规则: - `/admin/**` 路径需要 `ADMIN` 角色才能访问 - `/user/**` 路径需要 `ADMIN` 或 `USER` 角色才能访问 - 其他路径需要认证后才能访问 `configureGlobal(AuthenticationManagerBuilder auth)` 方法配置了两个用户 `admin` 和 `user`,并分别赋予了 `ADMIN` 和 `USER` 角色。 4. 启动应用程序 现在可以启动应用程序,访问 `/login` 路径进行登录,登录成功后就可以访问需要认证的路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值