Spring Security是如何储存认证用户信息的

最新推荐文章于 2024-01-19 15:07:22 发布
最新推荐文章于 2024-01-19 15:07:22 发布
阅读量2.2k 收藏 8
点赞数 1
分类专栏: java springboot 设计模式 文章标签: spring servlet java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jay_Chou345/article/details/129640800
版权
java 同时被 3 个专栏收录
48 篇文章 0 订阅
订阅专栏
springboot
22 篇文章 1 订阅
订阅专栏
设计模式
2 篇文章 0 订阅
订阅专栏

Spring Security是如何储存认证用户信息的

文章目录

前言剧透

总结:Spring Security会将信息储存在SecurityContext中,请求过程中会被SecurityContextHolder进行管理,底层是基于的ThreadLocal(当然还有很多种策略)
问题:SpringBoot底层的servlet会将每个请求分配一个线程,用ThreadLocal能拿到数据?

单纯的用ThreadLocal当然不够,其自身有一个小“仓库”
而SecurityContext被“保存”于这个仓库SecurityContextRepository中(实际上是放在session里的)

  • 请求时从repo中拿出来context,并交给给SecurityContextHolder管理
  • 结束时把context放回repo

这样每次请求都能从仓库拿到之前的context,也就知道用户到底认证没有了

有着用户信息的SecurityContext一定是被ThreadLocal管理的吗?

我们上文提到“SecurityContext请求过程中会被SecurityContextHolder进行管理,底层是基于的ThreadLocal”
实际并不严谨,因为SecurityContextHolder底层有多种实现
上代码

我们可以看到第一个if里就判断了spring.security.strategy配置里是否有值

  • 如果配置里没有主动指定holder的策略名称,那么默认是MODE_THREADLOCAL——ThreadLocalSecurityContextHolderStrategy类,也就是ThreadLocal
  • 如果指定了策略那就获取指定的策略

所以我们需要纠正为“在Spring Security中,用户的信息默认被ThreadLocal储存,这不是绝对的”

	private static String strategyName = System.getProperty("spring.security.strategy");

	private static void initialize() {
		if (!StringUtils.hasText(strategyName)) {
			// Set default
			strategyName = MODE_THREADLOCAL;
		}
        
		if (strategyName.equals(MODE_THREADLOCAL)) {
			strategy = new ThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
		}
		else if (strategyName.equals(MODE_GLOBAL)) {
			strategy = new GlobalSecurityContextHolderStrategy();
		}
		else {
			// Try to load a custom strategy
			try {
				Class<?> clazz = Class.forName(strategyName);
				Constructor<?> customStrategy = clazz.getConstructor();
				strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
			}
			catch (Exception ex) {
				ReflectionUtils.handleReflectionException(ex);
			}
		}
		initializeCount++;
	}

ThreadLocalSecurityContextHolderStrategy类

可以看到底层就是new了一个ThreadLocal

final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {

	private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();
}

请求时源码流程

SecurityContextPersistenceFilter核心过滤器:org.springframework.security.web.context.SecurityContextPersistenceFilter#doFilter(javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse, javax.servlet.FilterChain)

注意:如果是忽略路径的话,是不会走这个过滤器的

获取包含着认证信息的context

在filter第一句就是if判断语句:用于确保每个请求只应用一次筛选器

	static final String FILTER_APPLIED = "__spring_security_scpf_applied";

	if (request.getAttribute(FILTER_APPLIED) != null) {
        chain.doFilter(request, response);
        return;
    }

创建进入repo寻找context

根据request和response新建HttpRequestResponseHolder,然后将holder放入repo寻找其context

HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);
SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);

解析request的session

获取holder中的request,并拿到request的session,然后解析session拿到SecurityContext

		HttpServletRequest request = requestResponseHolder.getRequest();
		HttpServletResponse response = requestResponseHolder.getResponse();
		HttpSession httpSession = request.getSession(false);
		SecurityContext context = readSecurityContextFromSession(httpSession);

HttpSessionSecurityContextRepository根据session获取SecurityContext:org.springframework.security.web.context.HttpSessionSecurityContextRepository#readSecurityContextFromSession

根据key拿到session中的SecurityContext对象

可以看到从session取出了一个名为“SPRING_SECURITY_CONTEXT_KEY”的属性,并转化为了SecurityContext对象(判空等代码已省略)

private String springSecurityContextKey = SPRING_SECURITY_CONTEXT_KEY;

private SecurityContext readSecurityContextFromSession(HttpSession httpSession) {
		Object contextFromSession = httpSession.getAttribute(this.springSecurityContextKey);
		return (SecurityContext) contextFromSession;
}

