史上最简单的Spring Security教程(二十七):AuthenticationManager默认实现之ProviderManager详解

最新推荐文章于 2024-04-18 07:32:03 发布
最新推荐文章于 2024-04-18 07:32:03 发布
阅读量3.3k 收藏 5
点赞数 4
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuminglei1987/article/details/108644881
版权

 

Spring Security 框架中的另一个重要接口 AuthenticationManager, 被设计用于处理 Authentication 请求。

与 AuthenticationProvider 接口一致,AuthenticationManager 接口中有且只有一个方法,即authenticate(Authentication authentication) 方法。

Authentication authenticate(Authentication authentication)
      throws AuthenticationException;

该方法与 AuthenticationProvider 中的 authenticate 方法声明及功能完全一致,返回包含凭据的完整身份验证对象 authentication。但是,如果 AuthenticationProvider 不支持给定的 Authentication 的话,该方法可能会返回 null。在此情况下,下一个支持 authentication 的 AuthenticationProvider 将会被尝试。

AuthenticationManager 接口的默认实现为 ProviderManager,其逻辑也不复杂。

首先,便是调用 AuthenticationProvider 中的 supports(Class<?> authentication) 方法,判断是否支持当前的 Authentication 请求。

public Authentication authenticate(Authentication authentication)
      throws AuthenticationException {
    ......
​
    for (AuthenticationProvider provider : getProviders()) {
      if (!provider.supports(toTest)) {
        continue;
      }

只有支持当前 Authentication 请求的 AuthenticationProvider 才会继续后续逻辑处理。

然后,便是调用 AuthenticationProvider 中的 authenticate(Authentication authentication) 方法进行身份认证。

public Authentication authenticate(Authentication authentication)
      throws AuthenticationException {
    ......
​
    for (AuthenticationProvider provider : getProviders()) {
      if (!provider.supports(toTest)) {
        continue;
      }
​
      ......
​
      try {
        result = provider.authenticate(authentication);
        ......
      }

如果认证成功且返回的结果不为 null,则执行 authentication details 的拷贝逻辑

try {
    result = provider.authenticate(authentication);
​
    if (result != null) {
        copyDetails(authentication, result);
        break;
    }
}
​
......
​
private void copyDetails(Authentication source, Authentication dest) {
    if ((dest instanceof AbstractAuthenticationToken) && (dest.getDetails() == null)) {
        AbstractAuthenticationToken token = (AbstractAuthenticationToken) dest;
​
        token.setDetails(source.getDetails());
    }
}

如果发生 AccountStatusException 或 InternalAuthenticationServiceException 异常,则会通过Spring事件发布器AuthenticationEventPublisher 发布异常事件。

catch (AccountStatusException e) {
    prepareException(e, authentication);
    // SEC-546: Avoid polling additional providers if auth failure is due to
    // invalid account status
    throw e;
}
catch (InternalAuthenticationServiceException e) {
    prepareException(e, authentication);
    throw e;
}
​
......
​
private void prepareException(AuthenticationException ex, Authentication auth) {
    eventPublisher.publishAuthenticationFailure(ex, auth);
}

如果异常为其它类型的 AuthenticationException,则将此异常设置为 lastException 并返回。

catch (AuthenticationException e) {
    lastException = e;
}

如果认证结果为 null,且存在父 AuthenticationManager,则调用父 AuthenticationManager 进行同样的身份认证操作,其处理逻辑基本同上。

if (result == null && parent != null) {
    // Allow the parent to try.
    try {
        result = parentResult = parent.authenticate(authentication);
    }
    catch (ProviderNotFoundException e) {
        // ignore as we will throw below if no other exception occurred prior to
        // calling parent and the parent
        // may throw ProviderNotFound even though a provider in the child already
        // handled the request
    }
    catch (AuthenticationException e) {
        lastException = parentException = e;
    }
}

如果认证结果不为 null,同时,此时的 eraseCredentialsAfterAuthentication 参数为 true,且此时认证后的 Authentication 实现了 CredentialsContainer 接口,那么即调用 CredentialsContainer 接口的凭据擦除方法,即eraseCredentials,擦除相关凭据信息。

if (result != null) {
    if (eraseCredentialsAfterAuthentication
        && (result instanceof CredentialsContainer)) {
        // Authentication is complete. Remove credentials and other secret data
        // from authentication
        ((CredentialsContainer) result).eraseCredentials();
    }
​
    // If the parent AuthenticationManager was attempted and successful than it will publish an AuthenticationSuccessEvent
    // This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
    if (parentResult == null) {
        eventPublisher.publishAuthenticationSuccess(result);
    }
    return result;
}

