Spring Security(学习笔记) --登录认证流程分析源码!

已于 2024-04-24 15:04:37 修改
阅读量844 收藏 13
点赞数 13
分类专栏: Spring Security 文章标签: spring 学习 笔记
于 2024-04-23 14:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TONGZHOUGONGDU/article/details/138089276
版权

重点标识

认证流程,AuthenticationManager 统筹全局

认证逻辑就是,AuthenticationManager 管理多个AuthenticationProvider,不同的认证方式,采用不同的AuthenticationProvider去进行认证,认证通过则直接结束,如果当前AuthenticationManager 下所有的AuthenticatioProvider都认证不了,则看看AuthenticationManager有没有parent,存在parent,则调用parent ,AuthenticationManager 接着认证,不存在,则直接返回失败。

账号密码登录认证逻辑

在这里插入图片描述

我们知道,在加入Security后,项目启动的时候有一个过滤器叫UserNamePasswordAuthenticationFilter,这个就是账户密码登录的过滤器,我们进入看一下:
大概解释一下这部分源码,首先,看他的登录请求是不是一个POST请求,如果不是,直接返回。

接着,就是获取它的用户名,密码,是不是空的,这部分的获取方式,就是我上一篇写过的,HttpServletRequest获取,有兴趣的同学可以翻一下,这里我随便点进去一个。
request.getParameter(this.usernameParameter);

请求是POST并且账户,密码都不为空的情况下,它会再调用UsernamePasswordAuthenticationToken.unauthenticated(username, password);
顾名思义,就是未认证,这里可以理解为,标识一下,这个请求还没有进行认证。

完了。就通过this.getAuthenticationManager().authenticate(authRequest);开始认证了。

 public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = this.obtainUsername(request);
            username = username != null ? username.trim() : "";
            String password = this.obtainPassword(request);
            password = password != null ? password : "";
            UsernamePasswordAuthenticationToken authRequest = UsernamePasswordAuthenticationToken.unauthenticated(username, password);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

好了,我们接着往下看,进入到authenticate这个方法,这个方法就是AuthenticationManager提供的,我们看看它的实现类。

在这里插入图片描述
很明显,他就是ProviderManager了,进去看看:

这个认证方法也大概解释一下,首先,获取到provider进行迭代遍历。
Iterator var9 = this.getProviders().iterator();
紧接着,就是通过 result = provider.authenticate(authentication);来判断,认证能不能通过。
如果通过了,则直接break,跳出去,结束,通不过,再看看下面这个方法

parentResult = this.parent.authenticate(authentication);

这里的重点是parent,就是去他的父类找下一个provider,然后递归调用。
点到parent里面看一下,我们可以看到,它还是AuthenticationManager,那由此我们就可以得到一个结论,一个AuthenticationManager是管理多个provider的,也就是说,认证的方式有多种,只要找到一种适合的,就可以通过了,这也是Spring Security所提供的好处之一,多种认证方式,如常用的用户名,密码登录,也有令牌登录之类的。

    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Class<? extends Authentication> toTest = authentication.getClass();
        AuthenticationException lastException = null;
        AuthenticationException parentException = null;
        Authentication result = null;
        Authentication parentResult = null;
        int currentPosition = 0;
        int size = this.providers.size();
        Iterator var9 = this.getProviders().iterator();

        while(var9.hasNext()) {
            AuthenticationProvider provider = (AuthenticationProvider)var9.next();
            if (provider.supports(toTest)) {
                if (logger.isTraceEnabled()) {
                    Log var10000 = logger;
                    String var10002 = provider.getClass().getSimpleName();
                    ++currentPosition;
                    var10000.trace(LogMessage.format("Authenticating request with %s (%d/%d)", var10002, currentPosition, size));
                }

                try {
                    result = provider.authenticate(authentication);
                    if (result != null) {
                        this.copyDetails(authentication, result);
                        break;
                    }
                } catch (InternalAuthenticationServiceException | AccountStatusException var14) {
                    this.prepareException(var14, authentication);
                    throw var14;
                } catch (AuthenticationException var15) {
                    lastException = var15;
                }
            }
        }

        if (result == null && this.parent != null) {
            try {
                parentResult = this.parent.authenticate(authentication);
                result = parentResult;
            } catch (ProviderNotFoundException var12) {
            } catch (AuthenticationException var13) {
                parentException = var13;
                lastException = var13;
            }
        }

        if (result != null) {
            if (this.eraseCredentialsAfterAuthentication && result instanceof CredentialsContainer) {
                ((CredentialsContainer)result).eraseCredentials();
            }

            if (parentResult == null) {
                this.eventPublisher.publishAuthenticationSuccess(result);
            }

            return result;
        } else {
            if (lastException == null) {
                lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound", new Object[]{toTest.getName()}, "No AuthenticationProvider found for {0}"));
            }

            if (parentException == null) {
                this.prepareException((AuthenticationException)lastException, authentication);
            }

            throw lastException;
        }
    }

验证一下,上面所说的,我们新建一个项目,引入Web依赖和Security依赖即可。

简单配置一下:只需要注入一个SecurityFilterChain,就是Security的过滤器链,然后将AuthenticationManager认证,以及需要认证的用户UserDetailsService 放进去,就可以了。