将SecurityContext交给holder进行管理

至此,请求时的SecurityContext获取到此结束
(省略了一些打log逻辑)

		SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);
		SecurityContextHolder.setContext(contextBeforeChainExecution);
		chain.doFilter(holder.getRequest(), holder.getResponse());

结束请求时源码

这段很简略

  1. 从holder中拿回context
  2. holder清除context
  3. 将context放回repo
  4. request删除之前放置的属性“FILTER_APPLIED”(防止请求的重复过滤)
	static final String FILTER_APPLIED = "__spring_security_scpf_applied";

	finally {
        SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
        SecurityContextHolder.clearContext();
        this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
        request.removeAttribute(FILTER_APPLIED);
    }

疑问:将认证信息放在session里不会被篡改吗?

session保存在服务器,等于用户的认证信息实际上还是被保存在了服务端

 1. 打开浏览器,在浏览器上发送首次请求
 2. 服务器会创建一个HttpSession对象,该对象代表一次会话
 3. 同时生成HttpSession对象对应的Cookie对象,并且Cookie对象的name是jsessionid,Cookie的value是32位长度的字符串(jsessionid=xxxx)
 4. 服务器将Cookie的value和HttpSession对象绑定到session列表中
 5. 服务器将Cookie完整发送给浏览器客户端
 6. 浏览器客户端将Cookie保存到缓存中
 7. 只要浏览器不关闭,Cookie就不会消失
 8. 当再次发送请求的时候,会自动提交缓存中当的Cookie
 9. 服务器接收到Cookie,验证该Cookie的name是否是jsessionid,然后获取该Cookie的value
 10. 通过Cookie的value去session列表中检索对应的HttpSession对象

需要知道的是:浏览器关闭之后,服务器不会销毁session对象
HTTP协议是一种无连接/无状态的协议
当一段时间后,用户没有再访问session对象,此时session对象超时,web服务器会自动回收session对象

在SpringBoot中,session默认存储30分钟

	@DurationUnit(ChronoUnit.SECONDS)
	private Duration timeout = Duration.ofMinutes(30);

配置

server:
	servlet:
		session:
			timeout: 30m

自动登录:过滤器识别cookie存的用户信息

自动登录过滤器:RememberMeAuthenticationFilter
当用户没有登录时,会读取request里的cookie来进行自动登录认证

解析cookie变成token

读取request里的cookie后遍历cookie,判断有没有一个名字为“remember-me”的cookie,若有则取出

    protected String extractRememberMeCookie(HttpServletRequest request) {
        Cookie[] cookies = request.getCookies();
    if ((cookies == null) || (cookies.length == 0)) {
        return null;
    }
    for (Cookie cookie : cookies) {
        if (this.cookieName.equals(cookie.getName())) {
            return cookie.getValue();
        }
    }
    return null;
    }

如果有这个“记住我”cookie,那么将其base64解码
解码后的字符串将其转换为“分隔列表字符串数组”,变成token
看代码吧

	protected String[] decodeCookie(String cookieValue) throws InvalidCookieException {
		for (int j = 0; j < cookieValue.length() % 4; j++) {
			cookieValue = cookieValue + "=";
		}
		String cookieAsPlainText;
		try {
			cookieAsPlainText = new String(Base64.getDecoder().decode(cookieValue.getBytes()));
		}
		catch (IllegalArgumentException ex) {
			throw new InvalidCookieException("Cookie token was not Base64 encoded; value was '" + cookieValue + "'");
		}
		String[] tokens = StringUtils.delimitedListToStringArray(cookieAsPlainText, DELIMITER);
		for (int i = 0; i < tokens.length; i++) {
			try {
				tokens[i] = URLDecoder.decode(tokens[i], StandardCharsets.UTF_8.toString());
			}
			catch (UnsupportedEncodingException ex) {
				this.logger.error(ex.getMessage(), ex);
			}
		}
		return tokens;
	}

SpringSecurity存储token的方式

有趣的是,SpringSecurity有两种存储token的方式
一种是HashMap的内存储存:InMemoryTokenRepositoryImpl

	private final Map<String, PersistentRememberMeToken> seriesTokens = new HashMap<>();

	@Override
	public synchronized PersistentRememberMeToken getTokenForSeries(String seriesId) {
		return this.seriesTokens.get(seriesId);
	}