其中,有一个防止重复发布 AuthenticationSuccessEvent 事件的处理,即 parentResult 为空。如果 parentResult 为 null,则代表父 AuthenticationManager 不存在或者没有身份认证成功,也即没有发布过 AuthenticationSuccessEvent 事件。此时,便由此处发布 AuthenticationSuccessEvent 事件。

最后,便是对于 lastException 的相关处理。

如果 lastException 为 null,则代表当前的 Authentication 并没有对应支持的 Provider。此时,便会抛出相应异常。

if (lastException == null) {
    lastException = new ProviderNotFoundException(messages.getMessage(
        "ProviderManager.providerNotFound",
        new Object[] { toTest.getName() },
        "No AuthenticationProvider found for {0}"));
}

接下来,如同防止重复发布 AuthenticationSuccessEvent 事件的处理一样,也有一个防止 AbstractAuthenticationFailureEvent 事件重复发布的逻辑处理。如果 parentException 为 null,则代表父AuthenticationManager 不存在、没有进行身份认证或者发布过 AbstractAuthenticationFailureEvent 事件,此时,便由此处发布 AbstractAuthenticationFailureEvent 事件。

if (parentException == null) {
    prepareException(lastException, authentication);
}
​
throw lastException;

最后,抛出 lastException

但是,抛出 lastException 之后呢?其实,是被另外一个 Filter 捕获并初始化到当前用户的 Request 中,感兴趣的朋友可以关注后续的文章,会有详细的解释。

如同之前介绍其它重要接口一样,我们了解了其详细的逻辑以后,不妨自己自定义一个 AuthenticationManager 的实现。我们先不实现复杂的逻辑,就针对 UsernamePasswordAuthenticationToken 相对应的 DaoAuthenticationProvider 来实现一个 AuthenticationManager

public Authentication authenticate(Authentication authentication)
            throws AuthenticationException {
        ......
​
        if (provider.supports(toTest)) {
      ......
​
            try {
                result = provider.authenticate(authentication);
            }
       ......
            catch (AuthenticationException e) {
                lastException = e;
            }
​
            ......
​
        } else {
            lastException = new ProviderNotFoundException(messages.getMessage(
                    "ProviderManager.providerNotFound",
                    new Object[] { toTest.getName() },
                    "No AuthenticationProvider found for {0}"));
        }
​
        ......
​
        throw lastException;
    }

此 AuthenticationManager 只接受 DaoAuthenticationProvider 或者其子类,可以单纯的作为例子来看,不作其它意义。

其它详细源码,请参考文末源码链接,可自行下载后阅读。

我是银河架构师,十年饮冰,难凉热血,愿历尽千帆,归来仍是少年! 

如果文章对您有帮助,请举起您的小手,轻轻【三连】,这将是笔者持续创作的动力源泉。当然,如果文章有错误,或者您有任何的意见或建议,请留言。感谢您的阅读!

 

源码

 

github

https://github.com/liuminglei/SpringSecurityLearning/tree/master/27

gitee

https://gitee.com/xbd521/SpringSecurityLearning/tree/master/27

 

 