@Configuration
public class SecurityConfig {


    UserDetailsService userDetailsService(){

        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(User.withUsername("admin").password("{noop}123").build());
        return inMemoryUserDetailsManager;
    }


    AuthenticationManager authenticationManager(){
        //做数据校验
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
         daoAuthenticationProvider.setUserDetailsService(userDetailsService());
        ProviderManager providerManager = new ProviderManager(daoAuthenticationProvider);

        return providerManager;
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

        http.authorizeHttpRequests(a -> a.anyRequest().authenticated())
                .authenticationManager(authenticationManager()).formLogin(f->f.permitAll()).csrf(c->c.disable());
        return http.build();

    }
}

启动项目,进行访问,OK的。

这里还有一个点,就是我们在上面说的provider的parent,在这里,我们也可以模拟一下:


@Configuration
public class SecurityConfig {


    UserDetailsService userDetailsService(){

        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(User.withUsername("admin").password("{noop}123").build());
        return inMemoryUserDetailsManager;
    }


    AuthenticationManager authenticationManager(){
        //做数据校验
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
         daoAuthenticationProvider.setUserDetailsService(userDetailsService());
        ProviderManager providerManager = new ProviderManager(Arrays.asList(daoAuthenticationProvider),parentAuthenticationManager());

        return providerManager;
    }

    private AuthenticationManager parentAuthenticationManager() {
//做数据校验
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
        daoAuthenticationProvider.setUserDetailsService(u2());
        ProviderManager providerManager = new ProviderManager(daoAuthenticationProvider);

        return providerManager;
    }


    UserDetailsService u2(){

        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(User.withUsername("root").password("{noop}123").build());
        return inMemoryUserDetailsManager;
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

        http.authorizeHttpRequests(a -> a.anyRequest().authenticated())
                .authenticationManager(authenticationManager()).formLogin(f->f.permitAll()).csrf(c->c.disable());
        return http.build();

    }
}

ProviderManager 这个方法的构造器里面,本身就是提供,注入一个AuthenticationProvider,或者多个AuthenticationProvider以及他们的父类。

那按照我们上面的逻辑,第一个AuthenticationManager 认证不通过的时候,他就会去parent里面找,看还有没有其他认证,找到了就通过,找不到就继续调用parent,一直到找到,或者找不到parent了,认证还是不通过,就返回失败了。

