springSecurity---AuthenticationProvider解析

最新推荐文章于 2024-05-14 14:36:38 发布
最新推荐文章于 2024-05-14 14:36:38 发布
阅读量5.9k 收藏 9
点赞数 4
分类专栏: spring-security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chihaihai/article/details/104840650
版权

首先进入到AuthenticationProvider源码中可以看到它只是个简单的接口里面也只有两个方法:

public interface AuthenticationProvider {
	// 具体认证流程
	Authentication authenticate(Authentication authentication)
			throws AuthenticationException;	
    // supports函数用来指明该Provider是否适用于该类型的认证,如果不合适,则寻找另一个Provider进行验证处理。	
	boolean supports(Class<?> authentication);
}

AuthenticationProvider是用户自定义身份认证,认证流程顶级接口。唯一作用即使用来进行身份验证,同时springSecurity也为我们提供了很多方便的实现类。
在这里插入图片描述
当我们没有指定相关AuthenticationProvider 对象时springSecurity默认使用的就时上图中的DaoAuthenticationProvider进行验证。也就是最常见的账户名密码的方式。但是实际开发中我们往往需要实现自定义认证流程比如最常见的短信验证码,第三方登录等等。这个时候我们就可以通过实现自己的 AuthenticationProvider方式来进行自定义认证。只需要在WebSecurityConfigurerAdapter适配器类的config方法中加入自己实现的AuthenticationProvider 即可。

 @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(authenticationProvider());
    }

说到AuthenticationProvider就离不开AuthenticationManager这个接口

public interface AuthenticationManager {
	Authentication authenticate(Authentication authentication)
			throws AuthenticationException;
}

同样的AuthenticationManager也是一个顶级接口,可以看到它其中也定义了一个跟AuthenticationProvider一摸一样的方法。如果说Auth ntic ationProvider是对认证的具体实现,则AuthenticationManager则是对我们众多AuthenticationProvider的一个统一管理。Authentication Ma nager的实现有很多,通常使用ProviderManager对认证请求链进行管理。
在这里插入图片描述
从源码中可以看到,ProviderManager提供了一个list对AuthenticationProvider进行统一管理,即一个认证处理器链来支持同一个应用中的多个不同身份认证机制,ProviderManager将会根据顺序来进行验证。

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		boolean debug = logger.isDebugEnabled();

		for (AuthenticationProvider provider : getProviders()) {
			// 如果支持认证实现类就继续处理
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
			  // 调用实现类的authenticate方法进行真实业务逻辑认证处理
				result = provider.authenticate(authentication);

				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result == null && parent != null) {
			// Allow the parent to try.
			try {
				result = parentResult = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = parentException = e;
			}
		}

		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			// If the parent AuthenticationManager was attempted and successful than it will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
			if (parentResult == null) {
			  //  //发送认证成功事件
				eventPublisher.publishAuthenticationSuccess(result);
			}
			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		// If the parent AuthenticationManager was attempted and failed than it will publish an AbstractAuthenticationFailureEvent
		// This check prevents a duplicate AbstractAuthenticationFailureEvent if the parent AuthenticationManager already published it
		if (parentException == null) {
			prepareException(lastException, authentication);
		}

