SpringSecurity系列 之 认证成功处理流程

最新推荐文章于 2024-08-19 23:50:19 发布
最新推荐文章于 2024-08-19 23:50:19 发布
阅读量3.1k 收藏 2
点赞数 1
分类专栏: Spring Cloud Spring 文章标签: SpringSecurity spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hou_ge/article/details/118249886
版权

1、常见用法

  和SpringSecurity认证失败处理器方法类似,认证成功也提供了三种的配置方式,而且和认证失败的方式基本上是对应的。分别是:

  1. defaultSuccessUrl()方法,提供了两个重载方法,一个参数的方法只需要配置默认重定向路径,两个参数的方法除了配置重定向路径,还需要配置是否无论什么情况只重定向配置的路径。
  2. successForwardUrl()方法,服务端转发,无论什么情况只转发到配置的路径。
  3. successHandler()方法,自定义认证成功处理器。

defaultSuccessUrl()方法的用法

  首先,我们看一下defaultSuccessUrl()方法的用法,如果使用两个参数的方法,当第二个参数为true时,当我们登陆认证成功后,即使是之前访问过需要认证的路径,这个时候也会直接调整到配置的重定向路径上,如果第二个参数为false时,如果之前访问了需要认证的路径,认证成功后就会重定向到之前访问的需要认证的路径上。一个参数的配置,就是默认第二个参数为false。

//SpringSecurity配置类
@Override
protected void configure(HttpSecurity http) throws Exception {
      http.authorizeRequests()
              .antMatchers("/error","/goLogin","/doLogin","/401","/static/**").permitAll()
              .anyRequest().authenticated()
              .and()
              .formLogin()
              .loginPage("/goLogin")
              .loginProcessingUrl("/doLogin")
              .defaultSuccessUrl("/index/toIndex",true)
              .failureUrl("/login/error")
              .permitAll()
}

successForwardUrl()方法的用法

  从用法和效果上,非常类似defaultSuccessUrl()方法第二个参数为true的情况,即无论是否访问过需要认证的路径,都只是转发到配置的路径上。和defaultSuccessUrl()方法区别还有一点就是,这里是通过服务端进行转发的,而defaultSuccessUrl()方法则是由浏览器重定向完成的。具体用法如下:

//SpringSecurity配置类
@Override
protected void configure(HttpSecurity http) throws Exception {
      http.authorizeRequests()
              .antMatchers("/error","/goLogin","/doLogin","/401","/static/**").permitAll()
              .anyRequest().authenticated()
              .and()
              .formLogin()
              .loginPage("/goLogin")
              .loginProcessingUrl("/doLogin")
              .successForwardUrl("/index/toIndex")
              .failureUrl("/login/error")
              .permitAll()
}

successHandler()方法的用法

  这种方式,主要是用来实现自定义认证处理器的配置,使用起来会更加灵活。其实,前两种用法其实本质上也是基于这种用法实现的,不过是框架默认提供了便捷的使用方式。具体用法如下:

//SpringSecurity配置类
@Override
protected void configure(HttpSecurity http) throws Exception {
      http.authorizeRequests()
              .antMatchers("/error","/goLogin","/doLogin","/401","/static/**").permitAll()
              .anyRequest().authenticated()
              .and()
              .formLogin()
              .loginPage("/goLogin")
              .loginProcessingUrl("/doLogin")
               .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        //处理逻辑
                    }
                })
              .failureUrl("/login/error")
              .permitAll()
}

2、AuthenticationSuccessHandler接口

  AuthenticationSuccessHandler是认证成功后的处理接口,通过实现该接口,可以定义各类复杂的处理方式。

  类结构如下:
在这里插入图片描述
  AuthenticationSuccessHandler接口定义如下,其中onAuthenticationSuccess()方法就是约定了认证成功后,将要执行的方法,该方法会在AbstractAuthenticationProcessingFilter类的successfulAuthentication()方法中调用。

public interface AuthenticationSuccessHandler {

	default void onAuthenticationSuccess(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, Authentication authentication)
			throws IOException, ServletException{
		onAuthenticationSuccess(request, response, authentication);
		chain.doFilter(request, response);
	}

	void onAuthenticationSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication authentication)
			throws IOException, ServletException;

