Spring Security学习记录-关于认证流程的分析

最新推荐文章于 2022-07-15 11:27:13 发布
最新推荐文章于 2022-07-15 11:27:13 发布
阅读量170 收藏 1
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gg4236131/article/details/114756698
版权

前言

刚开始学习spring security的时候认证用户的信息来源是在配置文件中配置,然后加载到内存中来实现用户的认证的,但是,在我们的实际项目中用户的信息不可能通过配置文件来配置的,这样很繁琐而且又不安全,所以,这些信息要通过一个落地操作把它们存储起来,这样分开操作也符合了软件设计思想,同时也便于维护,那么我们应该通过怎样的方式来实现自定义方式的数据库认证呢,下面通过来分析认证流程来实现我们想要的方式。

源码分析

首先我们知道spring security的实现是通过一个个的filter来实现的,这里提一下filter的实现原理是基于函数回调来实现的。

函数回调其实简单讲就是,FilterChain作为参数传递给了xxFilter的doFilter()方法,然后在该方法中又调用了FilterChain的doFilter()方法。

所以,我们先看一下负责认证的过滤器UsernamePasswordAuthenticationFilter,从那里看起呢,filter相关的类首先看dofilter方法,这个类的dofilter方法在父类中

在这里插入图片描述

在上面的这段代码中进行认证,点击attemptAuthentication进入到子类UsernamePasswordAuthenticationFilter的attemptAuthentication方法中

在这里插入图片描述

点击上面最后一段代码的authenticate进入到AuthenticationManager接口中的,然后看接口的实现类ProviderManager的authenticate方法

在这里插入图片描述
我们继续点击provider.authenticate(authentication)这一段代码的authenticate方法,进入到AuthenticationProvider的实现类AbstractUserDetailsAuthenticationProvider

在这里插入图片描述
我们点击上面的retrieveUser方法进入到实现类DaoAuthenticationProvider中的retrieveUser方法里面

在这里插入图片描述
我们点击下面loadUserByUsername方法进入到的是UserDetailsService这个接口中,所以说我们可以直接写一个UserDetailsService的实现类,然后在loadUserByUsername方法中返回我们数据库中用户信息来源就可以了,同样也把查到的用户信息来源封装成UserDetails对象进行返回即可。

在这里插入图片描述

最后在顺便提一下认证成功和失败之后的操作,这里可以看一下AbstractAuthenticationProcessingFilter这个类的dofilter方法

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在上面认证成功之前还有一个操作就是会将认证用户的权限集合设置进来,还有会设置一个是否认证的字段为true,我们可以看一下认证的AuthenticationProvider实现类AbstractUserDetailsAuthenticationProvider的authenticate方法最后一行代码createSuccessAuthentication(principalToReturn, authentication, user),点击进入

在这里插入图片描述

然后继续点击UsernamePasswordAuthenticationToken类,可以看到两个构造方法,一个是认证之前的,一个是认证成功之后的,下面这个下认证成功之后的
在这里插入图片描述

