Spring Security认证流程分

最新推荐文章于 2024-04-18 13:08:42 发布
最新推荐文章于 2024-04-18 13:08:42 发布
阅读量470 收藏 2
点赞数 1
文章标签: spring java servlet 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l688899886/article/details/126184294
版权

1.认证流程分析

  Spring Security中默认的一套登录流程是非常完善并且严谨的。但是项目需求非常多样化, 很多时候,我们可能还需要对Spring Secinity登录流程进行定制,定制的前提是开发者先深刻理解Spring Security登录流程,然后在此基础之上,完成对登录流程的定制。本文将从头梳理 Spring Security登录流程,并通过几个常见的登录定制案例,深刻地理解Spring Security登录流程。

  本章涉及的主要知识点有:

  • 登录流程分析。
  • 配置多个数据源。
  • 添加登录验证码。

1.1登录流程分析

  要搞清楚Spring Security认证流程,我们得先认识与之相关的三个基本组件(Authentication 对象在前面文章种己经做过介绍,这里不再赘述):AuthenticationManager、ProviderManager以及AuthenticationProvider,同时还要去了解接入认证功能的过滤器 
AbstractAuthenticationProcessingFilter,这四个类搞明白了,基本上认证流程也就清楚了,下面我们逐个分析一下。

1.1.1 AuthenticationManager

  从名称上可以看出,AuthenticationManager是一个认证管理器,它定义了 Spring Security 过滤器要如何执行认证操作。AuthenticationManager在认证成功后,会返回一个Authentication对象,这个Authentication对象会被设置到SecurityContextHolder中。如果开发者不想用Spring Security提供的一套认证机制,那么也可以自定义认证流程,认证成功后,手动将Authentication 存入 SecurityContextHolder 中。

public interface AuthenticationManager {    Authentication authenticate(Authentication var1) throws AuthenticationException;}

  从 AuthenticationManager 的源码中可以看到,AuthenticationManager 对传入的 Authentication对象进行身份认证,此时传入的Authentication参数只有用户名/密码等简单的属性,如果认证成功,返回的Authentication的属性会得到完全填充,包括用户所具备的角色信息。AuthenticationManager是一个接口,它有着诸多的实现类,开发者也可以自定义 AuthenticationManager的实现类,不过在实际应用中,我们使用最多的是ProviderManager,在 Spring S ecurity 框架中,默认也是使用 ProviderManager。

1.1.2 AuthenticationProvider

  Spring Security支持多种不同的认证方式,不同的认证方式对应不同的身份 类型,AuthenticationProvider就是针对不同的身份类型执行具体的身份认证。例如,常见的 DaoAuthenticationProvider 用来支持用户名/密码登录认证,
RememberMeAuthenticationProvider 用来支持“记住我”的认证。

public interface AuthenticationProvider {    Authentication authenticate(Authentication var1) throws AuthenticationException;    boolean supports(Class<?> var1);}
  • authenticate方法用来执行具体的身份忧证。
  • supports方法用来判断当前AuthenticationProvider是否支持对应的身份类型。

  当使用用户名/密码的方式登录时,对应的AuthenticationProvider实现类是 DaoAuthenticationProvider , 而 DaoAuthenticationProvider 继承自 
AbstractUserDetailsAuthenticationProvider并且没有重写authenticate方法,所以具体的认证逻辑在AbstractUserDetailsAuthenticationProvider 的 authenticate 方法中。我们就从 AbstractUserDetailsAuthenticationProvider开始看起:

查看代码

  • 一开始先声明一个用户缓存对象userCache,默认情况下没有启用缓存对象。
  • hideUserNotFoundExce
最低0.47元/天 解锁文章
知食份子.
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
大白话详解Spring Security认证流程
LoveSummer
11-04 2747
Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。
谷粒学院SpringSecurity认证流程详解
小鲁蛋的博客
03-19 1175
CSRF攻击依靠的是Cookie中所携带的认证信息,但是在前后端分离的项目中我们的认证信息其实是token,而token并不是存储中Cookie中,并且需要前端代码去把token设置到请求头中才可以,所以CSRF攻击也就不用担心了。:提供核心用户信息。如果在对用户信息,密码验证的过程中抛出异常,此时会判断用户信息是否从缓存中得到,考虑到数据是不实时的,重新通过retrieveUser方法去取出用户信息,再次重复进行检查验证。我们系统中会有许多用户,确认当前是哪个用户正在使用我们系统就是登录认证的最终目的。
spring security认证过程详解
最新发布
CVPR收割机的博客
04-18 1563
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
Spring Security 认证流程
m0_59448100的博客
10-04 683
Spring Security 认证流程
SpringSecurity认证详解,保姆级教学_springsecurity认证流程
2401_84103386的博客
04-04 1373
目的:默认的UserDetails里面只有用户的用户名, 没有其它的信息如果需要用到类似id和nickname等信息的话需要自定义UserDetails@Getter@ToStringthis.id=id;SpringSecurity框架默认开启了跨域攻击的防护,通过携带CSRF token对请求进行判断.因为现在都是前后端分离架构,客户端发出的请求都是异步请求,不存在form表单,所以不存在跨域攻击的问题,通过以下代码关闭跨域攻击,否则请求受限。
SpringSecurity认证详解,保姆级教学_springsecurity认证流程(1)
2401_83974087的博客
04-18 466
PreAuthorize(“hasAnyAuthority(‘ADMIN’)”) //当前登录用户必须拥有ADMIN权限否则会抛出异常。//将认证结果保存到Security上下文中 让Security框架记住登录状态。.authorities(“权限”) //授权,授予当前登录用户有什么权限。.credentialsExpired(false)//登录凭证是否过去。//通过认证管理器启动Security认证流程 返回认证结果对象。//当前登录对象 从Security得到当前登录的用户信息。
Spring security自定义用户认证流程详解
08-24
主要介绍了Spring security自定义用户认证流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解Spring Security认证流程
08-25
主要介绍了Spring Security认证流程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity认证流程详解
08-27
主要介绍了SpringSecurity认证流程详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security(1)
xbcai1的博客
04-23 1012
Spring Security,AuthenticationManager,AuthenticationManagerBuilder,userDetailsService,ProviderManager
SpringSecurity认证用户状态的判断
Leon_Jinhai_Sun的博客
11-16 1592
设置用户状态 用户认证业务里,我们封装User对象时,选择了三个构造参数的构造方法,其实还有另一个构造方法: public User(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> author
spring-security基础】基于角色及权限的认证
東₂₀₂₃²⁰²³
01-27 3781
spring-security基础,基于角色及权限的认证及注解的使用方法
一文梳理SpringSecurity中的登录认证流程
heshengfu1211的博客
03-20 5061
想要在基于SpringSecuritySpringBoot项目中实现多种自定义的登录认证方式,先把一文梳理SpringSecurity中的登录认证流程中基于用户名密码模式的登录认证搞懂了再说!
Spring Security 安全认证简单入门
03-27 1743
废话不说了,直接上代码   看注释应该丢会吧  到时候改下用户名  和密码即可第一步:导包  pom.xml&lt;!--安全认证  --&gt;                    &lt;dependency&gt;                    &lt;groupId&gt;org.springframework.security&lt;/groupId&gt;          ...
spring security认证和授权流程
热门推荐
健康平安的活着的专栏
07-25 1万+
一.springsecurity认证流程 1.1 常用过滤器 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明: WebAsyncManagerIntegrationFilter 将 Security 上下文与 Spring Web 中用于 处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilte
Spring Security 认证执行流程
niceyoo的博客
06-03 495
Spring Security 认证执行流程 本文基于 Spring Security 5.x 推荐阅读: 项目集成Spring Security SpringSecurity 整合 JWT 一、外层-正常登陆调用 项目启动后会自动寻找 UserDetailsService 实现类; 执行 UserDetailsServic...
Spring Security认证流程
11-30
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的安全认证和授权机制。下面是Spring Security认证流程: 1. 用户访问需要认证的资源,Spring Security会拦截请求并重定向到登录页面。 2. 用户输入用户名和密码,提交表单。 3. Spring Security会将表单提交的用户名和密码封装成一个Authentication对象。 4. AuthenticationManager接口会根据Authentication对象中的用户名和密码去调用UserDetailsService接口的实现类获取用户信息。 5. 如果获取到用户信息,则将用户信息封装成一个包含权限信息的Authentication对象返回给AuthenticationManager。 6. AuthenticationManager会将Authentication对象交给AuthenticationProvider接口的实现类进行认证。 7. 如果认证成功,则将认证成功的Authentication对象返回给Spring Security。 8. Spring Security会将认证成功的Authentication对象存储到SecurityContextHolder中,供后续的访问授权使用。 下面是一个简单的Spring Security认证流程的代码示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() .and() .formLogin() .and() .logout().logoutSuccessUrl("/login").permitAll(); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值