Spring Security系列-Spring Security运行机制分析(三)

最新推荐文章于 2024-07-14 22:18:32 发布
最新推荐文章于 2024-07-14 22:18:32 发布
阅读量164 收藏
点赞数
分类专栏: Spring Security java 文章标签: java spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/camel84/article/details/90355296
版权

前言

继续第三篇,这次增加了Spring Security的DaoAuthenticationProvider和UserDetailsService类,离源代码又会更近一步。

从一个小程序开始

使用DaoAuthenticationProvider类来代替上篇中自定义类SimpleAuthenticationProvider,代码如下:

public class AuthenticationExample {
	public static List<AuthenticationProvider> providers = Arrays.asList(getDaoAuthentication());
    public static AuthenticationManager am = new ProviderManager(providers);

    public static void main(String[] args) throws Exception {
        BufferedReader in = new BufferedReader(new InputStreamReader(System.in));

        while (true) {
            System.out.println("Please enter your username:");
            String name = in.readLine();
            System.out.println("Please enter your password:");
            String password = in.readLine();
            try {
                Authentication request = new UsernamePasswordAuthenticationToken(name, password);
                Authentication result = am.authenticate(request);
                SecurityContextHolder.getContext().setAuthentication(result);
                break;
            } catch (AuthenticationException e) {
                System.out.println("Authentication failed: " + e.getMessage());
            }
        }
        System.out.println("Successfully authenticated. Security context contains: " +
                SecurityContextHolder.getContext().getAuthentication());
    }

    public static AuthenticationProvider getDaoAuthentication() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
        UserDetails admin = User.withUsername("admin")
                .password(passwordEncoder.encode("123456"))
                .authorities("ROLE_USER")
                .build();
        UserDetailsService uds = new InMemoryUserDetailsManager(admin);
        provider.setPasswordEncoder(passwordEncoder);
        provider.setUserDetailsService(uds);
        return provider;
    }
}

在getDaoAuthentication方法中,还使用了UserDetails、UserDetailsService和PasswordEncoder用来读取用户信息。这里直接用代码添加的用户,而真实项目开发会从数据库中读取用户信息。

DaoAuthenticationProvider

DaoAuthenticationProvider类的源代码如下,retrieveUser方法是最关键的。通过username用来获取用户相关信息。此处用到了UserDetailsServiceo类的loadUserByUsername方法,请往下看。

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
	...
	protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}
	...
}

UserDetailsService

UserDetailsService接口中只定义了一个loadUserByUsername方法。实现接口的类主要有InMemoryUserDetailsManager和JdbcUserDetailsManager,一个是通过HashMap存储和读取用户信息列表,一个是通过读取数据库中的用户信息列表。

public interface UserDetailsService {
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

AbstractUserDetailsAuthenticationProvider

回个头再来看看DaoAuthenticationProvider类的父类AbstractUserDetailsAuthenticationProvider。下面的只展示了关键代码。

public abstract class AbstractUserDetailsAuthenticationProvider implements
		AuthenticationProvider, InitializingBean, MessageSourceAware {
    public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();
		user = retrieveUser(username,
				(UsernamePasswordAuthenticationToken) authentication);
		preAuthenticationChecks.check(user);
		additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);

		postAuthenticationChecks.check(user);
		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}

		return createSuccessAuthentication(principalToReturn, authentication, user);
	}
	protected Authentication createSuccessAuthentication(Object principal,
			Authentication authentication, UserDetails user) {
		UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(
				principal, authentication.getCredentials(),
				authoritiesMapper.mapAuthorities(user.getAuthorities()));
		result.setDetails(authentication.getDetails());

		return result;
	}
}

可以看到,这里authenticate方法,也就是我们上篇使用到的,用于用户认证。在调用authenticate方法时,就会去调用DaoAuthenticationProvider类重写的retrieveUser方法。验证成功后,createSuccessAuthentication方法就返回了一个完整的授权后的Authentication。

