springSecurity---AuthenticationProvider解析

最新推荐文章于 2024-07-31 19:38:21 发布
最新推荐文章于 2024-07-31 19:38:21 发布
阅读量5.9k 收藏 9
点赞数 4
分类专栏: spring-security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chihaihai/article/details/104840650
版权

首先进入到AuthenticationProvider源码中可以看到它只是个简单的接口里面也只有两个方法:

public interface AuthenticationProvider {
	// 具体认证流程
	Authentication authenticate(Authentication authentication)
			throws AuthenticationException;	
    // supports函数用来指明该Provider是否适用于该类型的认证,如果不合适,则寻找另一个Provider进行验证处理。	
	boolean supports(Class<?> authentication);
}

AuthenticationProvider是用户自定义身份认证,认证流程顶级接口。唯一作用即使用来进行身份验证,同时springSecurity也为我们提供了很多方便的实现类。
在这里插入图片描述
当我们没有指定相关AuthenticationProvider 对象时springSecurity默认使用的就时上图中的DaoAuthenticationProvider进行验证。也就是最常见的账户名密码的方式。但是实际开发中我们往往需要实现自定义认证流程比如最常见的短信验证码,第三方登录等等。这个时候我们就可以通过实现自己的 AuthenticationProvider方式来进行自定义认证。只需要在WebSecurityConfigurerAdapter适配器类的config方法中加入自己实现的AuthenticationProvider 即可。

 @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(authenticationProvider());
    }

说到AuthenticationProvider就离不开AuthenticationManager这个接口

public interface AuthenticationManager {
	Authentication authenticate(Authentication authentication)
			throws AuthenticationException;
}

同样的AuthenticationManager也是一个顶级接口,可以看到它其中也定义了一个跟AuthenticationProvider一摸一样的方法。如果说Auth ntic ationProvider是对认证的具体实现,则AuthenticationManager则是对我们众多AuthenticationProvider的一个统一管理。Authentication Ma nager的实现有很多,通常使用ProviderManager对认证请求链进行管理。
在这里插入图片描述
从源码中可以看到,ProviderManager提供了一个list对AuthenticationProvider进行统一管理,即一个认证处理器链来支持同一个应用中的多个不同身份认证机制,ProviderManager将会根据顺序来进行验证。

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		boolean debug = logger.isDebugEnabled();

		for (AuthenticationProvider provider : getProviders()) {
			// 如果支持认证实现类就继续处理
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
			  // 调用实现类的authenticate方法进行真实业务逻辑认证处理
				result = provider.authenticate(authentication);

				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result == null && parent != null) {
			// Allow the parent to try.
			try {
				result = parentResult = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = parentException = e;
			}
		}

		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			// If the parent AuthenticationManager was attempted and successful than it will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
			if (parentResult == null) {
			  //  //发送认证成功事件
				eventPublisher.publishAuthenticationSuccess(result);
			}
			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		// If the parent AuthenticationManager was attempted and failed than it will publish an AbstractAuthenticationFailureEvent
		// This check prevents a duplicate AbstractAuthenticationFailureEvent if the parent AuthenticationManager already published it
		if (parentException == null) {
			prepareException(lastException, authentication);
		}