		throw lastException;
	}
chihaihai
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security实现自定义登录认证.rar
05-21
集成Spring Security时,你需要定义一个TokenProvider,负责生成和解析JWT。然后,在登录成功后,返回JWT作为响应,后续请求则通过携带此JWT来验证用户身份。 7. **配置JWT过滤器**:创建一个`JwtRequestFilter`,...
spring-security-examples
03-06
在"spring-security-examples"中,你可以看到如何配置和实现这些认证机制,以及如何自定义AuthenticationProvider来处理自定义的认证逻辑。 5. **授权与访问控制** 权限控制是Spring Security的关键部分,它允许...
详解spring security 配置多个AuthenticationProvider
08-30
主要介绍了详解spring security 配置多个AuthenticationProvider ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security : 概念模型 AuthenticationProvider 认证提供者
Details Inside Spring
05-14 681
Spring SecurityAuthenticationProvider接口抽象建模了认证提供者这一概念,某个认证提供者能认证符合某种特征的认证令牌AuthenticationSpring Security针对常见的一些场景提供了AuthenticationProvider实现,比如RemoteAuthenticationProvider,DaoAuthenticationProvider...
SpringSecurity6 多种登录方式配置自定义Provider不生效问题
最新发布
zzc23333的博客
05-14 266
这里面会判断是否AuthenticationManager是否已经存在,没有的话会去 Ioc容器里读取并且读取全局配置等,这里面authBuilder.build()里会默认提供一个DaoAuthenrizationProvider,但是没有读取到我们自己定义的Provirder。注: 上面在过滤器链中使用,http.authenticationProvider()的方式,在论坛中也有很多人使用这种方式,但是我不知道为啥我是失效的,待我研究debug会。因为以前也没有配置过多种验证方式,就一直这么配置了。
Spring Security6.x认证模块核心——AuthenticationProvider解析
coder184的博客
03-03 2096
略一、模块核心结构展示如果你了解Java web相关开发技术,经过这系列博文介绍,你会对Spring Security的认证模块有一个更全面的了解,对你在公司中实际运用Spring Security会有一个直接的帮助;后续会继续补充介绍该模块的内容(包括直观的代码教程等),以及最重要的,接下来会加入授权和oauth2.0这两个重要模块的内容,完善Spring Security整个体系的介绍。
Spring Security 自定义 AuthenticationProvider无法@Autowired问题
zb313982521的博客
02-20 3981
Spring Security 自定义 AuthenticationProvider无法@Autowired问题 在AuthenticationProvider中使用@Autowired注入时始终报Null问题 找了半天发现应该在SecurityConfig配置类中 @EnableWebSecurity public class SecurityConfig extends WebSecu...
Spring Security Authentication Provider
neweastsun的专栏
04-05 4818
Spring Security Authentication Provider 介绍 本文介绍spring security如何相比简单的UserDetailService上实现灵活的认证。 Authentication Provider spring security提供了多种执行认证方式,但都遵循一个简单的约定——AuthenticationProvider处理认证请求,然后返回授信...
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(一)
半斤米粉闯天下的博客
08-27 9571
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
spring-security-demo
03-25
Spring Security 框架深度解析与实战指南》 在当今的互联网开发中,安全问题始终是不容忽视的重要环节。Spring Security作为Java生态系统中的顶级安全框架,为开发者提供了全面、强大的安全解决方案。本文将深入...
spring-security-3.0.8
07-05
Spring Security 3.0.8:企业级安全框架的深度解析Spring SecurityJava领域内广泛应用的企业级安全框架,其3.0.8版本是该系列的一个重要里程碑。这个版本提供了丰富的功能,旨在帮助开发者构建安全、可扩展...
spring-security-3.1.0.RELEASE
12-29
Spring Security 3.1.0.RELEASE:企业级安全框架深度解析Spring SecurityJava平台上广泛使用的安全框架,其3.1.0.RELEASE版本是该框架的一个重要里程碑,为开发者提供了全面的安全控制,从Web应用到企业级...
date字段 http 头文件_详解HTTP协议
weixin_32448581的博客
01-01 827
详解HTTP协议日常的web开发过程中,以及其他的开发中,接触到最多的网络交互协议就是http协议,而http协议基于tcp的二度封装协议,既然http协议如此重要,那么我们就开始系统的对http协议进行扫盲学习吧请求/响应模型http属于请求/响应模型,从某种意义上来说,Http协议永远都是客户端发起请求,由服务器端接受请求处理并返回响应报文。如果没有客户端发送请求到服务端,那么服务端...
spring security自定义登录增加为短信验证码校验实战
qq_32918041的博客
07-29 505
辛苦搞了2周终于搞出来了!遇到各种问题百度各中资料,各种尝试终于不辜负啊。 主要功能:用户输入用户名、密码、短信验证码,后台校验用户名、密码和手机验证码后登录成功。 技术栈:使用spring security框架搭建饼继承 (我没有使用xml配置模式看别人有用xml文件配置的,应该是异曲同工吧) 不多废话,正文附源码,疑问可评论。 1.继承WebSecurityConfigureAdapter的类:WebApplicationSecurityConfig 网上这个类的说明一抓一大把我也就是照猫画虎的本事,
SpringSecurity系列 - 03 SpringSecurity 的默认认证数据源是什么?
你今天真好看呀
09-10 465
/ 先从缓存中获取认证成功的UserDeails对象 UserDetails user = this . userCache . getUserFromCache(username);// 如果缓存中不存在 if(user == null) {try {// 从数据源中获取 user = retrieveUser(username ,(UsernamePasswordAuthenticationToken) authentication);
Spring SecurityAuthenticationManager、ProviderManager、AuthenticationProvider用户认证源码分析
OceanSky的专栏
08-07 6191
Spring SecurityAuthenticationManager、ProviderManager、AuthenticationProvider用户认证源码分析 AuthenticationManager类源码解析 public interface AuthenticationManager { Authentication authenticate(Authentication aut...
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
热门推荐
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
springsecurity整合jwt的代码
09-25
### 回答1: Spring Security 可以通过使用 JWT(JSON Web Token)来实现身份验证和授权。要整合 Spring Security 与 JWT,可以使用 Spring Security 提供的模块Spring Security JWT,并编写相应的代码实现。 ### 回答2: springsecurity整合jwt的代码,主要包含以下几个方面的实现: 1. 导入相关依赖: 在Maven项目中,需要在pom.xml文件中添加相应的依赖,包括spring-security-core、spring-security-web、spring-security-config、jjwt等。 2. 创建JwtTokenUtil类: 定义一个JwtTokenUtil类,该类负责生成和解析JWT令牌,并提供一些辅助方法。其中,生成JWT令牌的方法需要使用jjwt库。 3. 创建JwtAuthenticationToken类: 自定义一个JwtAuthenticationToken类,继承自UsernamePasswordAuthenticationToken,用于存储从JWT令牌中解析出的用户信息。 4. 创建JwtAuthenticationFilter类: 自定义一个JwtAuthenticationFilter类,继承自OncePerRequestFilter,用于拦截请求,并对JWT进行验证和解析。 5. 创建JwtAuthenticationProvider类: 自定义一个JwtAuthenticationProvider类,实现AuthenticationProvider接口,用于验证从JWT中解析出的用户信息。 6. 配置Spring Security: 在Spring Security的配置类中,通过继承WebSecurityConfigurerAdapter类,并重写configure方法来配置Spring Security的一些行为。其中,需要自定义的是configure方法,配置过程中需要配置JwtAuthenticationFilter和JwtAuthenticationProvider。同时,还需要配置用户登录验证的方式以及权限控制规则。 7. 创建登录认证请求的接口: 创建登录认证请求的接口,该接口负责验证用户账号密码,并生成JWT令牌返回给用户。 以上是springsecurity整合jwt的代码实现步骤,其中包含了相关的类和依赖的设置。具体的代码实现细节可以根据具体需求进行相应修改和完善。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值