Spring Security API: AbstractUserDetailsAuthenticationProvider

最新推荐文章于 2024-08-30 12:41:15 发布
最新推荐文章于 2024-08-30 12:41:15 发布
阅读量3.8k 收藏 5
点赞数
分类专栏: Spring Security

文章目录

AbstractUserDetailsAuthenticationProvider

Declared

package org.springframework.security.authentication.dao
public abstract class AbstractUserDetailsAuthenticationProvider
extends java.lang.Object
implements AuthenticationProvider, 
           org.springframework.beans.factory.InitializingBean, 
           org.springframework.context.MessageSourceAware

Class JDOC

一个允许子类重写和使用UserDetails对象的基础的AuthenticationProvider。该类被设计用来响应UsernamePasswordAuthenticationToken身份认证请求。

认证成功后,将创建一个UsernamePasswordAuthenticationToken并返回给调用方。令牌将包含用户名的字符串表示形式或从身份验证资源库返回的用户详细信息作为其主体。如果正在使用容器适配器,则使用字符串比较合适,因为它需要用户名的字符串表示形式。如果您需要访问经过认证的用户的其他属性,例如:邮件地址、昵称等,那么使用UserDetails是合适的。由于不推荐使用容器适配器,UserDetails提供了额外的灵活性,默认情况下返回UserDetails。将setForcePrincipalAsString(boolean)设置为true,可以覆盖默认值。

缓存是通过将UserDetails对象放置在UserCache中的来处理的。这样确保可以验证使用相同用户名的后续请求,而无需查询UserDetailsService。需要注意的是,如果用户提供的密码不正确,将查询UserDetailsService以确认使用了最新的密码进行比较。只有无状态应用程序才可能需要缓存。例如,在普通的web应用程序中,SecurityContext存储在用户的会话中,并且用户不会在每次请求时重新验证。因此,默认的缓存实现是NullUserCache。

authenticate

Declared

public Authentication authenticate(Authentication authentication) throws AuthenticationException

Method Code

public Authentication authenticate(Authentication authentication)
        throws AuthenticationException {
    Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
            () -> messages.getMessage(
                    "AbstractUserDetailsAuthenticationProvider.onlySupports",
                    "Only UsernamePasswordAuthenticationToken is supported"));

    // Determine username
    // 确认用户名
    String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
            : authentication.getName();

    boolean cacheWasUsed = true;
    // 从缓存中读取用户信息
    UserDetails user = this.userCache.getUserFromCache(username);

    if (user == null) {
        cacheWasUsed = false;

        try {
            // 根据用户名检索用户信息
            user = retrieveUser(username,
                    (UsernamePasswordAuthenticationToken) authentication);
        }
        catch (UsernameNotFoundException notFound) {
            logger.debug("User '" + username + "' not found");

            if (hideUserNotFoundExceptions) {
                throw new BadCredentialsException(messages.getMessage(
                        "AbstractUserDetailsAuthenticationProvider.badCredentials",
                        "Bad credentials"));
            }
            else {
                throw notFound;
            }
        }

        Assert.notNull(user,
                "retrieveUser returned null - a violation of the interface contract");
    }

    try {
        // 依序校验:账户锁定、账户可用、账户过期
        preAuthenticationChecks.check(user);
        // 校验
        additionalAuthenticationChecks(user,
                (UsernamePasswordAuthenticationToken) authentication);
    }
    catch (AuthenticationException exception) {
        if (cacheWasUsed) {
            // There was a problem, so try again after checking
            // we're using latest data (i.e. not from the cache)
            cacheWasUsed = false;
            user = retrieveUser(username,
                    (UsernamePasswordAuthenticationToken) authentication);
            preAuthenticationChecks.check(user);
            additionalAuthenticationChecks(user,
                    (UsernamePasswordAuthenticationToken) authentication);
        }
        else {
            throw exception;
        }
    }
    
