SpringSecurity认证

最新推荐文章于 2024-02-25 10:26:51 发布
最新推荐文章于 2024-02-25 10:26:51 发布
阅读量91 收藏
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dhylanyu1/article/details/118734829
版权

SpringSecurity认证

表单登录流程

  1. 访问资源接口,该接口需要登录才能访问
  2. 请求会走Security中的过滤器链,在FilterSecurityInterceptor被拦截,抛出AccessDeniedException
  3. 该异常会在ExceptionTranslationFilter过滤器被捕获,调研LoginURLAuthenticationEntryPoint的commence方法给客户端返回302,重定向到登录页面
  4. 客户端发生/login请求
  5. /login请求被DefaultLoginPageGeneratingFilter拦截,返回登录页面

原理分析

  1. 自动创建SpringSecurityFilterChain的过滤器,注入到Spring容器中,代理了Spring Security中的过滤器链
  2. 创建UserDetailsService实例,负责提供用户数据,默认是给予内存的
  3. 生成默认登录页面
  4. 开启CSRF防御
  5. 开启其他防御

生成用户

通过UserDetails接口定义用户对象

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();// 账户权限
    String getPassword();//密码
    String getUsername();//用户名
    boolean isAccountNonExpired();//是否未过期
    boolean isAccountNonLocked();//是否未锁定
    boolean isCredentialsNonExpired();//凭证是否未过期
    boolean isEnabled();//是否可用
}

负责提供用户数据源的接口是UserDetailsService#loadUserByUsername

public interface UserDetailsService {
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

实际开发过程中,一般需要自开发UserDetailsService,默认情况下使用的是InMemoryUserDetailsManager管理用户信息。
只需要在application.properties中配置相关信息即可:

spring.security.user.name=user
spring.security.user.password=user
spring.security.user.roles=user,admin

配置

在Security中,如果需要自定义配置,都是继承自WebSecurityConfigurerAdapter来实现的,链式配置。
如:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest()
                .authenticated()
                .and().formLogin().loginPage("/login.html").loginProcessingUrl("/doLogin")
                .defaultSuccessUrl("/index")
                .failureUrl("/fail.html")
                .usernameParameter("name")
                .passwordParameter("passwd")
                .permitAll()
                .and()
                .csrf().disable();
    }
}

defaultSuccessUrl通过重定向实现跳转,客户端跳转
successForwardUrl则是服务器端跳转实现。

Security专门提供了AuthenticationSuccessHandler接口来处理登录事件:

public interface AuthenticationSuccessHandler {
    default void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authentication) throws IOException, ServletException {
        this.onAuthenticationSuccess(request, response, authentication);
        chain.doFilter(request, response);
    }

    void onAuthenticationSuccess(HttpServletRequest var1, HttpServletResponse var2, Authentication var3) throws IOException, ServletException;
}

实现类主要是SimpleUrlAuthenticationSuccessHandler:

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by Fernflower decompiler)
//

package org.springframework.security.web.authentication;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import org.springframework.security.core.Authentication;

public class SimpleUrlAuthenticationSuccessHandler extends AbstractAuthenticationTargetUrlRequestHandler implements AuthenticationSuccessHandler {
    public SimpleUrlAuthenticationSuccessHandler() {
    }

    public SimpleUrlAuthenticationSuccessHandler(String defaultTargetUrl) {
        this.setDefaultTargetUrl(defaultTargetUrl);
    }

    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        this.handle(request, response, authentication);
        this.clearAuthenticationAttributes(request);
    }

    protected final void clearAuthenticationAttributes(HttpServletRequest request) {
        HttpSession session = request.getSession(false);
        if (session != null) {
            session.removeAttribute("SPRING_SECURITY_LAST_EXCEPTION");
        }

    }
}

当需要在前后端分离场景下认证,只需要返回JSON数据即可,那么需要自定义AuthenticationSuccessHandler实现类来返回结果,然后需要在SecurityConfig中加上

.successHandler(new MyAuthenticationSUccessHandler())

那么对应的失败的处理是AuthenticationFailureHandler接口处理,如SimpleUrlAuthenticationFailureHandler。

用户数据获取

从SecurityContextHolder中获取

SecurityContextHolder
包含
SecurityContext
包含
Authentication
包含
Principal、Credentials、Authorities

SecurityContextPersistenceFilter在每次请求到时将HttpSession中获取SecurityContext放入SecurityContextHolder中,在请求结束时再取出并清除信息。

从当前请求对象获取

可以直接将Authentication对象注入到Controller的请求参数中,在此处获取登录用户信息。

用户定义

自定义用户就是使用不同的UserDetailsService的实现类提供用户数据,同时将该自定义类提供给AuthenticationManagerBuilder,系统再将该自定义类提供给AuthenticationProvider使用。

