Spring Security获得认证流程解析(示意图)

已于 2023-10-25 20:50:40 修改
阅读量121 收藏
点赞数
分类专栏: Spring Security框架学习 文章标签: Spring Security java spring
于 2023-10-24 11:59:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lifetime_gear/article/details/134009059
版权

 建议先看完Spring Security总体架构介绍Spring Security认证架构介绍,然后从FilterChainProxy的doFilterInternal函数开始,配合文章进行debug以理解Spring Security认证源码的执行流程。

在之前的Spring Security认证架构介绍中,我们已经知道,直接访问一个资源默认的大致流程是:

  1. 用户发送资源请求(资源需要认证)。后端保存请求并重定向到login登录界面。(实际流程为匿名用户在AnonymousAuthenticationFilter获得一个匿名身份,然后在AuthorizationFilter过滤器中验证权限,抛出一个AccessDeniedException异常,该异常被ExceptionTranslationFilter捕获并调用handleAccessDeniedException函数处理,该函数中判断,如果是匿名用户,就会保存请求,并重定向到登录页面。)
  2. 用户进入认证界面,并发送表单进行登录。
  3. 表单请求进入FilterChain,并在UsernamePasswordAuthenticationFilter进行验证。(实际流程为FilterChainProxy调用UsernamePasswordAuthenticationFilter继承的父类AbstractAuthenticationProcessingFilter的过滤方法doFilter,doFilter再调用重写的过滤器类的attemptAuthentication函数)
  4. UsernamePasswordAuthenticationFilter处理流程(即attemptAuthentication函数逻辑):
    1. 从表单中获得username和password,封装成UsernamePasswordAuthenticationToken。
    2. 使用AuthenticationManager(实现类为ProviderManager)验证UsernamePasswordAuthenticationToken。
    3. 验证失败:ProviderManager抛出异常,信息为“用户名或密码错误”,被UsernamePasswordAuthenticationFilter捕获(实际是父类AbstractAuthenticationProcessingFilter的过滤方法doFilter下的异常处理机制),UsernamePasswordAuthenticationFilter调用AuthenticationFailureHandler类(实现类为SimpleUrlAuthenticationFailureHandler)的onAuthenticationFailure方法,onAuthenticationFailure方法保存原请求,将错误信息保存到response中然后应用themeleaf设置到动态网页,并重定向到/login?error。
    4. 验证成功:ProviderManager调用DefaultAuthenticationEventPublisher发布一个AuthenticationSuccessEvent事件,然后清除Token中Credentials信息;之后返回到UsernamePasswordAuthenticationFilter,更新认证到用户的会话信息,然后调用successfulAuthentication,将认证存入SecurityContext,调用rememberMeServices的loginSuccess,调用ApplicationContext(AnnotationConfigServletWebServerApplicationContext)发送一个InteractiveAuthenticationSuccessEvent事件,然后调用SavedRequestAwareAuthenticationSuccessHandler的onAuthenticationSuccess函数,在这里将进行重定向到原请求路径。

进入登录示意图:

登录验证失败示意图:

登录验证成功示意图:

寿命齿轮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security认证获得认证、持久化认证模块详解
lifetime_gear的博客
10-31 315
目前包含获得认证模块详解与源码解析、持久化认证模块详解。
SpringSecurity源码解析
zheyangyebuxingaaa的博客
01-08 443
Springboot 下 SpringSecurity 的自动配置源码解读
Security 登录认证流程详细分析 源码与图相结合
09-25 904
最近在写毕业设计的时候用这个框架,小伙伴给我提了个多种登录方式的需求,说仅仅只有账号、密码登录不太行,说让我增加几种方式,如:手机短信验证登录、邮箱验证登录、第三方登录等等(前两个已经实现,第三方登录还没搞定)一开始也挺让人懵逼,无从下手的。 看了好几篇博客,都弄的不完整,或者就是太高级了,我不太能行。之后就是看博客,说弄懂原理、流程后,写多种方式其实也蛮简单。然后我就老老实实的去Debug了。 这样子的效果是十分好的,多Debug几回,无论是对使用,还是对于编写代码,以及对这个技术的理解都会加深一些,以.
Spring Security 6.x 系列【44】微服务篇之统一身份认证实现方案
记录知识、锤炼自我
05-26 1443
在微服务架构中,前后端分离基于JSON进行数据交互,前端不仅有浏览器,还会有APP、H5、小程序等。 微服务中的后台应用一般都会按功能职责拆分为很多个独立应用,比如一个电商系统,会拆分为用户、订单、商品、库存、支付、商家管理等。一个大型项目后台应用可能有成千上万个,每个独立服务的职责都是单一的,对于登录认证来说,也是需要一个独立的服务,不可能每个服务实例都提供登录功能。
Spring Security的核心功能和加载运行流程的原理分析
q1472750149的博客
12-27 324
SpringSecurity的架构总览 Spring Security的简介说明 Spring Security认证授权和常见漏洞保护提供了全方位支持。使用的版本为:Spring Security 5.5.2。 概念释义 认证(Authentication):认证就是对试图访问资源的用户进行验证。 认证的场景就是 登录 流程,常见的方式就是要求提供用户名和密码,当验证通过的时候,就可以执行授权操作。 授权(Authority):授权就是对资源进行权限设置,只有用户具备相应权
Spring Security 6.x 系列【35】认证篇之基于JWT的集成方案
记录知识、锤炼自我
05-06 1576
在云计算、微服务流行的技术架构下,大型项目中的后端服务可能成千上万,用户端不仅仅是浏览器网站,可能还包含移动APP、机器终端等应用,传统的Cookie Session方式可能会面临一些问题。
Spring Security身份认证、权限验证、异常处理、自动登录流程整理
记录,记录,记录
04-07 1731
SpringSecurity是一系列filter,我们看功能实现,看你具体Filter就可以了。 我们需要关注的过滤器大致有4个: UsernamePasswordAuthenticationFilter:登录认证过滤器 FilterSecurityInterceptor:权限认证过滤器 ExceptionTranslationFilter:登录/权限认证失败处理器 RememberMeAuthenticationFilter:自动登录过滤器 1、UsernamePasswordAuthenticati
Spring Security权限框架简介
weixin_48016395的博客
04-27 2178
一、框架介绍 Spring是一个非常流行和成功的Java应用开发框架。Spring Security 是基于Spring框架,提供了一套Web应用安全性的完整解决方案。一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。
【深入浅出Spring原理及实战】「技术原理」Spring Security的核心功能和加载运行流程的原理分析
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
12-23 4644
Spring Security认证授权和常见漏洞保护提供了全方位支持。使用的版本为:Spring Security 5.5.2。注册标准Filter:首先,Spring 会自动注入一个DelegatingFilterProxy到 Servlet 的FilterChain中。
Spring security自定义用户认证流程详解
08-24
主要介绍了Spring security自定义用户认证流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证
SpringSecurity加载流程图.vsdx
09-05
SpringSecurity加载流程SpringSecurity系统启动流程 SpringSecurity调用流程
详解最简单易懂的Spring Security 身份认证流程讲解
08-26
主要介绍了详解最简单易懂的Spring Security 身份认证流程讲解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JAVA 学习·泛型(二)——通配泛型
wr114514的博客
05-02 1056
介绍了Java泛型中的重要知识点——通配泛型及其应用。
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
weixin_44131922的博客
04-30 502
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
springboot 获取maven打包时间
I do more ,you do less
04-30 497
【代码】springboot 获取maven打包时间。
Java---类和方法的再学习
最新发布
m0_74012211的博客
05-05 1070
Java类与对象
帮我画一个Spring Security认证流程
04-01
但是我可以为您描述Spring Security认证流程: 1. 用户访问需要认证的资源,如登录页面。 2. 应用程序将用户请求重定向到Spring Security认证入口。 3. 用户输入用户名和密码。 4. Spring Security将用户提供的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值