源代码

github源代码:https://github.com/camellibby/security-demo

马各马它
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-Security-Demo-master.zip
07-15
2. **Spring Security**:Spring SecuritySpring生态系统中的安全组件,提供了一套全面的身份验证和授权机制。它包括了用户认证、访问控制、CSRF防护、会话管理等功能,可以灵活地应用于各种类型的Web应用中。 3....
spring-security-demo.zip
08-10
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java...通过分析源代码和运行示例,你可以更好地掌握Spring Security的精髓,并将其应用于自己的项目中,提升Web应用的安全性。
Spring Security系列-Spring Security运行机制分析(一)
马各马它
05-20 375
前言 Spring Security作为Spring家族里的一个重要成员,目的是对用户认证和鉴权进行处理。用过Spring Security的人应该会觉得配置很多,运行机制很复杂,难以驾驭。下面我们从一个简单的小程序开始,慢慢的揭开Spring Security的面纱。 从一个小程序开始 下面是一个来自Spring官方的样例,代码很简单。真实情况会更加复杂,我们先从简单的开始。 public cl...
深入理解SpringSecurity的执行原理
cj1561435010的博客
04-28 375
看下过滤器链的原理: 首先分析web.xml中的如下配置: <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</f...
Spring Security核心组件之安全上下文
clyu的博客
01-03 4150
1、安全上下文 Spring Security使用接口SecurityContext抽象建模"安全上下文"这一概念。这里安全上下文SecurityContext指的是当前执行线程使用的最少量的安全信息(其实就是用于代表访问者账号的有关信息)。 public interface SecurityContext extends Serializable { Authentication getAuthentication(); void setAuthentication(Authentication au
【已解决】Spring Security中,多线程操作导致上下文丢失
lushixuan12345的博客
04-11 1416
某个功能因涉及的表比较多,想改成多线程异步操作。但是在功能实现过程中,问题出来了在登入完成后项目在请求中封装了HospitalId在请求域中,然后继承项目封装好的BaseService可以在Service层直接调用this.getHospitalId()获取值当开启多线程的时候this.getHospitalId()会报错 空指针异常正常操作是但这样还是会空指针。
史上最简单的Spring Security教程(四十一):SecurityContextHolder及SecurityContextHolderStrategy详解
银河架构师的博客
11-25 6204
如何静态的、较为方便的获取当前系统已登录的用户的信息?这恐怕就要靠 Spring Security 框架的另外一个“著名”的组件类SecurityContextHolder了。 /** * Associates a given {@link SecurityContext} with the current execution thread. */ SecurityContextHolder类最核心的作用,便是将当前给定的 SecurityContext 与 当前执行线程绑定,从而方便...
springBoot-springSecurity-OAuth2
01-16
SpringBoot、SpringSecurity和OAuth2是Java开发领域中非常重要的技术组件,它们分别在Web应用的快速开发、安全控制和授权认证方面发挥着关键作用。本文将深入探讨这些技术的结合使用,以及如何在实际项目中实现它们...
spring-security Jar包
09-21
5. **访问控制表达式(ACE)**:Spring Security 3.0 引入了访问控制表达式,允许在运行时基于表达式进行访问控制。例如,`@PreAuthorize("hasRole('ROLE_ADMIN')")`可以控制只有拥有管理员角色的用户才能执行特定...
grpc-spring-security-demo:基于Spring Boot的gRPC服务器,具有受Spring Security保护的gRPC端点
01-31
该项目演示了如何使用Spring Security的基于方法的安全性机制来保护gRPC服务。 这是一个用Java编写并基于Spring Boot构建的gRPC服务器。 它使用gRPC拦截器与Spring Security集成,并支持两种身份验证机制:...
Spring Security 的基本组件 SecurityContextHolder
Details Inside Spring
08-10 3万+
Spring Security 中最基本的组件应该是SecurityContextHolder了。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。 SecurityContextHolder的工作原理 缺省工作模式 MODE_THREADLOCAL 我们知道,一个应用同时可能有多个使用者,每个使用者对应不同的安全上下文,那么Securi...
安全认证之SecurityContextHolder
花&败
11-28 2万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
Spring Security系列-Spring Security运行机制分析(二)
马各马它
05-20 313
前言 接着上篇Spring Security系列-Spring Security运行机制分析(一) 这次,不再使用我们自定义的SampleAuthenticationManager,而使用Spring Security提供的ProviderManager来实现用户认证。 从一个小程序开始 在上篇的代码上,我进行了调整,运行结果一样。不了解的读者请看上篇Spring Security系列-Sprin...
Spring Security系列-Spring Security简单身份认证配置(一)
马各马它
04-28 400
前言 本文在SpringBoot框架下,使用SpringSecurity配置一个最基础的身份认证。 引用Spring Security组件 下面粘贴了pom.xml的关键部分,需要看到详细信息,请查看的github项目链接 <!--spring security--> <dependency> <groupId&...
Spring Security系列-Spring Security简单身份认证配置()
马各马它
05-08 456
前言 接着上篇,我们继续配置WebSecurityConfig。上一篇我们配置的是登录相关的参数,接下来再配置一下其它参数。 密码 这里我们得先确定密码的加密方式,默认会使用bcrypt对我们输入的密码进行加密,然后才会比较输入的密码和存放的密码是否一致。 我们需要在WebSecurityConfig文件中,指定加密的方式,后面使用这个加密对象,对我们的密码进行加密。 @Bean public P...
Spring Security 工作原理概览
热门推荐
江南一点雨的专栏
04-27 9万+
本文由读者 muggle 投稿,muggle 是一位具备极客精神的90后单身老实猿,对 Spring Security 有丰富的使用经验,muggle 个人博客地址是 h...
JavaSE》---6.<基础语法(Java大程序控制结构)>
最新发布
m0_73456341的博客
07-14 829
本篇博客主要讲解Java基础语法中的大结构,一种顺序结构、两大分支结构i(if-else、swich-case)、四大循环结构(while、do while、fot、foreach)
Spring Security 授权
persistence_PSH的博客
07-14 901
在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。通过 RBAC 获取到用户的具体权限后,再通过 Security 的 用户-权限-资源 来进行权限控制。HttpSecurity 权限配置。
【Go系列】 Sync并发控制
u013379032的博客
07-14 1022
在上一篇文章中,我们介绍了goroutine和channel,理论上,通过channel可以实现并发控制,但是其他语言的开发者可能更习惯一些原子操作的库。当然Go语言也会提供这样的库,所以我们今天了解一下sync库。
Spring Security权限管理实战教程
"Spring securityJava应用中广泛使用的安全框架,用于实现高级的权限管理和认证机制。本示例将深入探讨如何使用Spring security来构建一个权限管理系统。" 在Spring security实现权限管理的过程中,主要包括以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值