    @Autowired
    private MyUserDetailsServie myUserDetailsServie;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsServie)
    }
dhylanyu1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列【14】认证篇之添加登录验证码功能
记录知识、锤炼自我
04-06 1432
验证码(全自动区分计算机和人类的图灵测试)。验证码可以防止恶意破解密码刷票论坛灌水限制网络爬虫恶意注册等功能,是目前程序比较常用的功能之一,一般账号密码登录时,都需要添加验证码功能。接下来演示前后端分离环境下,如何实现登录验证码功能。
SpringSecurity 认证详解
流楚丶格念的博客
09-17 2753
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的(如下图密码)。但是在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。}// 获取所有权限 Collection
Spring Security:授权
​​
05-26 621
授权 所谓的授权,就是用户如果要访问某一个资源,我们要去检查用户是否具备这样的权限,如果具备就允许访问,如果不具备,则不允许访问。 准备测试用户 因为我们现在还没有连接数据库,所以测试用户还是基于内存来配置。 基于内存配置测试用户,我们有两种方式,第一种就是我们本系列前面几篇文章用的配置方式,如下: @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemor
Spinrg Security Authentication(一)
RainSun
02-12 1901
目录认证流程AuthenticationManager 认证流程 Spring Security是如何完成身份认证的? 具体拦截在UsernamePasswordAuthenticationFilter-&amp;amp;amp;amp;amp;amp;gt;AbstractAuthenticationProcessingFilter拦截器中; 具体认证流程在ProviderManager-&amp;amp;amp;amp;amp;amp;gt;AuthenticationManager中
Spring Security Web 5.1.2 源码解析 -- LoginUrlAuthenticationEntryPoint
Details Inside Spring
12-22 7098
LoginUrlAuthenticationEntryPoint被ExceptionTranslationFilter用来开始一个表单认证流程,这个表单认证认证请求由UsernamePasswordAuthenticationFilter负责处理。 LoginUrlAuthenticationEntryPoint带有一个属性loginFormUrl指向表单登录页面的位置,基于此可以构建到表单登录...
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
热门推荐
向心行者
09-24 2万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
SpringSecurity认证初探
雾落
04-13 107
SpringSecurity认证流程 实现 UserDetailsService 接口的 loadUserByUsername() 方法。
SpringSecurity权限与认证
xkshihaoren的博客
11-24 399
1. 默认数据库模型的认证与授权 1.1 基于内存的多用户模型 在进行测试之前,需要配置一些测试的controller,然后在SpringSecurity配置类中进行配置 在springSecurity中,存在一个默认用户user,但是在开发中肯定是不行的,所以我们要配置多个用户,引入多个用户的方式有多种,首先介绍UserDetailsService的配置方法 @Bean publ...
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证Authentication)和授权(Authorization)。认证是确认用户身份...
spring security 认证授权实现
10-14
总的来说,这个项目提供了一个现成的Spring Security认证授权框架,结合了JWT、Redis集群和MyBatis-Plus技术,使得开发者能够快速构建安全的、有权限控制的Web应用,同时省去了复杂的配置和实现步骤。然而,对于...
spring security认证授权流程
weixin_47618391的博客
05-27 5445
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security认证和授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
详解Spring Security的formLogin登录认证模式
08-25
对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要Spring Security支持我们自己定制登录页面,也就是本文给大家介绍的formLogin模式登录认证模式,感兴趣的朋友跟随小编一起看看吧
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
【深入浅出Spring Security(三)】默认登录认证的实现原理
qq_63691275的博客
05-30 3806
思考:发送请求的登录界面是如何来的?用户名和密码为什么是user和一个UUID字符串呢?它又是如何进行用户名和密码验证的呢?得知道 DaoAuthenticationProvider retrieveUser 方法和 additionalAuthenticationChecks 方法(这俩方法分别应用了UserDetailsService和PasswordEncoder对象)。UsernamePasswordAuthenticationFilter 最后也是去通过 ProviderManager 中的 au
Spring Security——关闭未认证时重定向(302)到登录页面(loginPage)
无限迭代中......
07-28 7507
问题描述 当访问该web服务的一个请求/test且该请求需要用户认证,那么Spring Security会将请求302到通过httpSecurity.formLogin().loginPage("/login")设定的页面里。 问题分析 暂无。 解决方案 httpSecurity.exceptionHandling() //没有认证时,在这里处理结果,不要重定向 .authenticationEnt...
spring security默认登录页面登录用户,和自定义数据源
cristianoxm的博客
04-02 4025
一、默认登录页面 请求 /hello 接口,在引入 spring security 之后会先经过一些列过滤器 在请求到达 FilterSecurityInterceptor时,发现请求并未认证。请求拦截下来,并抛出 AccessDeniedException 异常。 抛出 AccessDeniedException 的异常会被 ExceptionTranslationFilter 捕获,这个 Filter 中会调用 LoginUrlAuthenticationEntryPoint#commence 方
Spring Security:身份验证入口AuthenticationEntryPoint介绍与Debug分析
m0_67391521的博客
06-12 1772
()允许将和转换为响应。作为之一插入到中。想要了解的过滤器链如何在应用程序中发挥作用,可以阅读下面这篇博客:会使用启动身份验证方案。 BasicAuthenticationEntryPoint 由用于通过开始身份验证。一旦使用对用户代理进行身份验证,可以发送未经授权的 () 标头,最简单的方法是调用类的方法。 这将向浏览器指示其凭据不再被授权,导致它提示用户再次登录。 DelegatingAuthenticationEntryPoint 实现,它根据匹配(委托)一个具体的。 DigestAuthentica
SSO单点登录原理深度解剖(二)
最新发布
miniminiyu的博客
02-25 910
我们知道:第一次(未认证的情况下)访问client A(http://localhost:11980/cth/time)时,会重定向到client A的http://localhost:11980/cth/oauth2/authorization/messaging-client-oidc地址(Get请求),然后,又会重定向到授权服务器的http://server:10880/cfgs/oauth2/authorize?我们继续通过代码进行分析。我们从debug的情况看,在这里拼出了要跳转的url
Spring Security登录表单配置(3)
weixin_43831002的博客
08-02 2205
接下来,我们在resources/static目录下创建一个login.html页而,这个是我们自定义的登录页面:查看代码这个logmt.html中的核心内容就是一个登录表单,登录表单中有三个需要注意的地方,login.html定义好之后,接下来定义两个测试接口,作为受保护的资源。当用户登录成功 后,就可以访问到受保护的资源。...
spring security 认证
07-28
- *1* *2* *3* [spring security认证授权流程](https://blog.csdn.net/weixin_47618391/article/details/130898504)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值