父类AbstractAuthenticationToken构造方法,会将权限设置进来
在这里插入图片描述

XuQingHui_JavaBoy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于多个authentication-manager的使用问题
foggysource的专栏
09-21 8142
首先是http的配置,authentication-manager-ref="authenticationManager"指定了默认的                ... ...                      logout-success-url="/login.html" invalidate-session="true" />
Spring Security教程外篇(1)---- AuthenticationException异常详解
z69183787的专栏
03-13 1万+
这个异常是在登录的时候出现错误时抛出的异常,比如账户锁定,证书失效等,先来看下AuthenticationException常用的的子类: UsernameNotFoundException 用户找不到 BadCredentialsException 坏的凭据 AccountStatusException 用户状态异常它包含如下子类 AccountExpiredExcept
Spring Security学习(一)认证与授权
德玛西亚
03-07 1528
Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。简单来说springsecurity主要对用户进行认证以及授权。认证是指验证用户是否为当前系统中的用户, 授权是指验证用户是否有权限执行某个操作。故此本文着重从认证以及授权两个方向对springsecurity进行分析。 核心组件 Security...
Spring Security默认用户生成分析
Littewood的博客
07-15 929
Spring Security默认用户生成源码分析
Spring Security:身份验证提供程序AuthenticationProvider介绍
kaven
01-22 4734
AuthenticationProvider AuthenticationProvider可以处理特定的Authentication实现。 Spring Security:身份验证令牌Authentication介绍与Debug分析 Authentication接口及其实现类如下图所示: AuthenticationProvider接口及其实现类如下图所示: public interface AuthenticationProvider { /** * 使用与AuthenticationMa
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 ...本文主要介绍了 Spring Security 自定义认证登录的全过程记录,包括认证流程、核心代码分析等,旨在帮助读者更好地理解 Spring Security 的自定义认证登录机制。
SpringSecurity自定义成功失败处理器的示例代码
09-07
Spring Security框架中,自定义成功失败处理器是用于定制用户登录认证后的响应行为。默认情况下,Spring Security提供了标准的处理程序来处理用户的登录成功或失败情况,但有时我们需要根据业务需求进行个性化设置...
基于spring boot-jpa-thmleaf的旅游网站系统项目(免费赠送源码)
最新发布
04-28
通过Spring Security实现用户权限控制和安全认证。 景点信息管理模块: 提供景点信息的展示和查询功能,包括景点介绍、图片展示等。 实现了基于关键词的搜索和分类展示功能。 订单管理模块: 用户可以查看已下订单、...
Spring 初步实现LDAP 域认证
12-21
在本文中,我们将探讨如何使用Spring框架来实现LDAP(轻量级目录访问协议)域认证。这是一项重要的技术,特别是对于那些希望集中管理和验证多个应用系统账号密码的企业而言。通过集成Spring与LDAP,我们可以实现一个...
ruoyi:基于开源项目RuoYi-Vue,扩展开发添加新业务功能。基于SpringBoot,Spring Security,JWT,Vue&Element的前一步分离权限管理系统
01-30
初步采用Spring Boot,Spring Security,Redis&Jwt。权限认证使用Jwt,支持多终端认证系统。支持加载动态权限菜单,多方式轻松权限控制。高效率开发,使用代码生成器可以一键生成前的代码。内置功能用户管理:用户...
spring security 自定义多种方式登录授权(普通用户、管理员、第三方登录)
梦游小草的博客
07-03 1万+
1. 自定义token,继承 AbstractAuthenticationToken 目的:主要用于包装区别过滤条件。第2步用到。 public class WxLoginAuthenticationToken extends AbstractAuthenticationToken { private static final long serialVersionUID = 510L; private final Object principal; private Object c
Spring Security OAuth2实现多用户类型认证、刷新Token
Ying的博客
03-17 1万+
需求 用OAuth2想实现一个认证服务器能够认证多种用户类型,如前台普通用户、后台管理员用户(分了不同的表了),而OAuth2默认提供的UserDetailsService只允许传入一个参数,这样就区分不了用户类型了… public interface UserDetailsService { UserDetails loadUserByUsername(String var1) thro...
springSecurity 登录以及用户账号密码解析原理
weixin_33910137的博客
01-15 1929
springSecurity 拦截器链 用户登录基本流程处理如下: 1 SecurityContextPersistenceFilter 2 AbstractAuthenticationProcessingFilter 3 UsernamePasswordAuthenticationFilter 4 AuthenticationManager 5 AuthenticationProvider 6...
spring mvc+spring security实现自定义securtiy过虑器
热门推荐
不学习就淘汰
12-26 2万+
理解不透彻,还在摸索中,写下来自己看 一、创建maven> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
SpringSecurity(一)表单登录之登录认证
黄沙客栈
08-17 555
SpringSecurity(一)表单登录之登录认证 springsecurityspring推荐的安全权限框架,今天我们来看看它的原理,后面会放github地址 springsecurity包含了两部分:登录认证和访问授权 1.登录认证 –首先我们来看看表单登录,表单登录需要在security配置类里面配置HttpSecurity 的 formLogin @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnable
最简单易懂的Spring Security 身份认证流程讲解
Firstlucky77的博客
06-06 876
最简单易懂的Spring Security 身份认证流程讲解导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确实非常繁琐,繁琐到让人生厌。讨厌也木有办法呀,作为JavaEE的工程师们还是要面对的,在开始之前,先打一下比方(比方好可怜):Spring Security 就像一个行政服务中心,如果我们去里面办事,可以办啥事呢?可以小到咨询简单问题、查询社保信息,也可以户籍登记、补办身份证,同样也可以大到企业事项、各种复杂的资
Spring Boot后台脚手架搭建 [五] Spring Security登录实现以及认证过程
兴趣使然的的码农
05-28 2382
JWT结合Spring Security实现登录spring security的配置    SecurityConfig@Override protected void configure(HttpSecurity http) throws Exception { //跨站请求伪造禁用 http.csrf().disable(); // 基于token,所以不需要session...
Spring Security(03)登录认证源码分析
愤怒的菜鸟博客
03-02 324
Spring Security在内部维护一个过滤器链,其中每个过滤器都有特定的责任; 比如: ChannelProcessingFilter,因为它可能需要重定向到不同的协议 SecurityContextPersistenceFilter,因此可以在web请求开头的SecurityContextHolder中设置SecurityContext,并且SecurityContext的任何更改都可以复制到HttpSession当web请求结束时(准备好与下一个web请求一起使用) 等等… 登录流程
SpringSpring Security 账号密码登录的认证流程源码解析
高远的博客
05-20 1168
Spring Security 简述 认证是通过 AuthenticationManager 来管理的,即认证管理器; public interface AuthenticationManager { Authentication authenticate(Authentication var1) throws AuthenticationException; } 认证完成,authenticate() 会返回一个完整的 Authentication 对象,包含主体 (principal) 和凭证
springsecurity权限控制流程
05-23
Spring Security的权限控制流程主要包括以下步骤: ... 2. 认证身份:Spring Security通过...以上就是Spring Security的权限控制流程,总体来说,Spring Security通过认证和授权两个过程来保护应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值