银河架构师
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解简单易懂的Spring Security 身份认证流程讲解
08-26
"Spring Security 身份认证流程讲解" Spring Security 是一个功能强大且复杂的框架,对于 JavaEE 工程师来说是一个必备的知识点。本文将从身份认证的角度讲解 Spring Security 的原理和实现过程。 身份认证是 Web...
Spring Security实现不同接口安全策略方法详解
09-07
Spring Security中,实现不同接口的安全策略是一项关键任务,尤其在处理多种应用场景,如无状态的JSON Web Token (JWT) 和基于Session的传统后端渲染应用时。本文将深入探讨如何利用Spring Security为不同接口定制...
Spring Security配置AuthenticationManager
qq_44113347的博客
05-22 1727
Override总结一旦通过 configure 方法自定义 AuthenticationManager 实现 就回将工厂中自动配置 AuthenticationManager 进行覆盖一旦通过 configure 方法自定义 AuthenticationManager 实现 需要在实现中指定认证数据源对象 UserDetaiService 实例。
SpringSecurityProviderManager是如何产生的,如何与UsernamePasswordAuthenticationFilter光联在一起
a19900727的博客
03-24 2502
本文主要探讨ProviderManager是如何被创建的,并且如何和UserNamePasswordAuthenticationFilter过滤器关联在一起的。
Spring Security账号密码认证源码解析(1)
最新发布
2401_84011132的博客
04-18 712
大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享,把Kafka的实现脉络展示在读者面前,帮助读者更好地研读Kafka代码。麻烦帮忙转发一下这篇文章+关注我《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。
spring security Ⅲ—— authenticationManager.authenticate()验证流程
qq_45947664的博客
10-14 9612
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
学习若依框架----之----authenticationManager.authenticate()调用UserDetailsServiceImpl.loadUserByUsername过程
XuDream的博客
09-07 6932
就调用了UserDetailsServiceImpl.loadUserByUsername的方法。authenticationManager.authenticate()调用其实就是ProviderManager.authenticate()其中的过程想要了解的建议参考。
SpringOauth2.0源码分析之ProviderManager(二)
有信仰的蜗牛
10-23 2860
1.概述 在SpringOauth2.0中,所有的认证服务,均通过ProviderManager认证管理中心进行认证。通过分析ProviderManager,可以理解SpringOauth2.0认证的细节。也是整个流程中最核心的环节之一。 2.ProviderManager 的类结构 ProviderManager 继承实现AuthenticationManager接口。 public class...
SpringSecurity默认AuthenticationProvider
zjy660358的专栏
11-11 2072
SpringSecurity默认实现AuthenticationManagerProviderManager,这个主要作用是给Authentication找到支持的Provider,并authenticate 1、只在配置文件中定义用户名和密码 2、自定义userDetailsService 3、Config文件覆盖authenticationManager()方法 @Bean MyAuthenticationProvider myAuthentica.
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
Spring Security整合Oauth2实现流程详解
09-07
Spring Security 是一个强大的安全框架,它为Java应用程序提供了全面的安全管理解决方案。而OAuth2则是一种开放标准,用于授权第三方应用访问用户的数据。在前后端分离的架构中,OAuth2常常用于处理用户登录验证,...
详解Spring Security 简单配置
08-30
Spring Security 简单配置详解 Spring Security 是一个广泛使用的基于 Java 的安全框架,提供了身份验证、授权、加密等安全功能。在本篇文章中,我们将详细介绍 Spring Security简单配置,以便大家更好地理解和...
InternalAuthenticationServiceException Cause: java.sql.SQLSyntaxErrorException
the_will_way的博客
07-27 1975
Caused by: java.sql.SQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax 一种可能: Mapper接口中@Select中的sql与引号之间需要加空格 eg: @Select(" select distinct m.permissio...
Spring Cloud实战 | 第九篇:Spring Cloud整合Spring Security OAuth2认证服务器统一认证自定义异常处理
竹林幽深
10-08 2051
https://blog.51cto.com/u_12386660/4909247
SpringSecurity 连载一
rizhaozhongtian的博客
10-05 412
关于 Spring Security 的学习连载。
spring security抛出AuthenticationException异常的原因
weixin_30737433的博客
12-04 734
可能是因为密码不正确,特别是密码使用md5或者其它的加密算法加密之后,更是如此。 还有一点: 在UsernamePasswordAuthenticationFilter的子类中的attemptAuthentication方法中,只要去验证你自己的逻辑就可以了,不要在这里验证用户名,密码是否正确,因为这是UserDetailsService要干的事情。 比如我的attemptAuthentic...
InternalAuthenticationServiceException: Invalid bound statement (not found):
AN_NI_112的博客
06-23 858
InternalAuthenticationServiceException: Invalid bound statement (not found):
关于Spring Security自定义认证时,异常处理的问题,如何使用自定义异常进行消息提示
无限进步的博客
02-10 2372
我们在利用springSecurity进行认证时,如果没有配置认证失败处理器,想要在自己实现UserDetailsService中抛出异常来进行提示用户用户名错误时,再利用全局异常处理器中是无法捕获到自己抛出的异常。
Spring Security-AuthenticationManager执行登录认证过程
weixin_40250060的博客乱余生
04-10 2269
1.AuthenticationManager是一个接口,只有一个方法 authenticate,入参和返回值都 AuthenticationAuthenticationManager接口: 2.ProviderManager实现AuthenticationManager接口,ProviderManager委托AuthenticationProvider接口去实现认证过程,有个抽象方法authenticate ProviderManager实现的authenticate方法: Aut.
Spring Security in Action
11-22
Spring Security in Action》是一本由Laurentiu Spilca编写的实用指南,专注于介绍Spring框架中的安全功能。Spring SecuritySpring生态系统中的关键组件,用于提供企业级Web应用的安全性,包括身份验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值