【springsecurity6】认证源码分析

最新推荐文章于 2024-06-18 16:29:42 发布
最新推荐文章于 2024-06-18 16:29:42 发布
阅读量932 收藏 18
点赞数 23
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hfssss/article/details/135747225
版权

文章目录

概要

接口跳转源码分析

springsecurity6中http://localhost:8080/test/toLogin?username=lkz&pwd=123456的源码跟踪

相关代码

controller层

package com.lkz.controller;

import com.lkz.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class SpringSecurityController {
    @Autowired
    UserService userService;
    @RequestMapping({"/index","/"})
    public String index(int id){
        System.out.println(userService.selectPermsById(id));
        System.out.println(userService.selectNameById(id));
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(@RequestParam("username") String username, @RequestParam("pwd") String pwd){
        String login = userService.login(username, pwd);
        return "OK";
    }

    @RequestMapping("/level1/{a}")
    public String toLevel1(@PathVariable("a") String a){
        return "views/level1/"+a;
    }

    @RequestMapping("/level2/{b}")
    public String toLevel2(@PathVariable("b") String b){
        return "views/level2/"+b;
    }

    @RequestMapping("/level3/{c}")
    public String toLevel3(@PathVariable("c") String c){
        return "views/level3/"+c;
    }
}

service层

package com.lkz.service;

import com.lkz.mapper.UserMapper;
import com.lkz.pojo.User;
import org.apache.ibatis.annotations.Param;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;


public interface UserService {
    public String selectPermsById(int id);
    String selectNameById(@Param("id") int id);
    String selectPwdById(@Param("id") int id);
    User selectUser(@Param("username")String name);
    //登陆逻辑
    String login(String username,String pwd);
}

serviceimpl

package com.lkz.service.impl;

import com.lkz.mapper.UserMapper;
import com.lkz.pojo.User;
import com.lkz.service.UserService;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Service;

@Service
@Slf4j
public class UserServiceImpl implements UserService {

    @Autowired
    UserMapper userMapper;
    private final AuthenticationManager authenticationManager;

    public UserServiceImpl(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    @Override
    public String selectPermsById(int id) {
        String perms = userMapper.selectPermsById(id);
        return perms;
    }

    @Override
    public String selectNameById(int id) {
        String username = userMapper.selectNameById(id);
        return username;
    }

    public String selectPwdById(int id) {
        String pwd = userMapper.selectPwdById(id);
        return pwd;
    }
    public User selectUser(String name) {
        User user= userMapper.selectUser(name);
        return user;
    }
    public String login(String username,String pwd){
        //传入用户名和密码
        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(username, pwd);
        //实现登陆逻辑,此时就会去调用loadUserByUsername
        //authenticate其实就是UserDetails(authentication前台拿到的user对象)
        Authentication authenticate = authenticationManager.authenticate(authentication);
        log.info("authenticate========="+authenticate);
        return "OKKKKK";
    }
}

userDetailserviceimpl获得数据库对象的方法实现类

package com.lkz.service.impl;

import com.lkz.mapper.UserMapper;
import com.lkz.pojo.User;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.List;

/**
 * UserDetails:得出库里的数据
 */
@Service
@Slf4j
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
            User user = userMapper.selectUser(username);
            if (user == null) {
                throw new UsernameNotFoundException("User not found with username: " + username);
            }
            log.info("user======"+user.getPwd());
        List<GrantedAuthority> atuhs = AuthorityUtils.commaSeparatedStringToAuthorityList(user.getPerms());
            return new org.springframework.security.core.userdetails.User(
                    user.getUsername(),
                    user.getPwd(),
                    atuhs
                    /* Add user roles/authorities here */);
        }
}

源码跳转

核心主要是从login处的源码追踪

所涉及到的主要方法:

  • login:controller跳转进入的登陆逻辑方法
  • authenticate:login方法中总的认证入口方法
  • provider.authenticate(authentication):拿着前台传入的用户名密码对象authentication进行认证
  • retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication):检索user对象【打算调用数据库查的方法了,所以必须要传入用户名,以及前台对象authentication】
  • this.getUserDetailsService().loadUserByUsername(username):计划调用自写的实现类的方法调数据库查user对象
  • additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication):将user对象【库里的】和前台接收到组合后的待比对user对象【authentication】
  • this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())):进入比对方法
  • BCrypt.checkpw(rawPassword.toString(), encodedPassword):将前台明文和库里密文传入,获取盐进行加密比对【equalsNoEarlyReturn】
  • equalsNoEarlyReturn(hashed, hashpwforcheck(passwordb, hashed)):将库里取出的密文和前台接受到的明文加密后比对

源码中的核心代码

authenticate:login方法中总的认证入口方法

	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		int currentPosition = 0;
		int size = this.providers.size();
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}
			if (logger.isTraceEnabled()) {
				logger.trace(LogMessage.format("Authenticating request with %s (%d/%d)",
						provider.getClass().getSimpleName(), ++currentPosition, size));
			}
			try {
				result = provider.authenticate(authentication);
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException | InternalAuthenticationServiceException ex) {
				prepareException(ex, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw ex;
			}
			catch (AuthenticationException ex) {
				lastException = ex;
			}
		}
		if (result == null && this.parent != null) {
			// Allow the parent to try.
			try {
				parentResult = this.parent.authenticate(authentication);
				result = parentResult;
			}
			catch (ProviderNotFoundException ex) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException ex) {
				parentException = ex;
				lastException = ex;
			}
		}
		if (result != null) {
			if (this.eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}
			// If the parent AuthenticationManager was attempted and successful then it
			// will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent
			// AuthenticationManager already published it
			if (parentResult == null) {
				this.eventPublisher.publishAuthenticationSuccess(result);
			}

			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).
		if (lastException == null) {
			lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound",
					new Object[] { toTest.getName() }, "No AuthenticationProvider found for {0}"));
		}
		// If the parent AuthenticationManager was attempted and failed then it will
		// publish an AbstractAuthenticationFailureEvent
		// This check prevents a duplicate AbstractAuthenticationFailureEvent if the
		// parent AuthenticationManager already published it
		if (parentException == null) {
			prepareException(lastException, authentication);
		}
		throw lastException;
	}

provider.authenticate(authentication):拿着前台传入的用户名密码对象authentication进行认证 AbstractUserDetailsAuthenticationProvider实现类的

	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				() -> this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));
		String username = determineUsername(authentication);
		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);
		if (user == null) {
			cacheWasUsed = false;
			try {
				user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException ex) {
				this.logger.debug("Failed to find user '" + username + "'");
				if (!this.hideUserNotFoundExceptions) {
					throw ex;
				}
				throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
			}
			Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
		}
		try {
			this.preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
		}

retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication):检索user对象【打算调用数据库查的方法了,所以必须要传入用户名,以及前台对象authentication】

	@Override
	protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}

返回到AbstractUserDetailsAuthenticationProvider实现类中,继续执行additionalAuthenticationChecks

		try {
			this.preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
		}

AbstractUserDetailsAuthenticationProvider抽象类-->DaoAuthenticationProvider实现类中的additionalAuthenticationChecks

	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			this.logger.debug("Failed to authenticate since no credentials provided");
			throw new BadCredentialsException(this.messages
				.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			this.logger.debug("Failed to authenticate since password does not match stored value");
			throw new BadCredentialsException(this.messages
				.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}

matches核心方法,调PasswordEncoder接口--->BCryptPasswordEncoder实现类的

	@Override
	public boolean matches(CharSequence rawPassword, String encodedPassword) {
		if (rawPassword == null) {
			throw new IllegalArgumentException("rawPassword cannot be null");
		}
		if (encodedPassword == null || encodedPassword.length() == 0) {
			this.logger.warn("Empty encoded password");
			return false;
		}
		if (!this.BCRYPT_PATTERN.matcher(encodedPassword).matches()) {
			this.logger.warn("Encoded password does not look like BCrypt");
			return false;
		}
		return BCrypt.checkpw(rawPassword.toString(), encodedPassword);
	}