    // 校验:凭证过期
    postAuthenticationChecks.check(user);

    // 如果没有缓存用户信息,则使用userCache缓存。
    if (!cacheWasUsed) {
        this.userCache.putUserInCache(user);
    }

    Object principalToReturn = user;

    if (forcePrincipalAsString) {
        principalToReturn = user.getUsername();
    }

    return createSuccessAuthentication(principalToReturn, authentication, user);
}

retrieveUser

Declared

protected abstract UserDetails retrieveUser(String username,UsernamePasswordAuthenticationToken authentication) throws AuthenticationException;

Method JDOC

允许子类从特定资源库检索UserDetails,如果提供的凭据不正确,则可以选择立即抛出AuthenticationException(如果需要作为用户绑定到资源以获取或生成UserDetails,则此选项特别有用)。

子类不需要执行任何缓存操作,因为AbstractUserDetailsAuthenticationProvider默认缓存UserDetails。缓存UserDetails确实会带来额外的复杂性。因为这意味着依赖于缓存的后续请求仍然需要验证其凭据,即使在这种方法中采用基于绑定的策略的子类保证凭证的正确性。因此,重要的是子类要么禁用缓存(如果它们希望确保此方法是唯一能够对请求进行身份验证的方法,因为永远不会缓存用户详细信息)或者确保子类实现additionalAuthenticationChecks(UserDetails, UsernamePasswordAuthenticationToken) 来验证后续认证请求中被缓存UserDetails的凭证。

大多数情况下,子类不会在此方法中执行凭据检查,而是在additionalAuthenticationChecks(UserDetails, UsernamePasswordAuthenticationToken) 中执行,以便与凭据验证相关的代码不必在两个方法之间重复。

additionalAuthenticationChecks

Decalred

protected abstract void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException;

Method JDOC

允许子类对给定的认证请求的返回(或者缓存)UserDetails执行任何额外的检查。通常,子类至少需要比较Authentication.getCredentials()与UserDetails.getPassword().如果需要自定义逻辑来比较UserDetails和/或UsernamePasswordAuthenticationToken的其他属性,这些属性也应该出现在该方法中。

Parameters

userDetails - 从retrieveUser(String, UsernamePasswordAuthenticationToken) 或者 UserCache 检索到的
authentication - 需要验证的当前请求

createSuccessAuthentication

Declared

protected Authentication createSuccessAuthentication(Object principal,
			Authentication authentication, UserDetails user)

Method Jdoc

创建一个成功的Authentication对象。

Protected,所以子类可以复写这个方法。

子类通常会在返回的Authentication对象中存储用户提供的原始凭证(不是处理过的的或编码过的密码)。

Method Code

protected Authentication createSuccessAuthentication(Object principal,
        Authentication authentication, UserDetails user) {
    // Ensure we return the original credentials the user supplied,
    // so subsequent attempts are successful even with encoded passwords.
    // Also ensure we return the original getDetails(), so that future
    // authentication events after cache expiry contain the details
    // 确保我们返回用户提供的原始凭证,这样即使使用编码的密码,后续尝试也会成功。
    // 还要确保返回原始的getDetails(),以便在缓存过期后的未来身份验证事件包含详细信息
    UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(
            principal, authentication.getCredentials(),
            authoritiesMapper.mapAuthorities(user.getAuthorities()));
    result.setDetails(authentication.getDetails());