}

3、defaultSuccessUrl()方法

  defaultSuccessUrl()方法是通过浏览器重定向实现页面跳转的,我们从代码层面分析配置是如何生效的。

//AbstractAuthenticationFilterConfigurer.java

//一个参数的方法,其实是调用两个参数的方法,并把第二个参数设置为false
public final T defaultSuccessUrl(String defaultSuccessUrl) {
	return defaultSuccessUrl(defaultSuccessUrl, false);
}
//两个参数的方法
public final T defaultSuccessUrl(String defaultSuccessUrl, boolean alwaysUse) {
	SavedRequestAwareAuthenticationSuccessHandler handler = new SavedRequestAwareAuthenticationSuccessHandler();
	handler.setDefaultTargetUrl(defaultSuccessUrl);
	handler.setAlwaysUseDefaultTargetUrl(alwaysUse);
	this.defaultSuccessHandler = handler;
	return successHandler(handler);
}

  根据上述代码,我们知道,defaultSuccessUrl()方法,底层使用了SavedRequestAwareAuthenticationSuccessHandler 处理器,然后再设置重定向路径和是否总是使用配置路径两个参数(对应方法的两个变量),然后再把该处理器赋值给全局变量defaultSuccessHandler(框架默认使用的也是SavedRequestAwareAuthenticationSuccessHandler 处理器),最后调用successHandler()方法,把定义的处理器赋值给successHandler变量,即设置当前认证成功处理器。

//AbstractAuthenticationFilterConfigurer.java

public final T successHandler(AuthenticationSuccessHandler successHandler) {
	this.successHandler = successHandler;
	return getSelf();
}

  至此,使用defaultSuccessUrl()方法的配置到这里其实就完成了设置,后续我们再分析这些配置是如何生效的。

SavedRequestAwareAuthenticationSuccessHandler类

  SavedRequestAwareAuthenticationSuccessHandler类是实现认证成功处理的核心逻辑,主要在onAuthenticationSuccess()方法中定义,实现如下:

//SavedRequestAwareAuthenticationSuccessHandler.java
@Override
public void onAuthenticationSuccess(HttpServletRequest request,
		HttpServletResponse response, Authentication authentication)
		throws ServletException, IOException {
	SavedRequest savedRequest = requestCache.getRequest(request, response);

	if (savedRequest == null) {
		super.onAuthenticationSuccess(request, response, authentication);

		return;
	}
	String targetUrlParameter = getTargetUrlParameter();
	if (isAlwaysUseDefaultTargetUrl()
			|| (targetUrlParameter != null && StringUtils.hasText(request
					.getParameter(targetUrlParameter)))) {
		requestCache.removeRequest(request, response);
		super.onAuthenticationSuccess(request, response, authentication);

		return;
	}

	clearAuthenticationAttributes(request);

	// Use the DefaultSavedRequest URL
	String targetUrl = savedRequest.getRedirectUrl();
	logger.debug("Redirecting to DefaultSavedRequest Url: " + targetUrl);
	getRedirectStrategy().sendRedirect(request, response, targetUrl);
}

  在上述方法中,又调用了父类SimpleUrlAuthenticationSuccessHandler的onAuthenticationSuccess()方法,实现如下:

//SimpleUrlAuthenticationSuccessHandler.java
public void onAuthenticationSuccess(HttpServletRequest request,
		HttpServletResponse response, Authentication authentication)
		throws IOException, ServletException {
	//AbstractAuthenticationTargetUrlRequestHandler中定义,实现跳转页面的获取,和实现由浏览器进行的地址重定向
	handle(request, response, authentication);
	//清除session中的认证信息
	clearAuthenticationAttributes(request);
}

//AbstractAuthenticationTargetUrlRequestHandler.java
protected void handle(HttpServletRequest request, HttpServletResponse response,
		Authentication authentication) throws IOException, ServletException {
	String targetUrl = determineTargetUrl(request, response, authentication);

	if (response.isCommitted()) {
		logger.debug("Response has already been committed. Unable to redirect to "
				+ targetUrl);
		return;
	}
	redirectStrategy.sendRedirect(request, response, targetUrl);
}