BCrypt.checkpw

	public static boolean checkpw(String plaintext, String hashed) {
		byte[] passwordb = plaintext.getBytes(StandardCharsets.UTF_8);
		return equalsNoEarlyReturn(hashed, hashpwforcheck(passwordb, hashed));
	}

equalsNoEarlyReturn

	static boolean equalsNoEarlyReturn(String a, String b) {
		return MessageDigest.isEqual(a.getBytes(StandardCharsets.UTF_8), b.getBytes(StandardCharsets.UTF_8));
	}

最后会执行到login中总的认证方法中,result = provider.authenticate(authentication);不为空,返回的是result对象
reslut
认证成功
在这里插入图片描述
后台会有显示已认证
在这里插入图片描述

小结

核心就是比对密码,要注意数据库中放密文

hfssss
关注
  • 23
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity企业及认证全套开发资源.docx
02-25
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
SpringSecurity6从入门到上天系列第九篇:SpringSecurity当中的默认用户的生成、存储、认证过程的源码级别分析
七叔的博客
12-20 2504
我们已经讲过在SpringSecurity这个依赖一旦被SpringBoot引入之后呢,这个jar包中的核心来会被加载,此时这个web服务当中所有的接口都必须要进行认证才能够被请求!我们进行认证时候需要去填写一个默认的user用户名和密码才能够认证通过,那么这个默认的user和控制台密码是如何生成,并保存在了哪里呢?将这个事呀,我们又得从SpringBoot的自动装配是说起。
Spring6的源码解析
蓝影铁哥的博客
12-21 1537
Spring6的源码解析、jdk17、SpringBoot3
SpringSecurity6从入门到上天系列第九篇:SpringSecurity当中的默认用户的生成、存储、认证过程的源码级别分析(1)
2401_84002594的博客
05-12 907
Java面试核心知识点一共有30个专题,足够读者朋友们应付面试啦,也节省朋友们去到处搜刮资料自己整理的时间!Java面试核心知识点本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取[外链图片转存中…(img-dzAVZUnm-1715470381395)]Java面试核心知识点一共有30个专题,足够读者朋友们应付面试啦,也节省朋友们去到处搜刮资料自己整理的时间!
Spring Security(6)
分享专业、有用、有趣的技术、产品、运营和管理知识。
11-28 576
MySQL保存cookie记录虽然方便,但是目前主流应用都是用NoSQL的。之前SpringSecurity并不支持NoSQL,但这个问题对于一个爱钻研的码农来说应该只是个小CASE——毕竟只要有代码,就没有搞不定的问题。
SpringSecurity源码学习六:授权
qq_27586963的博客
12-17 504
一般情况下我们要把资源的权限配置到数据库中,一般会配置具体的页面权限,接口权限等。我们依托于数据库做资源权限管理时,是要实现接口FilterInvocationSecurityMetadataSource,去到数据库中查询资源所需的权限集合。//资源权限map集合 private Map < RequestMatcher , Collection < ConfigAttribute > > requestMap;
SpringBoot3 - Spring Security 6.0 Migration
java scala
03-27 4816
最近在做SpringBoot2.x到3.0的升级。其中最主要的一部分是packageName的变更,另外一部分是对一些废弃/删除的类进行替换。大部分升级都比较顺利,但是在SpringSecurity上遇到了不少坑。先看一下下面的代码这段代码在6.0有两个问题,一是标记为废弃,二是方法被移除,这两个问题我们一个个看。
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 5229