    return result;
}
dengdeying
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
自定义SpringSecurity----AuthenticationProvider(抽象认证技术可以根据业务需要进行拓展)
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
04-16 470
package com.zcw.demospringsecurity.demo6; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.BadCredentialsException; import org.springf...
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 7996
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
springSecurity登录验证分析——AbstractUserDetailsAuthenticationProvider
weixin_34120274的博客
12-14 1083
AbstractUserDetailsAuthenticationProvider类位于org.springframework.security.authentication.dao包下,在 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter中被调用, 该类的public Au...
exception: AbstractUserDetailsAuthenticationProvider.badCredentials
数据库天地
10-22 599
这个错误搞了我几个小时!!最后才发现真是逆天了!! 这个意思是指用户名或是密码有错误。 spring security这点的确是白痴,提示的太让人看不懂了。顺着用户名或是密码有错误这个意思摸下一去,最后才发现,原来是数据库的密码MD5值有问题,借此也发了: spring security只认小写的MD5值!!!大写的是不认的。 spring security把用户输入的...
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
热门推荐
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
Spring Security的xml详细配置
qq_40859823的博客
11-21 600
<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="htt...
Spring Security 认证源码超详细分析
最新发布
緑水長流*z
08-30 825
AbstractAuthenticationProcessingFilter 为处理认证请求提供了一个基础框架。这个抽象类主要用于处理 HTTP 请求,并将其转换为 Authentication 对象,然后提交给 AuthenticationManager 进行认证。这不就是我们前面介绍的 UsernamePasswordAuthenticationFilter 吗?
Spring Boot:整合Spring Security
m0_68850571的博客
05-07 506
综合概述 Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,Spring Security和Shiro也是当前广大应用使用比较广泛的两个安全框架。 Spring Security 应用级别的安全主要包含两个主要部
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
SpringSecurity
孙荣达的博客
03-28 984
第一章 SpringSecurity-简介 1. 简介 https://docs.spring.io/spring-security/site/docs/4.2.10.RELEASE/guides/html5/helloworld-xml.html SpringSecurity融合Spring技术栈,提供JavaEE应 用的整体安全解决方案; Spring Security为基于Java EE的...
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2039
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security中,如何重写AuthenticationProvider类的authenticate方法,以接收json格式的登录请求...
weixin_35750747的博客
02-17 187
Spring Security中,可以通过实现AuthenticationProvider接口并覆盖其authenticate()方法来重写AuthenticationProvider类,以接收JSON格式的登录请求。
SpringSecurity自定义AuthenticationProviderAuthenticationFilter
weixin_34248849的博客
02-19 1196
AuthenticationProvider 默认实现:DaoAuthenticationProvider 授权方式提供者,判断授权有效性,用户有效性,在判断用户是否有效性,它依赖于UserDetailsService实例,开发人员可以自定义UserDetailsService的实现。 additionalAuthenticationChecks方法校验密码有效性 retrieveUser方...
深入理解Spring-Security之认证授权分析
李永志的博客
05-04 364
Spring Security是一个权限框架权限框架,常见的还有Shiro。权限框架的核心功能就是 **认证**和**授权** 简单分析一下Spring-Security是怎么实现认证授权的
spring security 重写密码比对类DaoAuthenticationProvider
半夏_2021的博客
05-09 3130
spring security 重写密码比对类DaoAuthenticationProvider
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7709
实现SpringSecurity自定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
spring Security4 和 oauth2整合 注解+xml混合使用(替换用户名密码认证)
feiyangtianyao的专栏
12-06 2039
spring Security4 和 oauth2整合 (替换用户名密码认证)之前已经写了注解和xml配合搭建基本认证、页面认证、授权码认证、替换6位授权码方法等,这次在前面的基础上介绍如何替换用户名密码认证,下一篇介绍如何增加验证码等额外参数验证方法。 代码比较多,这次只贴出来部分,完整代码在 https://gitee.com/xiaoyaofeiyang/OauthUmp
springsecurity认证流程
qq_36022463的博客
01-06 973
如果使用用户名密码登录: 实现类:过滤器会构造出一个对象,则是,然后在ProviderManager中进行认证,,认证成功进入成功回调。
Spring Security 源码解读(二)Authentication认证
qq_41481367的博客
12-20 1600
在实际开发中,我们的系统需要有一套认证和授权服务来保证我们系统的安全性,在Java生态中,主要有Spring Security和Apache Shiro两个安全框架可以完成认证和授权的功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值