4、defaultSuccessUrl()方法

  successForwardUrl()方法是通过服务端转发实现页面跳转的,本质上是使用了ForwardAuthenticationSuccessHandler处理器,具体实现如下:

//FormLoginConfigurer.java
public FormLoginConfigurer<H> successForwardUrl(String forwardUrl) {
	successHandler(new ForwardAuthenticationSuccessHandler(forwardUrl));
	return this;
}

//AbstractAuthenticationFilterConfigurer.java
public final T successHandler(AuthenticationSuccessHandler successHandler) {
	this.successHandler = successHandler;
	return getSelf();
}

ForwardAuthenticationSuccessHandler类

  ForwardAuthenticationSuccessHandler类是defaultSuccessUrl()方法实现认证成功处理的核心逻辑,主要在onAuthenticationSuccess()方法中定义,实现如下:

public class ForwardAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

	private final String forwardUrl;
	
	public ForwardAuthenticationSuccessHandler(String forwardUrl) {
		Assert.isTrue(UrlUtils.isValidRedirectUrl(forwardUrl),
				() -> "'" + forwardUrl + "' is not a valid forward URL");
		this.forwardUrl = forwardUrl;
	}

	public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
		//实现服务端转发,且只考虑配置的地址,不考虑是否有认证地址需要跳转
		request.getRequestDispatcher(forwardUrl).forward(request, response);
	}
}

5、自定义处理器方式

  自定义处理器方式其实就是认证成功处理流程的最基本的实现方式,前面两种也是SpringSecurity框架基于这种方式提供了两种常用的方案而已。配置方法实现如下:

//AbstractAuthenticationFilterConfigurer.java
public final T successHandler(AuthenticationSuccessHandler successHandler) {
	this.successHandler = successHandler;
	return getSelf();
}

6、认证成功处理的工作原理

  认证成功处理主要包括了上述配置内容的初始化和认证成功后执行两部分。

6.1、初始化操作

  在启动项目的时候,会根据配置内容进行初始化操作。配置是在AbstractAuthenticationFilterConfigurer类的configure()方法中来完成的。实现如下:

//AbstractAuthenticationFilterConfigurer.java

//默认赋值
private AuthenticationSuccessHandler successHandler = this.defaultSuccessHandler;

//用户自定义配置,前面三种配置方式,最后都是调用了该方法,即为successHandler 变量赋值,配置了我们定义的处理器。
public final T successHandler(AuthenticationSuccessHandler successHandler) {
	this.successHandler = successHandler;
	return getSelf();
}

//为过滤器设置认证成功处理器
@Override
public void configure(B http) throws Exception {
	
	//省略 ……

	RequestCache requestCache = http.getSharedObject(RequestCache.class);
	if (requestCache != null) {
		this.defaultSuccessHandler.setRequestCache(requestCache);
	}
	
	authFilter.setAuthenticationSuccessHandler(successHandler);
	
	//省略 ……
}

  在上述方法中,主要实现了为过滤器(UsernamePasswordAuthenticationFilter对象)配置认证成功处理器,实际定义是在父类AbstractAuthenticationProcessingFilter中,实现如下:

//AbstractAuthenticationProcessingFilter.java
public void setAuthenticationSuccessHandler(
		AuthenticationSuccessHandler successHandler) {
	Assert.notNull(successHandler, "successHandler cannot be null");
	this.successHandler = successHandler;
}

  通过上述的过程,项目启动后,配置的认证成功处理器,实际上就已经配置到对应的过滤器上,并完成了初始化的工作。

6.2、处理过程

  前面分析了处理器是如何进行初始化的。那么初始化之后,又是如何产生作用的呢?我们下面开始分析认证成功处理器是如何工作的。

  认证成功处理器其实就是在AbstractAuthenticationProcessingFilter类的successfulAuthentication()方法中调用执行的,实现如下:

protected void successfulAuthentication(HttpServletRequest request,
	HttpServletResponse response, FilterChain chain, Authentication authResult)
		throws IOException, ServletException {