引子:最近做项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码做限制),决定要把接口做的高级一些,而不是简单的传个用户名和密码对比数据库里面的,那样真的很low。于是写了基于token的认证功能,在这里分享出来供大家学习与探讨。
security.rar
09-06
SpringSecurity权限认证功能,包含一个PPT和一个流程图,PPT从四个方法介绍了SpringSecurity。有SpringSecurity的历史,配置、源码分析、项目搭建;包含了如何定义更自由的权限认证
Spring Security实现用户登录.docx
07-04
在集成 Spring Security 安全框架的时候我们最先处理的可能就是根据我们项目的实际需要来定制注册登录了,尤其是 Http 登录认证。根据以前的相关文章介绍, Http 登录认证由过滤器...
最新ssm项目高校智能培训管理系统分析与设计+vue.zip
04-10
8. **安全性设计**:后端采用Spring Security框架,确保了用户认证和授权的安全性,保护敏感数据不被未授权访问。 9. **模块化开发**:系统采用模块化的设计,易于维护和扩展,同时也便于团队协作和并行开发。 10. *...
spring security6+springboot3+jwt实现权限控制
hepeike001的博客
05-12 3196
最近在学习spring security,看到网上的都是比较老的版本,所以从github上找了一个开源的最新的spring security6 的demo借鉴,然后结合官网文档自己鼓捣了一个demo出来,做个笔记方便以后忘记怎么搞了来看看,哈哈哈OVO。(本项目用的是jdk17,有些表达式jdk8是无法编译的,所以要跑起来的话记得安装17哦,反正现在也免费了)
SpringSecurity6从入门到实战之SpringSecurity整合自动装配详解(源码级讲解,耐心看完)
helloworld工程师的博客
06-03 1274
这里我先引出问题然后再来一步步进行剖析,SpringSecurity到底是如何实现引入依赖后所有请求都需要进行认证并且会弹出login登录表单页面.接下来会对SpringBoot的自动装配进行详解,SpringSecurity也是通过自动装配实现以上一系列操作的。
轻量级 ioc/aop 框架 loveqq 1.0 发布,完全替换掉若依底层 spring 及其 starter
最新发布
kfyty725的博客
06-18 141
【代码】轻量级 ioc/aop 框架 loveqq 1.0 发布,完全替换掉若依底层 spring 及其 starter。
【仿真建模-anylogic】FlowchartPort原理解析
zhaoyaxuan001的博客
06-14 356
FlowchartPort是流图组件端口的基类,一般不会直接使用;如果需要自行封装组件库时会用到;FlowchartPort继承Port类,并定义了一系列抽象函数;用于输入端口判定此刻是否不能接收Agent。用于输出端口判定是否有Agent准备离开。判定端口是否发生错误。
Spring Boot集成antlr实现词法和语法分析
HBLOG
06-13 894
Antlr4 是一款强大的语法生成器工具,可用于读取、处理、执行和翻译结构化的文本或二进制文件。基本上是当前 Java 语言中使用最为广泛的语法生成器工具。Twitter搜索使用ANTLR进行语法分析,每天处理超过20亿次查询;Hadoop生态系统中的Hive、Pig、数据仓库和分析系统所使用的语言都用到了ANTLR;Lex Machina将ANTLR用于分析法律文本;Oracle公司在SQL开发者IDE和迁移工具中使用了ANTLR;NetBeans公司的IDE使用ANTLR来解析C++;
探讨 MyBatis 特殊 SQL 执行技巧与注意事项
良月柒
06-18 238
/MyBatis 作为一个灵活的持久层框架,通过提供丰富的动态 SQL 标签、SQL 片段复用、存储过程调用、复杂结果集处理、分页查询和批量操作等功能,使开发者能够高效地实现各种复杂的 SQL 操作。
Javascript)AI数字人mp4转canvas播放并去除背景绿幕
lx_nhs的博客
06-12 515
去除前:去除后: 3、可能会出现的报错 (1)视频路径跨域问题:解决:vue开启代理
springsecurity源码分析
03-16
Spring Security 是一个基于 Spring 框架的安全框架,它提供了一系列的安全服务,包括身份认证、授权、攻击防护等。Spring Security源码分析可以帮助我们深入了解其实现原理,从而更好地使用和定制 Spring Security。在源码分析过程中,我们可以学习到 Spring Security 的核心组件、流程和设计思想,以及如何扩展和定制 Spring Security

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值