二、Spring Security认证和授权-基于表单的认证流程及源码解析

最新推荐文章于 2023-12-28 15:52:15 发布
置顶 最新推荐文章于 2023-12-28 15:52:15 发布
阅读量573 收藏 1
点赞数
分类专栏: Spring Security实战专栏 文章标签: Spring Security 权限控制 资源管理系统 认证授权 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/STIll_ly/article/details/108926079
版权

学完上期核心原理解析,我们已经知道了Spring Security 是由一系列的过滤器组成,通过拦截指定URL实现用户登录的操作。今天我们基于Spring Security 自带的UsernamePasswordAuthenticationFilter过滤器进行表单验证的开发。

一、表单验证过程源码解析

在这里插入图片描述

1、页面输入用户名密码,提交登录请求。
2、登陆请求被UsernamePasswordAuthenticationFilter过滤器拦截,开始进行登录验证。
3、UsernamePasswordAuthenticationFilter获取用户名(username)、密码(password)参数,并创建一个未认证的UsernamePasswordAuthenticationToken,然后调用AuthenticationManager进行登录验证。
在这里插入图片描述

4、AuthenticationManager不直接进行登录验证,而是使用DaoAuthenticationProvider进行验证,DaoAuthenticationProvider调用UserDetailsService(自定义)对象的loadUserByUsername方法获取用户信息。
在这里插入图片描述

5、然后对获得的对象进行一系列的检查(自定义),包括预检查、附加检查、后检查。预检查检查用户是否被冻结、是否启用、是否过期。附加检查进行用户名密码验证。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6、登陆成功后将验证过的用户信息存储在SecurityContext中,然后调用登录成功处理器(自定义)。
在这里插入图片描述

二、表单验证实操

1、 自定义AuthUserDetails类,实现UserDetails接口,用户验证的方法根据自己的业务需要进行具体实现。
在这里插入图片描述

2、 自定义AuthUserDetailsService类,实现UserDetailsService接口,根据具体业务实现loadUserByUsername方法。
在这里插入图片描述

3、 自定义登录成功处理器RestAuthenticationSuccessHandlerr类,继承SavedRequestAwareAuthenticationSuccessHandler,重写onAuthenticationSuccess方法。
在这里插入图片描述

4、 自定义登录失败处理器RestAuthenticationFailureHandler类,继承SimpleUrlAuthenticationFailureHandler,重写onAuthenticationFailure方法。在这里插入图片描述

5、 编写配置类SecurityConfig继承WebSecurityConfigurerAdapter。重写configure方法。在这里插入图片描述
6、 编写前端登录页面,进行登录。
在这里插入图片描述

三、资源管理系统演示

项目演示地址:http://175.24.75.121/#/login
用户名:visitor
密码:visitor
在这里插入图片描述
在这里插入图片描述

四、GITHUB

前端工程:https://github.com/STIll-clx/rms-admin-web
后端工程:https://github.com/STIll-clx/rms

