SpringSecurity中用户表单登录验证源码分析

已于 2023-04-25 14:46:25 修改
阅读量649 收藏
点赞数
分类专栏: SpringSecurity 文章标签: SpringSecurity 表单登录认证流程
于 2023-04-15 22:25:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XinShou___/article/details/130174957
版权

SpringSecurity简单介绍

Spring Security所解决的问题就是安全访问控制,安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。通过学习SpringMVC我们得知只有进入Controller的请求才会走拦截器(Interceptor),而过滤器可以过滤所有的请求,因此可以通过Filter来实现,SpringSecurity对Web资源的保护是就是靠一大串Filter实现的。

当初始化Spring Security时,会创建一个名为 SpringSecurityFilterChain 的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,其实现了javax.servlet.Filter,外部的请求都会经过此类
在这里插入图片描述
FilterChainProxy 是一个代理,真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter,同时这些Filter作为Bean被Spring管理,它们是Spring Security核心,各有各的职责,但他们并不直接处理用户的认证,也不直接处理用户的授权,而是把它们交给了身份认证管理器(AuthenticationManager)和访问决策管理器(AccessDecisionManager)进行处理,
通过上面的介绍我们知道AuthenticationManager接口的实现类里面维护了一个List<ManagerProvider>,ManagerProvider提供多种实现类,每个实现类可以有自己的身份认证方式,比如短信验证、邮箱验证、表单验证等,其中DaoAuthenticationProvier就是专门处理表单验证的
在这里插入图片描述

在这里插入图片描述

表单认证分析

在这里插入图片描述

  1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到,封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。

    在这里插入图片描述UsernamePasswordAuthenticationFilter 过滤器只负责获取登录的用户名和密码,并将其封装成一个Authentication对象,具体的用户认证由AuthenticationManager处理。
    在这里插入图片描述
    在这里插入图片描述

在这里插入图片描述
2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证
在这里插入图片描述

  1. 认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除) Authentication 实例。
  2. SecurityContextHolder 安全上下文容器将第3步填充了信息的 Authentication ,通过SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中。可以看出AuthenticationManager接口(认证管理器)是认证相关的核心接口,也是发起认证的出发点,它的实现类为ProviderManager。而Spring Security支持多种认证方式,因此ProviderManager维护着一个List 列表,存放多种认证方式,最终实际的认证工作是由AuthenticationProvider完成的。咱们知道web表单的对应的AuthenticationProvider实现类为DaoAuthenticationProvider,它的内部又维护着一个UserDetailsService负责UserDetails的获取。最终AuthenticationProvider将UserDetails填充至Authentication
    在这里插入图片描述

AuthenticationProvider接口:

在这里插入图片描述

AbstractUserDetailsAuthenticationProvider抽象类

在这里插入图片描述


	private String determineUsername(Authentication authentication) {
		return (authentication.getPrincipal() == null) ? "NONE_PROVIDED" : authentication.getName();
	}

	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				() -> this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));
		String username = determineUsername(authentication);
		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);
		if (user == null) {
			cacheWasUsed = false;
			try {
				user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
			}
			........................
			try {
				this.preAuthenticationChecks.check(user);
				additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
		}
		...................
	}

在这里插入图片描述

DaoAuthenticationProvider

在这里插入图片描述

protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			this.logger.debug("Failed to authenticate since no credentials provided");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			this.logger.debug("Failed to authenticate since password does not match stored value");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}
protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			//执行ServiceImpl中重写了UserDetailsService的loadUserByUsername()
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
}
protected UserDetailsService getUserDetailsService() {
		//获取到的实现了UserDetailsService的我们自定义的ServiceImpl对象
		return this.userDetailsService;
	}

自定义的ServiceImpl实现了UserDetailsService接口

@Service
public class UserServiceImpl implements UserService, UserDetailsService {
    @Autowired
    private UserBeanMapper userBeanMapper;


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名从数据库获取密码
        UserBean user = userBeanMapper.selectByUserName(username);
        if(null==user){
            throw new UsernameNotFoundException("用户名不存在");
        }
        //根据用户id从数据库获取用户的权限
        List<String> pers = userBeanMapper.selectPermissionCodeByUserId(user.getUserId());
        //将获取到的用户权限一个个放进List<SimpleGrantedAuthority>中
        for(String per : pers){
            user.getPermission().add(new SimpleGrantedAuthority(per));
        }
        return user;
    }