	//省略 ……

	SecurityContextHolder.getContext().setAuthentication(authResult);

	rememberMeServices.loginSuccess(request, response, authResult);
	
	if (this.eventPublisher != null) {
		eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
				authResult, this.getClass()));
	}

	successHandler.onAuthenticationSuccess(request, response, authResult);
}

  在successfulAuthentication()方法中,首先为SecurityContextHolder对象设置认证信息,然后调用rememberMeServices的loginSuccess()方法,实现登录成功后的缓存处理,通过该方法可以实现“记住登录密码”功能,最后调用successHandler的onAuthenticationSuccess()方法,实现认证成功处理器的调用和执行,登录认证成功,我们可以跳转到登录成功的首页或访问的需要认证地址(一般单应用)也可以通过实现自定义的处理器实现返回json数据等,前面已经介绍了三种方式是如何实现登录成功的后续处理的,这里不再重复。

  至此,我们就梳理完了 认证成功处理器的工作原理和处理流程,后续我们将继续学习SpringSecurity中其他的知识点,努力向前!!!

姠惢荇者
关注
专栏目录
Spring Security 6.x 系列【6】源码篇之表单登录认证流程
记录知识、锤炼自我
03-28 1804
本篇文档主要学习中用户名密码认证的执行流程。之前我们说过基于过滤器实现的,也介绍了过滤器和相关认证组件,接下来跟随源码,看下具体用户名密码认证的整个流程。表单登录时,登录请求会进入到过滤器中,该过滤器会拦截前端提交的POST登录表单请求,并进行身份认证。该过滤器的doFilter方法,实际执行的是其父类方法,这是一个抽象类,使用模板设计,主要是执行认证过滤器,根据不同的认证方式,执行不同子类的认证逻辑。可以从它的实现类看出Security的doFilter方法,几乎完成了认证的所有流程。/**
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8091
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Spring Authorization Server入门 (十二) 实现授权码模式使用前后端分离的登录页面
云逸的博客
07-10 8653
今天的主题就是使用单独部署的登录页面替换认证服务器默认的登录页面(前后端分离时使用前端的登录页面),目前在网上能搜到的很多都是理论,没有很好的一个示例,我就按照我自己的想法写了一个实现,给大家提供一个思路,如果有什么问题或者更好的想法可以在评论区提出,谢谢。
SpringSecurity源码解读(二) successHandler
feijingguan的博客
08-10 3500
前言:这个successHandler就是说认证成功之后该怎么跳转页面。这里需要先有个认识,有三个地方可以存储跳转的页面地址         1)request(对应属性targetUrlParameter)         2)配置文件(对应属性defaultTragetUrl)         3)缓存中 这里的流程涉及三个类,不过都是一个类以及它的子类和子类的子类而已,这里会倒序
Spring Security之登录跳转
最新发布
Evan_L的博客
08-19 967
SpringSecurity是如何跳转到登录前的请求的?这个可就涉及到异常处理过滤器和认证过滤器的协同了。感兴趣的,进来看看哦
Spring SecurityAuthenticationSuccessHandler 用户认证成功处理
杜小舟的博客
12-28 2408
`AuthenticationSuccessHandler` 接口的作用是做用户认证成功后执行的操作处理器;官方目前是给了三个默认的处理器,我们也可以自定义处理器,接下来先简单介绍一下官方的,然后再用一个小例子自定义一个自己的。
4.SpringSecurity自定义登录成功处理、显示登录失败信息、自定义登录失败处理、注销登录配置、前后端分离注销登录配置
一个双子座的Java攻城狮
12-07 2477
Spring security自定义登录成功处理、失败处理
Spring Security 解析(一) —— 授权过程
hopelgl的博客
04-20 770
Spring Security 解析(一) —— 授权过程 在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 项目环境: JDK1.8 Spr...
Spring Security 认证与授权流程
qq_53578500的博客
07-22 6921
Spring Security 认证与授权流程
爆破专栏丨Spring Security系列教程之Spring Security认证授权流程_if (!this
2301_82241647的博客
05-04 605