五、专题导航

上一节:Spring Security核心原理及Demo演示
下一节:Spring Security认证和授权-授权流程及源码解析

欢迎点赞加关注!(๑′ᴗ‵๑)I Lᵒᵛᵉᵧₒᵤ❤

STIll_clx
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 认证详解
流楚丶格念的博客
09-17 2756
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的(如下图密码)。但是在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。}// 获取所有权限 Collection
认证篇:Spring Security 基于表单登录的认证模式
小奇学编程的博客
09-13 652
认证(一):基于表单登录的认证模式 原理探讨 当我们在项目中引入 Spring Security的相关依赖后,默认的就是表单登录形式;俗话说:“听人劝,吃饱饭”,既然 Spring Security已经给我们安排的明明白白了,我们就从表单登录开始吧。 在开始之前,我们可以站在 Spring Security的角度上思考:如果我自己来实现表单登录的功能,那么我需要做哪些工作呢? 就我个人而言,我可能会考虑以下几点: 配置用户信息,存储如账号、密码等;密码不能以明文传输,需要加密功能 执行校验 认证
Spring SecurityAuthenticationFailureHandler 用户认证失败后处理
杜小舟的博客
12-28 1624
`AuthenticationFailureHandler` 主要是做用户认证失败后调用的处理器,这里的失败一般是指用户名或密码错误。当出现错误后,该处理器就会被调用,一般在开发中,会自己实现一个处理器,用来给前端返回一些已经商量好的异常码,下面分成两大块,先简单介绍一下官方给的一些用户失败后的处理器,再介绍我们自己实现的自定义处理器。
SpringSecurity(五)表单配置-登录失败及页面跳转原理
陈橙橙
03-11 4273
认证失败 继上一篇内容我们继续讨论一下关于表单登录配置认证失败的时候,它默认页面的跳转原理。 前言 为了方便在前端页面中展示失败的异常信息,我们现在项目中的pom.xml文件中引入thymeleaf依赖。 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymel
Spring Security Web 5.1.2 源码解析 -- SimpleUrlAuthenticationFailureHandler
Details Inside Spring
12-24 5661
概述 AuthenticationFailureHandler接口定义了Spring Security Web在遇到认证错误时所使用的处理策略。 典型做法一般是将用户重定向到认证页面(比如认证机制是用户名表单认证的情况)让用户再次认证。当然具体实现类可以根据需求实现更复杂的逻辑,比如根据异常做不同的处理等等。举个例子,如果遇到CredentialsExpiredException异常(Authen...
Shiro 之 UsernamePasswordToken
m0_67392661的博客
04-22 2740
一.UsernamePasswordToken UsernamePasswordToken 是用来存储用户和密码的 private String username; //用户 private char\[\] password; //密码 private boolean rememberMe; //记住密码 private String host; //主机
三、Spring Security认证授权-授权流程源码解析
STIll_ly的博客
10-05 1717
上期我们学习了基于UsernamePasswordAuthenticationFilter的表单认证,接下来我们将对Spring Security授权相关知识点进行介绍并进行源码解析认证授权是两个密不可分的好基友,只认证授权,系统将不知道用户有哪些权限,能进行哪些操作。就像是一个公司只设置了门卫,只要是本公司职员就能进入(认证过程),但是没有明确的规章制度和上下级关系,进入公司以后具体有哪些权利和义务没人知道(授权),将导致公司陷入混乱无法运转。 一、授权表达式 Spring Security允许我
认证篇:Spring Security 表单登录认证源码解析
小奇学编程的博客
09-26 501
认证):表单登录的源码解析 原理讲解 接上回分解,上回我们聊到了《基于表单登录的认证模式》【todo: 这里做一个文章的超链接】,正所谓:“知其然,然后知其所以然”;就让我们来一探究竟,瞅瞅 Spring Security到底是怎么实现表单登录的。 首先我们先来回顾一下上篇文章我们制作的 Spring Security表单认证流程图: 从流程图中我们可以简单的了解到,整个认证流程大致上分为3个模块: 登录信息的封装 认证 收尾处理(成功&失败处理) 核心模块为 认证模块,
SpringSecurity-从入门到精通文章的源码文件
10-25
- **认证机制**:Spring Security 提供了多种认证方式,如基于表单的身份验证、基于 token 的无状态认证(JWT)以及 OAuth2 认证。 - **授权流程**:通过访问决策器(Access Decision Manager)进行权限判断,可以...
Spring Security安全框架 入门及基于微服务单点登录认证
qq_46652775的博客
03-17 5513
