第一章:Spring Security(六):Security登录的用户名和密码的校验逻辑

最新推荐文章于 2025-02-09 15:35:51 发布
原创 最新推荐文章于 2025-02-09 15:35:51 发布 · 1.9k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文详细解析了Spring Security中登录时的用户名和密码校验流程,从UsernamePasswordAuthenticationFilter过滤器开始,经过ProviderManager的authenticate方法,再到DaoAuthenticationProvider的retrieveUser方法,最终使用PasswordEncoder进行密码匹配。理解这一流程对于自定义认证逻辑至关重要。

文章目录

 

第一节:SpringSecurity(一)入门学习规划

第二节:SpringSecurity(二):SpringSecurity入门

第三节:Spring Security(三):Security中重要的几个类

第四节:Spring Security(四):Security的第一次资源访问流程

第五节:Spring Security(五):Security登陆的超简单例子

第六节:Spring Security(六):Security登录的用户名和密码的校验逻辑

上一节中,我们写了超简单的登录例子,但是所有的代码都指向了如何根据用户名获取用户,但是没有看到密码的校验逻辑,这一节,我们将介绍登录的逻辑。

 

文章目录

 

前言

登录其实也是一个请求,当请求登录逻辑时,Spring Security会走过滤器,而用户名和密码校验的逻辑刚好是UsernamePasswordAuthenticationFilter过滤器处理的,那么我们从这个类来分析整个流程的逻辑。

 

一、用户名和密码的Filter逻辑校验流程

先看下面的流程图:用户发送请求,经过UsernamePasswordAuthenticationFilter过滤器,调用父类的doFilter方法后执行authenticate方法,此方法调用ProviderManager类中的authenticate方法,该方法中会调用DaoAuthenticationProvider父类AbstractUserDetailsAuthenticationProvider中的authenticate方法,这个方法就会调用DaoAuthenticationProvider类中的retrieveUser方法,此时这里本质就是调用UserDetailsService.loadUserByUsername方法,正好和上一节对上,也是为什么我们要实现该接口,重新loadUserByUsername方法,获取到该方法返回接口后,和request中的password进行校验,通过PasswordEncoder.match方法进行校验,下面会具体详解。

 

我们走进UsernamePasswordAuthenticationFilter类,发现doFilter方法在其父类AbstractAuthenticationProcessingFilter继承过来的。

 

 具体的逻辑在UsernamePasswordAuthenticationFilter类中,找到这个类的代码

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = this.obtainUsername(request);
            username = username != null ? username : "";
            username = username.trim();
            String password = this.obtainPassword(request);
            password = password != null ? password : "";
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

 this.getAuthenticationManager()方法返回的是ProviderManager对象,调用了authenticate方法,我们继续往下走。

如上图,走到红框的地方,可以看到,provider默认是DaoAuthenticationProvider的实例对象,这里调用的是父类中继承的方法,如下图。

 

上图中,我们看到重要的两个部分,一个是retrieveUser方法,另外一个是additionalAuthenticationChecks方法;先看retrieveUser方法,底层调用的就是UserDetailsService.loadUserByUsername方法,其实就是上一节中重写的UserDetailsService接口的loadUserByUsername方法,如下图:

protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}

 第二个红框的方法如下,其实调用的就是下图红框中的密码校验规则,所以其实就是调用了PasswordEncoder类中的match方法,该方法校验的是loadUserByUsername返回的用户对象(该对象可以是内存对象,数据库对象等)中的加密密码和页面表单请求传递过来的明文密码进行校验,校验规则可以看BCryptPasswordEncoder类的源码。

看到这里,其实我们已经弄清楚了,用户登录的用户名和密码的校验过程,其实就是过滤器来做的。如果校验失败,就会抛异常,最后跳转到登录页面,如果校验成功,就会将用户信息缓存起来,并跳转到指定的访问资源。

总结

用户发送请求--》UsernamePasswordAuthenticationFilter过滤器--》调用UserDetailsService.loadUserByUsername方法--》将获得的结果通过PasswordEncoder.match方法来进行校验密码的正确性。最终我们在写代码的时候,只需要考虑重新UserDetailsService接口,在Spring的IOC容器中注入PasswordEncoder实例对象。

