Spring Security账号密码认证源码解析

最新推荐文章于 2024-09-25 18:48:37 发布
最新推荐文章于 2024-09-25 18:48:37 发布
阅读量761 收藏 9
点赞数 28
分类专栏: 程序员 文章标签: spring java android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y1567409/article/details/137851180
版权

// 该接口有两个方法,该接口的实现类主要做认证的。

public interface AuthenticationProvider {

Authentication authenticate(Authentication var1) throws AuthenticationException;

// supports是用来检测该类型的认证信息是否可以被自己处理。可以被处理则调用自身的authenticate方法。

boolean supports(Class<?> var1);

}

(4)ProviderManager的authenticate()方法源码关键部分如下:

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

Class toTest = authentication.getClass();

Object lastException = null;

Authentication result = null;

boolean debug = logger.isDebugEnabled();

// 拿到全部的provider

Iterator e = this.getProviders().iterator();

// 遍历provider

while(e.hasNext()) {

AuthenticationProvider provider = (AuthenticationProvider)e.next();

// 挨着个的校验是否支持当前token

if(provider.supports(toTest)) {

if(debug) {

logger.debug("Authentication attempt using " + provider.getClass().getName());

}

try {

// 找到后直接break,并由当前provider来进行校验工作

result = provider.authenticate(authentication);

if(result != null) {

this.copyDetails(authentication, result);

break;

}

} catch (AccountStatusException var11) {

this.prepareException(var11, authentication);

throw var11;

} catch (InternalAuthenticationServiceException var12) {

this.prepareException(var12, authentication);

throw var12;

} catch (AuthenticationException var13) {

lastException = var13;

}

}

}

// 若没有一个支持,则尝试交给父类来执行

if(result == null && this.parent != null) {

try {

result = this.parent.authenticate(authentication);

} catch (ProviderNotFoundException var9) {

;

} catch (AuthenticationException var10) {

lastException = var10;

}

}

}

其中会遍历调用AuthenticationProvider实现类对象的supports方法,如果方法返回true,则调用AuthenticationProvider实现类对象的authenticate()方法,该方法是用来进行认证的。

如果该ProviderManager的List providers都无法处理,则会调用该ProviderManager的AuthenticationManager parent的authenticate方法,流程一样。

4.AuthenticationManager对象的authenticate方法中调用AuthenticationProvider接口实现类DaoAuthenticationProvider的authenticate方法

**(1) DaoAuthenticationProvider **

对于我们前面封装的UsernamePasswordAuthenticationToken 对象,它的认证处理可以被DaoAuthenticationProvider类进行认证。

DaoAuthenticationProvider类中其实没有定义authenticate方法,它是继承了父类AbstractUserDetailsAuthenticationProvider中的authenticate方法。

AbstractUserDetailsAuthenticationProvider的authenticate()方法源码如下:

// 实现了AuthenticationProvider接口

public abstract class AbstractUserDetailsAuthenticationProvider implements AuthenticationProvider, InitializingBean, MessageSourceAware {

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, this.messages.getMessage(“AbstractUserDetailsAuthenticationProvider.onlySupports”, “Only UsernamePasswordAuthenticationToken is supported”));

String username = authentication.getPrincipal() == null?“NONE_PROVIDED”:authentication.getName();

boolean cacheWasUsed = true;

UserDetails user = this.userCache.getUserFromCache(username);

if(user == null) {

cacheWasUsed = false;

try {

// 调用自类retrieveUser

user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

} catch (UsernameNotFoundException var6) {

this.logger.debug(“User '” + username + “’ not found”);

if(this.hideUserNotFoundExceptions) {

throw new BadCredentialsException(this.messages.getMessage(“AbstractUserDetailsAuthenticationProvider.badCredentials”, “Bad credentials”));

}

throw var6;

}

Assert.notNull(user, “retrieveUser returned null - a violation of the interface contract”);

}

try {

/*

  • 前检查由DefaultPreAuthenticationChecks类实现(主要判断当前用户是否锁定,过期,冻结

  • User接口)

*/

this.preAuthenticationChecks.check(user);

// 子类具体实现

this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);

} catch (AuthenticationException var7) {

if(!cacheWasUsed) {

throw var7;

}

cacheWasUsed = false;

user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

this.preAuthenticationChecks.check(user);

this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);

}

// 检测用户密码是否过期

this.postAuthenticationChecks.check(user);

if(!cacheWasUsed) {

this.userCache.putUserInCache(user);

}

Object principalToReturn = user;

if(this.forcePrincipalAsString) {

principalToReturn = user.getUsername();

}

return this.createSuccessAuthentication(principalToReturn, authentication, user);

