spring security 认证与授权下篇

最新推荐文章于 2024-02-12 19:01:35 发布
置顶 最新推荐文章于 2024-02-12 19:01:35 发布
阅读量719 收藏
点赞数 1
分类专栏: spring security 文章标签: spring security 认证 授权 源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c1523456/article/details/94355277
版权

上篇回顾

匿名用户经过  匿名访问过滤器 将会在contextHolder中存储一个匿名认证,经过异常处理拦截器,经过权限校验拦截器,由于是匿名认证所以权限管理器通过投票器校验失败,抛出权限校验异常,异常处理拦截器处理调用认证切入点重定向到/login 路径下,如果您已经理解了就可以在继续往下看了。如果没有还请您进行断点调试
 

匿名访问经过的第四个待分析的拦截器DefaultLoginPageGeneratingFilter

 

这个过滤器的实现就比较简单,就是判断当前路径是不是/login  如果是,就调用 response 输出一个登陆页面

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		boolean loginError = isErrorPage(request);
		boolean logoutSuccess = isLogoutSuccess(request);
        //如果是/login /login?error 或是登出的话返回登录页面
		if (isLoginUrlRequest(request) || loginError || logoutSuccess) {
			String loginPageHtml = generateLoginPageHtml(request, loginError,
					logoutSuccess);
			response.setContentType("text/html;charset=UTF-8");
			response.setContentLength(loginPageHtml.getBytes(StandardCharsets.UTF_8).length);
			response.getWriter().write(loginPageHtml);

			return;
		}

		chain.doFilter(request, response);
	}

这样就返回了登录页面

匿名访问经过的第四个待分析的拦截器UsernamePasswordAuthenticationFilter

当提交登录后就到这个过滤器进行处理,该过滤器捕获/login method 为 post ,大致流程为调用 AuthenticationManager的provider进行认证,provider调用userDetailsService进行用户数据的读取返回给provider ,provider 将密码使用编码器进行编码后校验如果成功就返回认证过得,失败抛异常,AuthenticationManager的默认实现类为ProviderManager,provider的默认实现类为DaoAuthenticationProvider,UserDetailsService可以简单看一下JdbcDaoImpl,实现过程较简单,读者可以自行阅读

public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		

		String username = obtainUsername(request);
		String password = obtainPassword(request);
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		setDetails(request, authRequest);
//调用 AuthenticationManager的provider进行认证,provider调用userDetailsService进行用户数据的读取返回给provider ,provider 将密码使用编码器进行编码后校验如果成功就返回认证过得,失败抛异常
		return this.getAuthenticationManager().authenticate(authRequest);
	}

此处是一个模板设计模式,父类完成核心逻辑的实现,将认证过程交给子类实现,父类核心代码分析:

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
		implements ApplicationEventPublisherAware, MessageSourceAware {
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		
		Authentication authResult;
		try {
            //模板设计模式,交给子类实现
			authResult = attemptAuthentication(request, response);
			if (authResult == null) {
				return;
			}

		    //session固话攻击和并发控制策略
			sessionStrategy.onAuthentication(authResult, request, response);
		}
		catch (InternalAuthenticationServiceException failed) {
			//认证失败
			unsuccessfulAuthentication(request, response, failed);

			return;
		}
		catch (AuthenticationException failed) {
			
			unsuccessfulAuthentication(request, response, failed);

			return;
		}

		// Authentication success
		if (continueChainBeforeSuccessfulAuthentication) {
			chain.doFilter(request, response);
		}
        //认证成功
		successfulAuthentication(request, response, chain, authResult);
	}
}

此处有两点需要查看就是认证成功做了什么,认证失败又做了什么?

protected void successfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, Authentication authResult)
			throws IOException, ServletException {
        //将认证放入context中
		SecurityContextHolder.getContext().setAuthentication(authResult);
        //记住我
		rememberMeServices.loginSuccess(request, response, authResult);
        //成功处理器,默认为SavedRequestAwareAuthenticationSuccessHandler
		successHandler.onAuthenticationSuccess(request, response, authResult);
	}



//
//SavedRequestAwareAuthenticationSuccessHandler核心逻辑
@Override
	public void onAuthenticationSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication authentication)
			throws ServletException, IOException {
        //这在异常处理过滤器中将请求的路径存了进行,以实现源路径的跳转
		SavedRequest savedRequest = requestCache.getRequest(request, response);
		getRedirectStrategy().sendRedirect(request, response, targetUrl);
	}

失败做了什么呢?