		throw lastException;
	}
chihaihai
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security解析--认证
Dream - to be coder
04-01 1235
spring security用户认证 主要涉及到的对象是AuthenticationManager,ProviderManager, AuthenticationProvirder, DaoAuthenticationProvider, UserDetailsService,UserDetials
spring-security实现自定义登录认证.rar
05-21
集成Spring Security时,你需要定义一个TokenProvider,负责生成和解析JWT。然后,在登录成功后,返回JWT作为响应,后续请求则通过携带此JWT来验证用户身份。 7. **配置JWT过滤器**:创建一个`JwtRequestFilter`,...
Spring Security6.x认证模块核心——AuthenticationProvider解析
coder184的博客
03-03 2203
略一、模块核心结构展示如果你了解Java web相关开发技术,经过这系列博文介绍,你会对Spring Security的认证模块有一个更全面的了解,对你在公司中实际运用Spring Security会有一个直接的帮助;后续会继续补充介绍该模块的内容(包括直观的代码教程等),以及最重要的,接下来会加入授权和oauth2.0这两个重要模块的内容,完善Spring Security整个体系的介绍。
​SpringSecurity-7-自定义AuthenticationProvider实现图形验证码
zhoubangbang1的博客
03-26 1523
SpringSecurity-7-自定义AuthenticationProvider实现图形验证码上一章节我们介绍了如何使用过滤器(Filter)实现图形验证,这是属于Servlet层面,比较简单容易理解。那么这次我们介绍SpringSecurity提供的另一种比较高端的实现图形化验证码,这就是AuthenticationProvider自定义认证。认证流程 Filter实现图形化验证码我们在SpringSecurity认证流程源码解析中介绍了SpringSecurity的认证流程其中介绍了系统的用户信息,
SpringSecurity6 多种登录方式配置自定义Provider不生效问题
zzc23333的博客
05-14 308
这里面会判断是否AuthenticationManager是否已经存在,没有的话会去 Ioc容器里读取并且读取全局配置等,这里面authBuilder.build()里会默认提供一个DaoAuthenrizationProvider,但是没有读取到我们自己定义的Provirder。注: 上面在过滤器链中使用,http.authenticationProvider()的方式,在论坛中也有很多人使用这种方式,但是我不知道为啥我是失效的,待我研究debug会。因为以前也没有配置过多种验证方式,就一直这么配置了。
Spring Boot整合Spring Security--学习笔记
tigerhhzz的博客
05-08 414
Spring Boot:整合Spring Security(待续中....)
springsecurity-oauth2集成,jwt生成token,源码解析
做技术,贵在学习与坚持!
08-14 1319
springsecurity-oauth2集成,jwt生成token 认证 @Configuration @EnableAuthorizationServer public class AuthorizationServerConfiguration extends AuthorizationServerConfigurerAdapter { @Autowired private DataSource dataSource; @Autowired private JwtAccessToke
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 780
Spring Security是解决安全访问控制的问题,就是认证和授权。Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
Spring Security---ONE
m0_53157173的博客
11-18 763
Spring Security知识点重点和盲点整理Http Basic登录认证的流程和原理PasswordEncoder详解PasswordEncoder 接口接口实现类formLogin模式登录认证说明登录认证及资源访问权限的控制用户及角色信息配置 Http Basic登录认证的流程和原理 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protec
SpringSecurity-4-认证流程源码解析
zhoubangbang1的博客
03-23 361
SpringSecurity-4-认证流程源码解析登录认证基本原理 Spring Security的登录验证核心过滤链如图所示请求阶段SpringSecurity过滤器链始终贯穿一个上下文SecurityContext和一个Authentication对象(登录认证主体)。只有请求主体通过某一个过滤器认证,Authentication对象就会被填充,如果验证通过isAuthenticated=true如果请求通过了所有的过滤器,但是没有被认证,那么在最后有一个FilterSecurityIntercepto
spring-security-examples
03-06
在"spring-security-examples"中,你可以看到如何配置和实现这些认证机制,以及如何自定义AuthenticationProvider来处理自定义的认证逻辑。 5. **授权与访问控制** 权限控制是Spring Security的关键部分,它允许...
spring-security-demo
03-25
《Spring Security 框架深度解析与实战指南》 在当今的互联网开发中,安全问题始终是不容忽视的重要环节。Spring Security作为Java生态系统中的顶级安全框架,为开发者提供了全面、强大的安全解决方案。本文将深入...
spring-security-3.0.8
07-05
《Spring Security 3.0.8:企业级安全框架的深度解析》 Spring Security是Java领域内广泛应用的企业级安全框架,其3.0.8版本是该系列的一个重要里程碑。这个版本提供了丰富的功能,旨在帮助开发者构建安全、可扩展...
spring-security-3.1.0.RELEASE
12-29
《Spring Security 3.1.0.RELEASE:企业级安全框架深度解析》 Spring Security是Java平台上广泛使用的安全框架,其3.1.0.RELEASE版本是该框架的一个重要里程碑,为开发者提供了全面的安全控制,从Web应用到企业级...
Springboot循环依赖的解决方式
weixin_44001317的博客
07-24 470
这个其实我也不好说,我自己写代码从来没有发现有循环依赖的问题,每个类确定好自己的职责,将方法正确的放入该类去引用bean一般就不会出现这种问题。这里我就描述一下循环依赖的产生吧,就是在容器启动过程准备bean的时候,会检测bean中是否注入了别的依赖,如果有就再去生成别的依赖对象注入到bean中,但是会发生这么一种情况,我有A,B两个@service,在A类中我通过注解引入B,然后再在B类中通过注解引入A,这个时候理论上就会无限产生A和B的实例,递归创建bean了属于是。
基于SpringBoot实现验证码功能
m0_63624484的博客
07-24 1534
现在的登录都需要输入验证码用来检测是否是真人登录,所以验证码功能在现在是非常普遍的,那么接下来我们就基于springboot来实现验证码功能。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 512
1.导入hutool的maven依赖。2.复制一下代码执行。
社区养老服务小程序的设计
最新发布
Karen198的博客
07-31 303
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值