spring security身份认证流程

最新推荐文章于 2024-06-18 07:28:07 发布
最新推荐文章于 2024-06-18 07:28:07 发布
阅读量684 收藏 2
点赞数 1
分类专栏: JAVA 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37911384/article/details/104790472
版权

spring security身份认证大致流程

下面是本人学习spring security时总结的大致认证流程,对于理解spring security认证过程应该可以有初步的了解,代码从网上学习文章摘取。

总结:

1、请求进入UsernamePasswordAuthenticationFilter ,不知道用户名密码是不是对的,所以构造一个未认证的Token

2、this.getAuthenticationManager().authenticate(token); token交给AuthenticationManager

3、AuthenticationManager根据token注册对应的AuthenticationProvider

4、AuthenticationProvider提取token的值,先用缓存获取UserDetails,没缓存?使用retrieveUser方法获取,retrieveUser方法里有熟悉的loadUserByUsername(添加用户信息权限)

5、additionalAuthenticationChecks方法校验UserDetails密码和权限

在这里插入图片描述

涉及的一些类:

1、UsernamePasswordAuthenticationFilter
2、AuthenticationManager
3、AuthenticationProvider
4、UserDetailsService
5、UserDetails

1、UsernamePasswordAuthenticationFilter

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
    public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
    private String usernameParameter = "username";
    private String passwordParameter = "password";
    private boolean postOnly = true;

    public UsernamePasswordAuthenticationFilter() {
        //1.匹配URL和Method
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            //啥?你没有用POST方法,给你一个异常,自己反思去
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            //从请求中获取参数
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            //我不知道用户名密码是不是对的,所以构造一个未认证的Token先
            UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password);
            //顺便把请求和Token存起来
            this.setDetails(request, token);
            //Token给谁处理呢?当然是给当前的AuthenticationManager喽
            return this.getAuthenticationManager().authenticate(token);   ---根据Token的类来确定用什么Provider来处理
        }
    }
}

2、UsernamePasswordAuthenticationToken,token其实只是一个载体而已

public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {
    private static final long serialVersionUID = 510L;
    //随便怎么理解吧,暂且理解为认证标识吧,没看到是一个Object么
    private final Object principal;
    //同上
    private Object credentials;

    //这个构造方法用来初始化一个没有认证的Token实例
    public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
        super((Collection)null);
        this.principal = principal;
        this.credentials = credentials;
        this.setAuthenticated(false);
    }
    //这个构造方法用来初始化一个已经认证的Token实例,为啥要多此一举,不能直接Set状态么,不着急,往后看
    public UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        this.credentials = credentials;
        super.setAuthenticated(true);
    }
    //便于理解无视他
    public Object getCredentials() {
        return this.credentials;
    }
    //便于理解无视他
    public Object getPrincipal() {
        return this.principal;
    }

    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            //如果是Set认证状态,就无情的给一个异常,意思是:
            //不要在这里设置已认证,不要在这里设置已认证,不要在这里设置已认证
            //应该从构造方法里创建,别忘了要带上用户信息和权限列表哦
            //原来如此,是避免犯错吧
            throw new IllegalArgumentException("Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        } else {
            super.setAuthenticated(false);
        }
    }

    public void eraseCredentials() {
        super.eraseCredentials();
        this.credentials = null;
    }
}

3、AuthenticationManager会注册多种AuthenticationProvider,例如UsernamePassword对应的DaoAuthenticationProvider,继承了AbstractUserDetailsAuthenticationProvider

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
    //熟悉的supports,需要UsernamePasswordAuthenticationToken
    public boolean supports(Class<?> authentication) {
            return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
        }

    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
            //取出Token里保存的值
            String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
            boolean cacheWasUsed = true;
            //从缓存取
            UserDetails user = this.userCache.getUserFromCache(username);
            if (user == null) {
                cacheWasUsed = false;

                //啥,没缓存?使用retrieveUser方法获取呀
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            }
            //...删减了一大部分,这样更简洁
            Object principalToReturn = user;
            if (this.forcePrincipalAsString) {
                principalToReturn = user.getUsername();
            }