}

}

(2)在该方法中,调用了自身的retrieveUser方法,该方法在DaoAuthenticationProvider中,源码如下:

在这里插入图片描述

该方法首先调用UserDetailsService接口中的loadUserByUsername方法获得数据库或者内存等地方保存的用户信息,所以可以通过实现该接口,可以自定义设置用户信息的来源。

然后将获得到的密码和请求的密码进行比对,如果相同,则方法获取到的用户信息。接着做一些安全检查之类的:

this.preAuthenticationChecks.check(user);

// 子类具体实现

this.additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken)authentication);

this.postAuthenticationChecks.check(user);

最后该方法返回

return createSuccessAuthentication(principalToReturn, authentication, user);

createSuccessAuthentication方法中调用UsernamePasswordAuthenticationToken的另一个构造器,该构造器会生成具有用户权限和验证通过标识的UsernamePasswordAuthenticationToken类的对象。

5.最后返回到UsernamePasswordAuthenticationFilter的doFilter方法中

二、流程总结

=====================================================================

(1)UsernamePasswordAuthenticationFilter的doFilter()方法

(2)UsernamePasswordAuthenticationFilter的attemptAuthentication()方法

在该方法中主要生成了未通过验证的Authentication接口的实现类UsernamePasswordAuthenticationToken 对象。

(3)AuthenticationManager实现类ProviderManager的authenticate()方法

该方法主要通过轮询判断AuthenticationProvider接口实现类DaoAuthenticationProvider能否认证UsernamePasswordAuthenticationToken 对象,

(4)AuthenticationProvider接口实现类DaoAuthenticationProvider的authenticate()方法

该方法主要调用retrieveUser()进行密码判断,对密码正确后的用户信息进行一些其他的安全判断,并最后生通过验证的Authentication接口的实现类UsernamePasswordAuthenticationToken 对象。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)

img

总目录展示

该笔记共八个节点(由浅入深),分为三大模块。

高性能。 秒杀涉及大量的并发读和并发写,因此支持高并发访问这点非常关键。该笔记将从设计数据的动静分离方案、热点的发现与隔离、请求的削峰与分层过滤、服务端的极致优化这4个方面重点介绍。

一致性。 秒杀中商品减库存的实现方式同样关键。可想而知,有限数量的商品在同一时刻被很多倍的请求同时来减库存,减库存又分为“拍下减库存”“付款减库存”以及预扣等几种,在大并发更新的过程中都要保证数据的准确性,其难度可想而知。因此,将用一个节点来专门讲解如何设计秒杀减库存方案。

高可用。 虽然介绍了很多极致的优化思路,但现实中总难免出现一些我们考虑不到的情况,所以要保证系统的高可用和正确性,还要设计一个PlanB来兜底,以便在最坏情况发生时仍然能够从容应对。笔记的最后,将带你思考可以从哪些环节来设计兜底方案。

篇幅有限,无法一个模块一个模块详细的展示(这些要点都收集在了这份《高并发秒杀顶级教程》里),麻烦各位转发一下(可以帮助更多的人看到哟!)

由于内容太多,这里只截取部分的内容。
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
和正确性,还要设计一个PlanB来兜底,以便在最坏情况发生时仍然能够从容应对。笔记的最后,将带你思考可以从哪些环节来设计兜底方案。

篇幅有限,无法一个模块一个模块详细的展示(这些要点都收集在了这份《高并发秒杀顶级教程》里),麻烦各位转发一下(可以帮助更多的人看到哟!)

[外链图片转存中…(img-MVWiPicv-1713303146325)]

[外链图片转存中…(img-D1hnXcQX-1713303146325)]

由于内容太多,这里只截取部分的内容。
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!