失败简单的调用了 rememberMeServices.loginfailes()

认证访问经过的拦截器LogoutFilter

 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        if (this.requiresLogout(request, response)) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
             //核心代码,有一系列的handler 比如CsrfLogoutHandler 
             //SecurityContextLogoutHandler
             //及记住我的service等,这也体现了架构的整体性与灵活性
            this.handler.logout(request, response, auth);
            this.logoutSuccessHandler.onLogoutSuccess(request, response, auth);
        } else {
            chain.doFilter(request, response);
        }
    }

总结

好了,到此为止认证与授权的全部全部内容就完结了,剩下 记住我,session 固话攻击和并发讲完,spring security就彻底完结了

现在总结一下组件:

  • SecurityContextHolder
  • SecurityContext
  • Authentication
  • GrantedAuthority
  • UserDetails
  • AuthenticationManager
  • ProviderManager 
  • AuthenticationProvider 
  • UserDetailsService
  • AccessDecisionManager
  • 投票器
  • 认证切入点等

  • 下面介绍一下默认的全部拦截器:
  • ChannelProcessingFilter
  • SecurityContextPersistenceFilter
  • ConcurrentSessionFilter
  • Authentication processing mechanisms - UsernamePasswordAuthenticationFilterCasAuthenticationFilterBasicAuthenticationFilter 
  • SecurityContextHolderAwareRequestFilter
  • RememberMeAuthenticationFilter
  • AnonymousAuthenticationFilter
  • ExceptionTranslationFilter
  • FilterSecurityInterceptor
奋斗的小面包
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列【28】授权服务器篇之Spring Authorization Server 1.0 入门案例
记录知识、锤炼自我
04-25 5999
在前几篇文档中,我们学习了OAuth 2.0协议,并使用完成了基于授权码模式的第三方平台登录功能。OAuth 2.0中的四大角色,原生框架已经帮我们实现了资源所有者、客户端、资源服务器,那么Spring是否提供了授权服务器的实现呢?在OAuth 1.0时代,Spring组织已经开始开发基于对OAuth的支持,该框架就是。其实现了大部分的OAuth规范,并提供了资源服务器、客户端和授权服务器。
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
Spring Security认证授权
play_big_knife的博客
12-20 949
Spring SecuritySpring cloud的认证授权的模块之一。认证授权也是开发中安全的必要形式,有了安全,才能更好地保证项目的运行。
Spring Security中的认证授权
qq_44113347的博客
04-01 182
认证(Authentication)是确认用户的身份信息是否正确,通常需要用户提供用户名和密码。Spring Security支持多种认证方式,包括基于表单的认证、基于HTTP基本认证、OAuth2认证等。Spring Security支持多种授权方式,包括基于角色的访问控制、基于权限的访问控制、表达式授权等。在Spring Security中,可以使用配置类来配置认证授权规则,也可以使用注解来配置。是一个配置适配器,可以继承该类来实现自定义配置。注解用于启用Web安全配置,
SpringSecurity】-- 认证授权
qq_46656857的博客
12-10 727
SpringSecurity
Spring Security认证授权(1)
weixin_43831002的博客
08-02 2003
Shiro本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务时代,Shiro就显得力不从心了,在微服务面前,它无法充分展示自己的优势。也有开发者选择自己实现安全管理,这一部分人不在少数,但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑各种各样可能存在的网络攻击以及防御策略,从这个角度来说,开发者自己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。...
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1008
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1557
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
SpringSecurity(1)---认证+授权代码实现
weixin_44096353的博客
08-08 1023
安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 市面上存在比
spring security认证授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.csdn.net/u014572215/article/details/80309161
Spring security认证授权(二)源代码
03-24
Spring security认证授权(二)
Spring Security基本框架之认证授权
大后生大大大的博客
11-11 915
Authentication、AuthenticationManager、AuthenticationProvider、ProviderManager、AccessDecisionMamager、AccessDecisionVoter
SpringSecurity 授权认证
m0_57479908的博客
12-20 260
springsecurity 是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 它的底层是一个过滤器链。 它自带登录页和退出页,下面的配置中,我设置了默认登录页用自定义的登录页。 首先导入依赖jar包 <!-- Spring security 用户认证授权--> <dependency> <groupId>org.springframework.boot</g...
Spring Security 认证授权详解
共勉
05-03 4522
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。在对与安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring Security 认证授权
快乐的小三菊的博客
12-15 2115
springSecurity认证授权
Spring Security 认证授权
Voryla的博客
11-21 3106
Spring Security 认证授权 1. 基本概念 1.1 什么是认证 ​ **认证(what):**认证就是判断一个用户身份是否合法的过程。当用户某项资源时,需要验证他的身份信息,身份合法能够访问资源,身份不合法不允许访问资源。 ​ **为什么需要认证(Why)????*认证的必要性存在于两个方面,其一:保护用户的数据、隐私安全;其二:保护服务器减少被攻击的概率。 ​ **认证的方式(Who):**账号密码认证,指纹认证,手机短信认证,人脸认证。 1.2 什么是会话 ​ **会话:**
Spring Security实现权限认证授权
最新发布
b2105859的博客
02-12 1811
Spring Security实现认证授权
SpringSecurity新手入门:认证授权与自定义登录详解
本文档是一篇新手入门指南,介绍了如何在Spring Security框架中进行认证授权的基本配置。作者在学习Spring框架的过程中,关注了Spring Boot对Security的自动配置,并强调了在实际项目中如何逐步搭建和定制Security...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值