Spring Security 6.x 系列【14】认证篇之添加登录验证码功能
记录知识、锤炼自我
04-06 1802
验证码(全自动区分计算机人类的图灵测试)。验证码可以防止恶意破解密码刷票论坛灌水限制网络爬虫恶意注册等功能,是目前程序比较常用的功能之一,一般账号密码登录时,都需要添加验证码功能。接下来演示前后端分离环境下,如何实现登录验证码功能。
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 6914
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码存储中的密码是否匹配。对用户名密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
(三)spring Security 从数据库中检索用户名密码
young-youth的博客
03-20 5252
security 自定义校验密码加密
SpringSecurity框架中用户使用数据库中的用户密码
qq_43265564的博客
03-19 347
SpringSecurity框架的使用配置文件的书写 这篇博客中我使用框架对登录校验的账户密码是在xml文件中规定死的了 这篇我们来说一下如何结合数据库来校验 其他配置不变,改变xml文件中的配置: <!--3、配置用户信息(xml db)--> <authentication-manager> <authentication-provider user-service-ref="loadSellerAccountServce"> .
springSecurity6】用户名密码登陆校验,后台只能收到用户名字段,收不到密码pwd字段
hfssss的博客
01-23 597
用户名字段username,密码是pwd(问题就在这,跟往常password不同):前台输入用户名密码之后,后台只能接收到用户名,接收不到前台输入的密码(pwd)字段:取名尽量还是要规范,不然会导致框架识别不到这个字段的值。
springsecurity基于数据库验证用户
weixin_30832405的博客
05-09 210
之前的springsecurity程序都是将数据存放在内存中的,通过 1 <security:user-service> 2 <security:user name="user" password="user" authorities="ROLE_USER"/> 3 <security:user na...
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 是一个基于 Spring Security 框架的授权身份验证机制,提供了强大的安全功能灵活的配置选项。Oauth2.0 是一种 industry-standard 授权协议,提供了多种授权方式,例如授权码流程、...
SpringSecurity实现表单安全登录、图形验证的校验、记住我时长控制机制、第三方登录
01-30
首先,我们需要定义一个`UsernamePasswordAuthenticationFilter`,该过滤器会处理登录请求,解析用户名密码。然后,通过`AuthenticationManager`进行认证。认证失败时,SpringSecurity会自动重定向到错误页面;...
记录一次报错:spring security 403报错
最新发布
Blue的博客
02-09 1668
你好,我是Blue. 为帮助别人少走弯路而写博客!!!想看更多 那就点个关注吧 我会尽力带来有趣的内容 😎。如果你遇到了问题,自己没法解决,可以私信问我。!
SpringSecurity6.x 多种登录方式配置
qq_32681671的博客
11-29 2577
4. 配置SecurityConfiguration,把上边的两个 登录过滤器加到过滤器链中。在编写多种登录方式的时候,网上大多是5.x的,很多类都没了。以下是SpringSecurity6.x多种登录方式的写法。SpringSecurity6.x变了很多写法。2. 编写第二种登录方式-手机验证码登录。3. 编写验证码登录处理器。
spring security——工作笔记 实现自定义 AuthenticationProvider身份认证-使用不同的用户表订证登录
ourenyou的博客
06-08 1714
创建不同的数据查询入口第一种用户验证第二种用户验证先用一个接口继承再用一个类来实现. . . //通过 phone 获取用户信息,前提手机号码能定位唯一用户 public UserDetails loadUserByPhone(String phone) throws UsernameNotFoundException {//从持久层获取数据 User user = userMapper . getUserInfoByPhone(phone);
SpringSecurity自定义用户认证逻辑
洛阳城下逢公子
01-08 283
一、处理用户信息获取逻辑 用户信息的获取逻辑,在SpringSecurity中是被封装在一个接口后面的,这个接口叫UserDetailsService。这个接口中只有一个方法loadUserByUsername,接收一个String类型的参数,返回一个UserDetails对象。这个方法的作用就是根据用户在前台输入的用户名到数据集合(数据库)中去读取一个用户信息,用户信息最后被封装...
精通Spring Boot ——第十七篇:Spring Security自定义登录逻辑
weixin_33754065的博客
11-25 370
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity自定义用户认证逻辑(二)
ZhuPengWei_
12-23 3754
根据上一节的配置,默认在服务开启的时候会被要求自动的进行表单登陆。用到的用户名只能是一个固定的用户名user,它的密码是每次启动的时候服务器自动生成的。最常见的场景是我们的用户是从数据库中获取的。 处理用户信息获取逻辑/** * 自定义用户逻辑 * Created by ZhuPengWei on 2017/11/27. */ @Component public class MyUserDe
SpringSecurity-6-基于Filter实现图形验证码
zhoubangbang1的博客
03-25 995
SpringSecurity-6-基于Filter实现图形验证码SpringSecurity中有多种方式实现图像验证码,使用自定义过滤器去处理验证码逻辑是最简单的方式,只要将过滤器添加到合适的位置,当登录的时候,对验证码进行校验,成功就放行,失败则抛出异常。图形验证流程 流程图如下使用kaptcha生成图形验证码 kaptcha是谷歌提供的一款开源验证码jar包,只需简单配置就可以生成图片,源码地址:https://github.com/penggle/kaptcha添加kaptcha依赖在项目的pom.x
springsecurity自定义userService认证逻辑(springboot中)
jamenu的博客
12-17 2729
看了一下感觉这东西还挺难的,得写点什么来总结一下。 1.要启用springsecurity很简单只需要在pom.xml中添加相关依赖就行了 <dependency> <groupId>org.springframework.boot</groudId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.准备User类Role类,这里直接用JPA
SpringSecurity认证用户状态的判断
Leon_Jinhai_Sun的博客
11-16 1706
设置用户状态 用户认证业务里,我们封装User对象时,选择了三个构造参数的构造方法,其实还有另一个构造方法: public User(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> author
security配置用户登录,不含安全请求验证
qq_45786340的博客
05-08 1386
配置User类,实现UserDetails接口 @Override public String getUsername() { return username; } @Override public boolean isAccountNonExpired() { return true; } @Override...
SpringSecurity深度解析:表单登录与图形校验
本篇将详细介绍Spring Security在实现表单安全登录、图形验证的校验、记住我时长控制机制以及第三方登录方面的知识点。 ### 表单安全登录Spring Security中,表单安全登录通常是通过配置`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值