一次偶然,从朋友那里得到一份“java高分面试指南”,里面涵盖了25个分类的面试题以及详细的解析:JavaOOP、Java集合/泛型、Java中的IO与NIO、Java反射、Java序列化、Java注解、多线程&并发、JVM、Mysql、Redis、Memcached、MongoDB、SpringSpring Boot、Spring Cloud、RabbitMQ、Dubbo 、MyBatis 、ZooKeeper 、数据结构、算法、Elasticsearch 、Kafka 、微服务、Linux。
Spring Security 6.x 系列(5)—— Servlet 认证体系结构介绍
热门推荐
gmHappy
11-25 1万+
安全上下文持有者,存储当前认证用户的。:安全上下文,包含当期认证用户的(认证信息),从中获取。:认证信息,用户提供的用于身份认证的凭据的输入。:授予主体的权限(即角色、作用域等)。:认证管理器,是一个接口,定义过滤器执行身份认证的API。:提供者管理器,是的默认实现。: 认证提供者,由选择,用于执行特定类型的身份认证。: 认证入口点,处理认证过程中的认证异常,比如:重定向登录页面:抽象认证处理过滤器,一个Filter抽象类,是身份验证的基础。
SpringSecurity认证流程详解
08-27
SpringSecurity 中,认证处理流程主要是通过 UsernamePasswordAuthenticationFilter 类来实现的。该类继承自 AbstractAuthenticationProcessingFilter,并提供了 attemptAuthentication 方法来处理用户的认证请求...
spring securityAuthenticationSuccessHandler 没有调用 ,无法生效
qq_46506007的博客
04-16 1879
spring securityAuthenticationSuccessHandler 接口的方法 ,没有调用 ,无法生效,不起作用
springsecurity中,使用successHandler和defaultSuccessUrl(successForwardUrl)连用,只生效一个的问题
Memory166的博客
03-10 1757
开发中,碰到既要设置成功登录后跳转到指定页面,而不是springsecurity中默认的index页面,又要登录成功后要做一些操作,比如某个用户的权限菜单获取。如果successHandler和defaultSuccessUrl(successForwardUrl)连用,只生效一个,并且是谁在后面谁生效。 代码如下,这样设置只有successHandler一个生效,不能跳转到默认的"/success"页面。同理,将defaultSuccessUrl()放在前面。则不执行配置的successHandler中
SpringBoot集成SpringSecurity(七)简单分析认证流程
xinshengdelei的专栏
03-31 873
认证流程 用户提交后,默认走用户密码认证过滤器UsernamePasswordAuthenticationFilter,其继承了一个抽象的认证过滤器AbstractAuthenticationProcessingFilter。 AbstractAuthenticationProcessingFilter的doFilter方法负责认证流程,其关键过程包括: UsernamePasswordAuthenticationFilter.attemptAuthentication方法,认证过程。 succ
SpringSecurity框架的认证和授权过程
qq_45932382的博客
12-22 4254
一、认证过程 1、编写自定义的过滤器TokenLoginFilter,继承UsernamePasswordAuthenticationFilter,重写 attemptAuthenticationsuccessfulAuthentication、unsuccessfulAuthentication方法,attemptAuthentication方法获取前端提交的用户名和密码,封装成Authentication对象。 successfulAuthentication方法认证成功时调用,unsucces
史上最简单的Spring Security教程(五):成功登录SuccessHandler高级用法
银河架构师的博客
06-25 8043
在了解了如何简单的配置成功登录后调转的页面、如何始终指定系统跳转到某一地址后,我们可能会庆幸,原来如此简单。是的,确实如此简单,Spring Security框架协助我们完成了大部分的工作,而我们只需稍微配置,即可使用。 但是,业务场景,又何尝会如此简单。举个例子,我们在登录某个网站之后,微信、短信、邮箱可能会接受到一条这样的信息/邮件。 还有,比如这样的。 甚至于,我要记录每一次的登录信息到数据库、到日志文件等等,方便后续做审计、分析。 其实,Spring Security框架也...
Spring Security 做前后端分离的数据交互
qq_40548741的博客
07-30 2041
在前后端分离项目中,项目的交互都是通过 JSON 来进行,无论登录成功还是失败,后端只需返回是否成功的JSON给前端,由前端决定页面的跳转问题,和后端没有关系了。 前面两章我们已经简单的使用了Spring Security做表单跳转,前后端分离需要用到successHandler来配置登录成功的回调。 前两章传送门 Spring Security初使用 Spring Security自定义表单登录详解 successHandler 的功能十分强大,甚至已经囊括了 defaultSuccessUrl 和 su
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姠惢荇者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值