一种是jdbc的磁盘储存:JdbcTokenRepositoryImpl

	@Override
	public PersistentRememberMeToken getTokenForSeries(String seriesId) {
        return getJdbcTemplate().queryForObject(this.tokensBySeriesSql, this::createRememberMeToken, seriesId);
	}

token获取用户信息并进行认证

“解析”完cookie变成cookieTokens后,利用这个token获取用户信息并进行校验

	public final Authentication autoLogin(HttpServletRequest request, HttpServletResponse response) {
			String[] cookieTokens = decodeCookie(rememberMeCookie);
			UserDetails user = processAutoLoginCookie(cookieTokens, request, response);
			this.userDetailsChecker.check(user);
			return createSuccessfulAuthentication(request, user);
	}

获取token后,根据username获取User信息(UserDetails)

PersistentRememberMeToken token = this.tokenRepository.getTokenForSeries(presentedSeries);
return getUserDetailsService().loadUserByUsername(token.getUsername());

用户认证(验证账号是否正常)

上文讲到获取token拿到username后,根据username拿到了user信息(UserDetails)
判断用户是否被锁定、账户过期等,若存在这些情况就抛出异常

	public void check(UserDetails user) {
		if (!user.isAccountNonLocked()) {
			this.logger.debug("Failed to authenticate since user account is locked");
			throw new LockedException(
					this.messages.getMessage("AccountStatusUserDetailsChecker.locked", "User account is locked"));
		}
		if (!user.isEnabled()) {
			this.logger.debug("Failed to authenticate since user account is disabled");
			throw new DisabledException(
					this.messages.getMessage("AccountStatusUserDetailsChecker.disabled", "User is disabled"));
		}
		if (!user.isAccountNonExpired()) {
			this.logger.debug("Failed to authenticate since user account is expired");
			throw new AccountExpiredException(
					this.messages.getMessage("AccountStatusUserDetailsChecker.expired", "User account has expired"));
		}
		if (!user.isCredentialsNonExpired()) {
			this.logger.debug("Failed to authenticate since user account credentials have expired");
			throw new CredentialsExpiredException(this.messages
					.getMessage("AccountStatusUserDetailsChecker.credentialsExpired", "User credentials have expired"));
		}
	}

返回认证实例

创建从autoLogin方法返回的最终身份验证对象。
默认情况下,它将创建RememberMeAuthenticationToken实例。

	protected Authentication createSuccessfulAuthentication(HttpServletRequest request, UserDetails user) {
		RememberMeAuthenticationToken auth = new RememberMeAuthenticationToken(this.key, user,
				this.authoritiesMapper.mapAuthorities(user.getAuthorities()));
		auth.setDetails(this.authenticationDetailsSource.buildDetails(request));
		return auth;
	}