结语

学海无涯,发量做舟,马上要秃。。。

同舟共度
关注
  • 13
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot集成spring-security实现基于验证码的登录认证项目码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码的登录认证项目码+项目说明.7z springboot集成spring-security实现基于验证码的登录认证。 在spring-boot-security的基础上实现角色管理。 spring-boot-security-jwt实现动态角色管理,并集成JWT以token代替session。此版本未实现验证码登录的功能。 登录认证方式和spring-boot-security有所不同。该版本登录认证采用自定义的/auth/login方式替代security默认的 /login(当然这个也是可以指定的)登录地址,简单来说也就是在自己的controller中实现了登录方法。这样做的目的在于可以在 controller中生成token并返回。 SpringBoot整合security实现基于验证码的登录认证和动态角色管理,在此基础上集成JWT采用token代替session, 并将token存储到redis。
Spring学习笔记+学习码.zip
05-12
文件内附有学习码及“四万多字的学习笔记”,本学习笔记中涵盖了,Spring中所学的全部知识点,以及还有一些小的知识点。(笔记很详细,笔记很详细。属于本人舍得删系列)。
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
spring-security-core-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-5.5.2.pom; 包含翻译后的API文档:spring-security-core-5.5.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-core:5.5.2; 标签:springframework、securityspring、core、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-core-5.3.9.RELEASE.pom; 包含翻译后的API文档:spring-security-core-5.3.9.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-core:5.3.9.RELEASE; 标签:springframework、securityspring、core、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
Spring Security(学习笔记) --AuthenticationProvider案例演示梳理!
TONGZHOUGONGDU的博客
04-24 358
AuthenticationProvider的作用!
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
基于多种语言的SpringSecurity-JWT-Vue-Deom演示项目设计
最新发布
05-24
本项目是基于多种语言的SpringSecurity-JWT-Vue-Deom演示项目设计码,包含85个文件,其中包括41个Java文件、8个Vue文件、7个PNG文件、5个JavaScript文件、4个Markdown文件、4个JPG文件、3个Gitignore文件、3个...
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1729
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
Spring Security原理学习--用户名和密码认证(三)
井底之蛙
10-15 9497
         在上一篇博客Spring Security原理学习--核心过滤器Filter(二)中我们已经了解到Spring Security相关业务处理的Filter,这篇博客我们通过代码完整的将Spring Security登录、验证和退出的流程了解一下。 一、登录请求 1、Spring Security默认提供了一个登录页面,默认请求地址 GET:http://localhost:8...
SpringCloud】Spring Security授权实现流程、自定义失败处理方法
See_Star的博客
04-03 1995
Spring Security实现授权功能的基本流程、以及具体实现方式。
Spring Security(学习笔记)--用户定义(Jdbc与MyBatis)!
TONGZHOUGONGDU的博客
04-23 752
Security整合Jdbc,Mybatis
Spring 当中存在的八大模式
weixin_61635597的博客
05-20 666
在这个最后的篇章中,我要表达我对每一位读者的感激之情。你们的关注和回复是我创作的动力泉,我从你们身上吸取了无尽的灵感与勇气。我会将你们的鼓励留在心底,继续在其他的领域奋斗。
基于SpringBoot的网盘系统设计与实现
weixin_39735974的博客
05-20 638
随近几年互联网中的信息量呈现爆炸式增长,传统的通过移动硬盘、局域网等方式存储数据已经不能满足当前网络数据的存储要求,现有的方式数据的管理难度大,数据的存储成本高,企业开始将传统的存储方式转向云盘、网盘存储。本文针对互联网用户申请注册网盘系统用户后,可以上传和分析文档、图片、视频等文件为主要业务流程分析了云盘系统所需要实现的功能需求,根据需求分析的结果,最终论证了开发系统的必要性。相关的技术栈进行开发,通过电脑浏览器可进行系统的访问,后端数据存储使用开的。云盘系统具有良好的学术价值和商业前景。
SpringCloud系列(26)--OpenFeign超时控制
m0_64284147的博客
05-22 608
OpenFeign超时控制
Spring ----> IOC
wuweixiaoyue的博客
05-20 934
loC是什么:控制(控制权)反转,是一种思想,Spring是其一种实现方式(具体表示为DI),下面讲解都以Spring为例子是什么控制权:这取决于实现方式,此处因为管理的是对象,所以控制权指的是【创建和拿出对象的控制权】控制权反转是什么意思:由【谁用谁创建,自给自足】,变为【由Spring帮我们统一创建】此处是BookController需要BookService对象,所以他自己创建了。
SpringBoot Validation自定义注解之校验指定最小整数
thinkers
05-21 128
1,引入核心关键依赖。
Spring Security + OAuth2】授权
weixin_43676950的博客
05-20 591
RBAC(Role-Based Access Control,基于角色的访问控制)是一种常用的数据设计方案,它将用户的权限分配和管理与角色相关联。通过对用户角色关联和角色权限关联表进行操作,可以实现灵活的权限管理和访问控制。1、用户表(User table):包含用户的基本信息,例如用户名、密码和其他身份验证信息。5、角色权限关联表(Role-Permission table):将角色与权限关联起来。4、用户角色关联表(User-Role table):将用户与角色关联起来。
spring security 整合mybatis-plus
10-23
Spring Security 是一个开的安全框架,用于保护基于Spring框架构建的应用程序。MyBatis-Plus 是基于 MyBatis 的增强工具,用于简化 MyBatis 操作和提高开发效率。 将 Spring Security 与 MyBatis-Plus 整合主要包括以下几个步骤: 1. 首先,在 Spring Boot 项目的 pom.xml 文件中添加 Spring Security 和 MyBatis-Plus 的依赖。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>latest version</version> </dependency> ``` 2. 接下来,在项目的配置文件 application.properties 或 application.yml 中配置数据库连接和 MyBatis-Plus 的相关配置。 3. 创建一个用户实体类和对应的 Mapper 接口,使用 MyBatis-Plus 提供的注解和方法完成数据访问操作。 4. 创建一个自定义的 UserDetailsService 实现类,用于从数据库中获取用户信息,实现 loadUserByUsername 方法。 5. 创建一个自定义的 PasswordEncoder 实现类,用于加密和校验用户密码。 6. 配置 Spring Security,创建一个继承自 WebSecurityConfigurerAdapter 的类,并重写 configure 方法,设置用户认证规则、登录配置和访问控制规则。 7. 在 Spring Boot 启动类上使用 @MapperScan 注解,扫描 Mapper 接口。 通过以上步骤,就可以实现 Spring Security 与 MyBatis-Plus 的整合。在实际应用中,还可以根据具体需求进行一些其他配置和扩展,例如添加角色权限控制、自定义登录页面和处理逻辑等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值