在这里插入图片描述

码农小白123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot +spring security登录表单进阶配置及原理分析
weixin_40991408的博客
05-20 588
Springboot +spring security登录表单进阶配置及原理分析
SpringSecurity以及OAuth2源码分析——实现多登录方式
a602389093的博客
07-25 1675
版权声明:本文为博主ExcelMann的原创文章,未经博主允许不得转载。 作者:ExcelMann,转载需注明。 SpringSecurity的Oauth2源码分析 我们先来看下通过Oauth2获取token的源码流程: 一、获取token的接口是/oauth/token,在TokenEndpoint类 public class TokenEndpoint extends AbstractEndpoint { @RequestMapping(value = "/oauth/token", meth
SpringSecurity5-教程1-用户名密码登录源码分析
zhouwenjun0820的博客
03-16 947
spring security
Spring Security登录认证源码分析
Charge8的博客
01-04 1388
Spring Security登录认证源码分析
Spring Security自定义用户认证
艾华生的博客
08-19 3998
Spring Security自定义用户认证Spring Boot开启Spring Security一节我们简单地搭建了一个Spring Boot + Spring Security的项目,其登录页、用户名和密码都是由Spring Security自动生成的。Spring Security支持我们自定义认证的过程,如使用自定义的登录页替换默认的登录页,用户信息的获取逻辑、登录成功或失败后的处理逻辑等。这里将在上一节的源码基础上进行改造。 配置自定义登录页 为了方便起见,我们直接在src/main/
SpringSecurity基础及源码分析
oPeiJie1的博客
02-08 381
SpringSecurity原理及源码分析
Spring Security实现记住我功能&源码分析
Charge8的博客
01-12 1920
Spring Security实现记住我功能&源码分析
SpringSecurity系列 - 05 SpringSecurity 自定义表单登录和注销登录认证
你今天真好看呀
09-11 616
index 公共资源/hello … 受保护资源 权限管理// 开启请求的权限管理 http . authorizeRequests() // 放行 /index 请求 . mvcMatchers("/index") . permitAll() // 其他所有的请求都需要去认证 // 放行的请求资源需要写在 anyRequest() 前面 . anyRequest() . authenticated() . and() // 认证方式为表单认证 . formLogin();} }
SpringSecurity从入门到源码分析
客官不爱喝酒的博客
03-21 859
security的入门到源码分析,看完后你将了解什么是security,如何在springboot应用使用,以及如何集成多端登录,他的执行流程是怎么样的?以及如何自定义权限控制,已经过滤器执行流程
浅析Spring Security登录验证流程
08-25
主要介绍了Spring Security登录验证流程源码解析,本文结合源码讲解登录验证流程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity 自定义表单登录的实现
08-25
主要介绍了SpringSecurity 自定义表单登录的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解Spring Security的HttpBasic登录验证模式
08-25
HttpBasic登录验证模式是Spring Security实现登录验证最简单的一种方式,也可以说是最简陋的一种方式,这篇文章主要介绍了Spring Security的HttpBasic登录验证模式,需要的朋友可以参考下
Spring Security 表单登录功能的实现方法
08-25
主要介绍了Spring Security 表单登录,本文将构建在之前简单的 Spring MVC示例 之上,因为这是设置Web应用程序和登录机制的必不可少的。需要的朋友可以参考下
详解使用Spring Security进行自动登录验证
08-29
本篇文章主要介绍了详解使用Spring Security进行自动登录验证,非常具有实用价值,需要的朋友可以参考下
JavaScript_构建您的第一个移动应用程序.zip
05-20
JavaScript
手机应用源码新浪微博Android客户端.rar
最新发布
05-20
手机应用源码新浪微博Android客户端.rar
俄罗斯方块项目【尚学堂·百战程序员】.zip
05-20
# 俄罗斯方块项目【尚学堂·百战程序员】 俄罗斯方块是一款经典的益智游戏,最早由俄罗斯程序员阿列克谢·帕基特诺夫于1984年开发。本项目基于【尚学堂·百战程序员】的课程内容,详细介绍如何使用JavaScript、HTML5和CSS3从零开始开发一个完整的俄罗斯方块游戏。该项目旨在帮助学习者掌握前端开发的基础知识和技能,提升编程能力。 ## 项目概述 本项目实现了经典的俄罗斯方块游戏,主要包括以下功能模块: ### 1. 游戏界面 游戏界面采用HTML5的Canvas元素进行绘制,使用CSS3进行样式设计。界面包括游戏区域、得分显示、下一个方块预览和控制按钮。通过合理的布局和美观的设计,为玩家提供良好的游戏体验。 ### 2. 方块生成与控制 游戏随机生成不同形状的方块(I、O、T、L、J、S、Z),玩家可以通过键盘控制方块的移动和旋转。具体操作包括: - 左移:按左箭头键。 - 右移:按右箭头键。 - 下移:按下箭头键。 - 旋转:按上箭头键。 ### 3. 方块下落与碰撞检测 方块自动从上到下逐行下落,速度逐渐加快。通过碰撞检测算法,判断方块是否与其他方块或底部边界
如何打造一个新品牌tbb.pptx
05-20
如何打造一个新品牌tbb.pptx
springsecurity 使用url进行用户登录验证
05-26
Spring Security,可以使用URL进行用户登录验证。以下是使用URL进行用户登录验证的基本步骤: 1. 添加Spring Security依赖 在Maven或Gradle添加Spring Security依赖。 2. 配置Spring SecuritySpring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值