文章目录前言一、Spring Security的概念Spring Security的实现原理1.过滤器链的各个进行说明:2.简易流程概述:3. 具体认证流程三 、springsecurity使用redis实现单点登录四 、测试认证服务器的功能五、认证服务器也可以是资源服务器 前言 Spring Security是一个当前流行的安全框架,它不仅实现了访问资源(crud)权限控制,还可以基于它可以实现单点登陆认证业务. 本文主要介绍Spring Security的概念,认证权限控制原理,以及单点登录的实
Spring Security 表单登录功能的实现方法
08-25
主要介绍了Spring Security 表单登录,本文将构建在之前简单的 Spring MVC示例 之上,因为这是设置Web应用程序和登录机制的必不可少的。需要的朋友可以参考下
史上最简单的Spring Security教程(十):AuthenticationFailureHandler高级用法
银河架构师的博客
07-07 1万+
在前面,我们简述了如何自定义用户登录失败页面。但是,在工作中,所遇到的业务场景压根不会这么简单。 比如要求记录登录失败时的IP、时间、SessionId;发送登录失败提醒到微信、邮箱、短信,提醒用户当前登录失败事件;同时记录到日志中,或者发送到远端日志监控平台,分析是否是攻击行为等等。 而这一切,Spring Security框架非常贴心的提供了AuthenticationFailureHandler接口,当然了,框架同时也提供了一些简单的实现,最重要的,用户可自行扩展,以满足不同的业务场景...
Shiro学习笔记()UsernamePasswordToken源码简单解析
热门推荐
zch-兴趣使然-blog
03-27 3万+
在shrio中,AuthenticationToken用于存储前端传来的登录信息,通俗来说就是用户名及密码等。而在这之中比较常用的就是UsernamePasswordToken。为了了解shrio的验证过程有必要先了解与验证相关的主要的几个类。首先看下shrio对UsernamePasswordToken的描述: /** * <p>A simple username/passwo...
UsernamePasswordAuthenticationToken使用
码字不易,大家的支持就是我坚持下去的动力
03-02 1万+
Spring Security 中用于封装用户名密码认证信息的一个类,它实现了接口,用于表示一个认证请求。
SpringSecurity系列 之 认证失败处理流程
向心行者
06-25 7372
1、常见用法   我们使用SpringSecurity进行配置的时候,有三种方式实现认证失败时的后续处理:其一,通过failureUrl()配置认证失败的重定向路径(Redirect);其,我们还可以通过failureForwardUrl()配置认证失败的转发路径(Forward),和重定向效果类似,区别主要在于前者是重定向(默认),后者是转发;其三,自定义认证失败处理器,主要通过实现AuthenticationFailureHandler接口实现,其实前面两种方式也是通过实现该接口实现的。   fail
使用Spring Boot Security做Restful api后端接口登录验证包含Cookies记住用户名密码
神夏的博客
07-22 1万+
前言 使用spring security做后端接口验证需要注意的是很多接口需要自己重新,然后定义不同的错误码返回给前端,包含登录验证、登录失效、没有权限、登出等错误提示,均为JSON格式,其中记住我需要重写TokenBasedRememberMeServices,来避免key不一致造成解密失败。 ##开始 1 .使用maven 引用spring security 等相关jar包 ...
spring security 使用自定义AuthenticationFailureHandler无法跳转failureUrl
路过君的博客
08-12 2692
默认AuthenticationFailureHandler源码 org.springframework.security.config.annotation.web.configurers.AbstractAuthenticationFilterConfigurer protected final void updateAuthenticationDefaults() { if (loginProcessingUrl == null) { loginProcessingUrl(loginPage
3.Spring Security 自定义用户认证
LoveSummer
11-05 978
Spring Security自定义用户认证 自定义认证过程 自定义认证的过程需要实现Spring Security提供的UserDetailService接口,该接口只有一个抽象方法loadUserByUsername,源码如下: public interface UserDetailsService { UserDetails loadUserByUsername(String use...
UsernameToken
小人物的专栏
01-29 1336
使用用户名和密码来验证用户的身份是最普通也最常见的方法,虽然在安全性方面也比较弱,由于其运用的广泛性还是成为了WS-Security目前所 支持的Security Token之一。其原理非常简单,用户在发送请求的时候,在Soap head中加入自己的用户名以及密码,接受请求的Service通过之前与Client建立的共享密码来验证密码的合法性从而实现鉴别用户的功能。不过实际运用起来就不
spring security认证授权流程
最新发布
03-30
下面是Spring Security认证授权流程图: 1. 认证流程: - 用户提交登录请求。 - Spring Security拦截登录请求,验证用户提供的凭据(如用户名和密码)。 - 如果凭据有效,Spring Security会生成一个认证令牌...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值