至此自动登录的认证完成

Jay_Chou345
关注
专栏目录
一篇文章带你搞定 Spring Security 将用户数据存储到数据库
南淮北安的博客
09-15 4100
文章目录一、UserDetailService二、JdbcUserDetailsManager三、数据库支持四、测试登录 一、UserDetailService Spring Security 支持多种不同的数据源,这些不同的数据源最终都将被封装成 UserDetailsService 的实例,在微人事(https://github.com/lenve/vhr)项目中,我们是自己来创建一个类实现 UserDetailsService 接口,除了自己封装,我们也可以使用系统默认提供的 UserDetailsS
SpringSecurity 之自定义用户权限信息的存取
04-16
本文将详细探讨SpringSecurity中关于自定义用户权限信息存取的实现方法,包括如何通过配置文件和数据库来管理用户的认证信息和权限数据。 首先,当我们谈论用户权限信息的存取,实际上是在处理两个方面的问题:用户...
Spring Security--获取登录成功的用户信息
a2285786446的博客
06-13 1570
在用户登录成功后,自动将用户信息存入到SecurityContextHolder中。3.下一个请求来的时候,还是会经过SecurityContextPersistenceFilter 过滤器,,此时系统还是会从Httpsession 中读取出登录成功的用户信息,并将之存入SecurityContextHolder 中。2.在登录请求处理完毕后,响应数据给前端时,也会经过SecurityContextPersistenceFilter 过滤器,此时,会将用户信息存入Httpsession中。
Spring Security基本框架之登录数据保存
大后生大大大的博客
11-12 3066
SecurityContextHolder
Spring Security —05—认证用户数据
weixin_48994585的博客
08-22 1173
以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到SecurityContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将SecurityContextHolder 中的数据清空。的默认存储策略,这种存储策略意味着如果在具体的业务处理代码中,开启了子线程,在子线程中去获取登录用户数据,就会获取不到。
Spring Security怎么记住我们的登录信息
bangiao的博客
02-03 1001
小白: “过程虽然简单, 但我觉得你这也不安全吧?不过是换了个名字么?照样不安全吧?小黑: “spring security使用默认的remember-me肯定是不安全的, 你需要开启持久化功能, 也就是下图红框框的类”小白: “那你要怎么修改它内部使用哪个类的呢?小黑: “你有两种方式”和小黑: “也就是这两种方式”小黑: “从他们前面的源码可以看出, 这两种方式有优先级区别, 明显第一种优先级高于后面的。
SpringSecurity登录用户数据获取
z318913的博客
07-12 3039
SpringSecurity登录用户数据获取
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍如何使用 Spring Security 实现记住我下次自动登录功能。 ...
Spring Security 示例项目
11-29
然后,你可以尝试访问不同的URL,观察Spring Security如何处理认证和授权。同时,可以编写JUnit测试用例来验证安全性设置是否有效。 总的来说,这个"Spring Security 示例项目"提供了一个基础平台,帮助开发者理解...
SpringSecurity_JWT_Test.zip
04-05
SpringSecurity则是Spring生态系统中的安全模块,提供了一整套安全控制服务,包括用户认证、权限授权、CSRF(跨站请求伪造)保护等。SpringSecurity的配置灵活且强大,可以适应多种安全需求。 JWT是一种轻量级的...
Spring Security登录成功后,用户信息保存在哪,如何获取?
热门推荐
weixin_42449408的博客
11-28 1万+
当前用户获取信息 我们在SecurityContextHolder内存储目前与应用程序交互的主要细节。Spring Security使用一个Authentication对象来表示这些信息。 你通常不需要创建一个自我认证的对象,但它是很常见的用户查询的Authentication对象。你可以使用以下代码块-从你的应用程序的任何部分-获得当前身份验证的用户的名称,例如: 获取登录用户信息 Authentication authentication = SecurityContextHolder.getCont
Spring Security 6.x 系列【2】认证篇之使用数据库存储用户
记录知识、锤炼自我
03-23 5177
用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,支持多种存储机制:内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储本篇文档主要学习使用数据库存储用户信息
使用Spring Security实现用户登录以及权限控制,那么在每次请求的时候都会创建一个SecurityContextHolder对象存储用户信息吗...
weixin_35756624的博客
01-09 445
是的,在使用 Spring Security 时,每次请求都会创建一个 SecurityContextHolder 对象来存储用户信息SecurityContextHolder 是一个全局的单例对象,它的作用是存储当前用户的认证信息,并且在整个应用的生命周期内都可以访问到这些信息。它使用了持有者模式来存储用户信息,因此可以在任何地方访问到当前用户的认证信息。 ...
SpringSecurity中的Authentication信息与登录流程
最新发布
z69183787的专栏
01-19 1208
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。
SpringSecurity Oauth2 - 06 拦截器获取用户登录信息并存储到本地线程ThreadLocal
你今天真好看呀
11-07 3918
上一讲已经我们分析了/oauth/token认证流程,明白了整个认证过程核心做了哪些事情,这一讲看一下如何配置拦截器判断用户是否登录并获取用户登录信息,同时将获取的登录信息存储到本地线程中,主要分为两点展开说明
Spring Security登录账户自定义与数据持久化(5)
weixin_43831002的博客
08-03 1068
在前面的案例中,我们的登录用户是基于配置文件来配置的(本质是基于内存),但是在实际开发中,这种方式肯定是不可取的,在实际项目中,用户信息肯定要存入数据库之中。Spring Security支持多种用户定义方式,接下来我们就逐个来看一下这些定义方式。...
详解Spring Security中获取当前登录用户的详细信息的几种方法
acerren的博客
08-14 5731
下面就来详细讲解一下Spring Security获取当前登录用户的详细信息的几种方法。
SpringBoot Security认证 Redis缓存用户信息SpringBoot系列10】
BASK2312的博客
03-31 1775
然后咱们在 Spring Security 配置的拦截器中,token 校验通过后,从 Redis 中查询缓存的用户信息,将用户信息的 UserId 配置到请求头中。这里是自定义的 HttpServletRequestWrapper ,本小节是对 请求Request 中的请求头的操作,后续咱们还会在这里 获取请求体中的参数。本文章是系列文章 ,每节文章都有对应的代码,每节的源码都是在上一节的基础上配置而来,对应的视频讲解课程正在火速录制中。有兴趣可以关注一下公众号:biglead。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值