认证篇:Spring Security 表单登录认证源码解析
小奇学编程的博客
09-26 540
认证(二):表单登录的源码解析 原理讲解 接上回分解,上回我们聊到了《基于表单登录的认证模式》【todo: 这里做一个文章的超链接】,正所谓:“知其然,然后知其所以然”;就让我们来一探究竟,瞅瞅 Spring Security到底是怎么实现表单登录的。 首先我们先来回顾一下上篇文章我们制作的 Spring Security的表单认证的流程图: 从流程图中我们可以简单的了解到,整个认证流程大致上分为3个模块: 登录信息的封装 认证 收尾处理(成功&失败处理) 核心模块为 认证模块,
spring-security-oauth2详细配置demo
09-30
spring-security-oauth2详细配置demo 配套说明 https://blog.csdn.net/tiancxz/article/details/108856337
Spring Security基本源码解析(超精细版)
边走、边悟、迟早变好
06-28 948
Spring 是非常流行和成功的 Java 应用开发框架, Spring Security 正是 Spring 家族中的 成员。 Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。
Spring Security 认证
qq_41860765的博客
03-10 789
目前我们测试通过OAuth2的密码模式,用户认证会提交账号和密码,由DaoAuthenticationProvider调用UserDetailsService的loadUserByUsername()方法获取UserDetails用户信息。我们可以在loadUserByUsername()方法上作文章,将用户原来提交的账号数据改为提交json数据,json数据可以扩展不同认证方式所提交的各种参数。有了这些认证参数我们可以定义一个认证Service接口去进行各种方式的认证。定义认证Service 接口。
Spring Security重写验证密码-前端传入加密过后的密码
Java_Scholar0的博客
07-25 2549
SpringSecurity重写验证密码-前端传入加密过后的密码。
SpringSecurity入门4---自定义登录认证实现图形验证码
Anntly的博客
04-06 673
代码地址 在上文中基于过滤器实现了图形验证码的操作,这次我们深入研究一下自定义登录认证,并基于自定义登录认证来完成图形验证码的验证操作。 AuthenticationSpringSecurity中将用户权限、其他系统和设备等包装成为了一个接口 public interface Authentication extends Principal, Serializable { // 权限列表 ...
SpringSecurity-用户认证
最新发布
2302_76552486的博客
09-25 1592
SpringSecurity实现用户认证过程
SpringSecurity+JWT认证流程解析
CXY_QIQI的博客
05-14 1333
楔子 本文适合:对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学,对SpringSecurity有兴趣的也可以当作你们的入门教程,示例代码中也有很多注释。 大家在做系统的时候,一般做的第一个模块就是认证与授权模块,因为这是一个系统的入口,也是一个系统最重要最基础的一环,在认证与授权服务设计搭建好了之后,剩下的模块才得以安全访问。 市面上一般做认证授权的框架就是shiro和Spring Security,也有大部分公司选择自己研制。出于之前看过很多Spring .
spring security 自定义验证
09-12 3544
最近做项目遇到一个棘手的问题, 项目是用spring security来控制权限的,这个框架有一套他自己的验证, 现在项目的要求是除了去数据库验证之外还要调用OA系统验证用户名和密码,就是在原来的基础上多加一层验证 而且密码不是要加密的,要原文传过去 public UserDetails loadUserByUseraccount(String useraccount); 由于这个方法只
Spring Security认证流程分析(6)
weixin_43831002的博客
08-04 1671
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:图 3-3图中显示的流程是一个通用的架构。...
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7788
实现SpringSecurity自定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
SpringSecurity认证流程详解
WGH100817的博客
06-14 109
SpringSecurity基本原理 在之前的文章《SpringBoot + Spring Security 基本使用及个性化登录配置》中对SpringSecurity进行了简单的使用介绍,基本上都是对于接口的介绍以及功能的实现。 这一篇文章尝试从源码的...
(原创)Spring security用户验证机制浅谈.
热门推荐
d7011800的专栏
03-19 3万+
1.  首先CustomUserDetailsService需要实现UserDetailsService(org.springframework.security.core.userdetails.UserDetailsService)接口, 实现获取用户Detail信息的回调函数. 必须要实现的方法是loadUserByUsername 注意: 这里的user类必须继承userDetail
SpringSecurity登录认证流程
weixin_52353216的博客
11-07 2570
springsecurity的登录认证流程及对源码的一些解读
深入理解SpringSecurity中的Authentication信息与登录流程和过滤器的配置:addFilterBefore
m0_71777195的博客
07-06 2700
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。
Spring Security(1)
xbcai1的博客
04-23 1142
Spring SecurityAuthenticationManager,AuthenticationManagerBuilder,userDetailsService,ProviderManager
UsernamePasswordAuthenticationToken使用
码字不易,大家的支持就是我坚持下去的动力
03-02 1万+
Spring Security 中用于封装用户名密码认证信息的一个类,它实现了接口,用于表示一个认证请求。
springsecurity密码验证原理概括
issac的博客
11-22 8258
密码验证过程 1.UsernamePasswordAuthenticationFilter 从UsernamePasswordAuthenticationFilter断点进入,此处的返回值是一个方法**getAuthenticationManager().authenticate(authRequest)**的返回值,而传入的参数正是在表单中输入的账户密码进行封装之后的结果,主要进入authentication(authRequest)中进行探索。 2.ProviderManager 进入getAuthe
微服务架构用户认证实战:SpringSecurity Oauth2 & JWT 源码解析
它包括讲义、源码和视频,旨在帮助开发者深入理解用户认证的需求分析和技术实现,特别强调了Spring Security Oauth2和JWT(JSON Web Tokens)的应用。 在用户认证需求分析部分,首先需要理解用户认证与授权的基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值