            return this.createSuccessAuthentication(principalToReturn, authentication, user);
        }
         protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        try {
            //熟悉的loadUserByUsername
            UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
            if (loadedUser == null) {
                throw new InternalAuthenticationServiceException("UserDetailsService returned null, which is an interface contract violation");
            } else {
                return loadedUser;
            }
        } catch (UsernameNotFoundException var4) {
            this.mitigateAgainstTimingAttack(authentication);
            throw var4;
        } catch (InternalAuthenticationServiceException var5) {
            throw var5;
        } catch (Exception var6) {
            throw new InternalAuthenticationServiceException(var6.getMessage(), var6);
        }
    }
    //检验密码
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            this.logger.debug("Authentication failed: no credentials provided");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        } else {
            String presentedPassword = authentication.getCredentials().toString();
            if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
                this.logger.debug("Authentication failed: password does not match stored value");
                throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }
        }
    }
}
掌心里的海-Canace
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security源码解析(五)
qq_40577332的博客
06-03 1152
Spring Security用户登录验证是如何实现的
Spring Security 实现身份认证
热门推荐
小尘
03-30 2万+
Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。     1. Spring Security中的身份认证是什么?     现在让我们考虑一下每个人都熟悉的标准身份认证场景:    
spring security Ⅲ—— authenticationManager.authenticate()验证流程
qq_45947664的博客
10-14 9711
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
springSecurity(二):实现登入获取token与解析token
最新发布
qq_43586337的博客
06-18 1455
实现登入获取token与解析token
SpringSecurity OAuth2过滤器源码解读。
weixin_45111933的博客
07-31 2328
chain.doFilter源码。2,当用户访问时,比如(/oauth/token)uri时,第一个拦截的filter是ClientCredentialsTokenEndpointFilter,而拦截的方法,在其父类AbstractAuthenticationProcessingFilter的doFilter方法中。3,requiresAuthentication(request,response)方法,该方法主要是进行uri路径的匹配,只有当访问的uri是/oauth/token时,才会返回true。..
Spring Security SCryptPasswordEncoder 是如何判断两个密码相等的?
qq_37588095的博客
08-08 635
首先记得SCryptPasswordEncoder 是采用的hash算法,那么hash算法都有哪些特点呢? 1、快 2、不可逆 3、相同的数据经过hash,得出的值是相等的 加密的过程 假如我的密码是123456,我为了保证每次的计算结果都不同,我可以加一个随机数, ...
Spring Security】安全框架学习(八)
Jerry‘s word
09-02 2372
在上面的代码中,我们可以看到一个泛型 SimpleGrantedAuthority ,它是由Spring提供的,但是我们在存储进redis中的时候,为了安全考虑,默认情况下是不会把SimpleGrantedAuthority进行序列化存入的,如果不做操作的话,java会报异常。所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须基于所需权限才能进行相应的操作。这我们项目中主要采用的方式是基于注解的。的,前后端分离项目很少使用,所以我们可以使用注解去指定访问对应的资源所需的权限。
Spring Security认证流程
l688899886的博客
08-05 496
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:转存失败重新上传取消图 3-3图中显示的流程是一个通用的架构。AbstractAuthenticationProcessingFilter作为一个抽象类,如果使用用户名/密码的方式登录, 那么它对应的实现类是。...
详解最简单易懂的Spring Security 身份认证流程讲解
08-26
"Spring Security 身份认证流程讲解" Spring Security 是一个功能强大且复杂的框架,对于 JavaEE 工程师来说是一个必备的知识点。本文将从身份认证的角度讲解 Spring Security 的原理和实现过程。 身份认证是 Web...
解析SpringSecurity+JWT认证流程实现
08-18
首先,我们需要配置SpringSecurity来使用JWT认证方式,然后在认证流程中,我们使用JWT token来验证用户的身份。在认证完成后,我们将生成一个JWT token,并将其传递给客户端,以便客户端在每次请求时都可以带上这个...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
整合Spring SecuritySpring Cloud Gateway的过程通常包括以下步骤: 1. **配置Redis**:由于微服务架构中多个服务可能需要共享用户信息,因此使用Redis作为集中式的session存储是常见的选择。这样,用户在任一...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
springboot+ spring security实现登录认证
05-04
首先,我们需要理解Spring Security的基本工作流程:当一个请求到达时,Spring Security会检查该请求是否经过了认证。如果没有,它会引导用户进行登录。一旦用户成功登录,Security会根据授权规则判断用户是否有权限...
SpringBoot使用security进行登录验证
qq_28503457的博客
08-05 2965
话不多说,直接搞代码 1.在pom.xml添加依赖 <!-- securityr认证--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependenc
Spring Security身份验证令牌Authentication介绍与Debug分析
写写平时的技术与感想
05-23 2362
它是接口的基类,使用此类的实现应该是不可变的(模板模式)。-- -- > // 权限列表 private final Collection < GrantedAuthority > authorities;// 存储有关身份验证请求的其他详细信息,可能是IP地址、证书序列号等 private Object details;// 是否已验证,默认为false private boolean authenticated = false;/*** 使用提供的权限列表创建一个身份验证令牌。
SpringSecurity(四)认证流程
lizc_lizc的博客
11-14 2691
认证流程图 相关类 UsernamePasswordAuthenticationFilter是一个过滤器,它继承了抽象类AbstractAuthenticationProcessingFilter,负责表单登录请求, public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationPro...
1.spring security认证流程
weixin_45974277的博客
02-24 4820
让我们仔细分析认证过程: 1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到, 封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证,然后交给DaoAuthenticationProvider委托..
Spring Cloud OAuth2(二) 扩展登陆方式:账户密码登陆、 手机验证码登陆、 二维码扫码登陆...
weixin_30603633的博客
06-17 5799
概要 基于上文讲解的spring cloud 授权服务的搭建,本文扩展了spring security 的登陆方式,增加手机验证码登陆、二维码登陆。 主要实现方式为使用自定义filter、 AuthenticationProvider、 AbstractAuthenticationToken 根据不同登陆方式分别处理。 本文相应代码在Github上已更新。 GitHub 地址:https://gi...
SpringSecurity-身份认证原理
陈海龙的格物之路
09-14 875
如果你对SpringSecurity-身份认证原理还不了解,这篇文章可以满足你哦。
springsecurity身份认证
04-17
Spring Security是一个功能强大且灵活的身份认证和授权框架,用于保护Java应用程序的安全性。它提供了一套全面的安全性解决方案,包括身份验证、授权、攻击防护等功能。 Spring Security身份认证功能主要包括以下几个方面: 1. 用户认证Spring Security支持多种用户认证方式,包括基于数据库、LDAP、OAuth等。你可以根据具体需求选择适合的认证方式。 2. 密码加密:Spring Security提供了多种密码加密算法,如BCrypt、SHA-256等,可以确保用户密码的安全性。 3. 认证流程Spring Security认证流程包括用户提交认证请求、验证用户身份、生成认证令牌等步骤。你可以通过配置自定义的认证流程来满足特定的需求。 4. 认证成功与失败处理:Spring Security提供了认证成功和失败的处理机制,你可以根据需要进行相应的处理,如跳转到指定页面、返回错误信息等。 5. Remember Me功能:Spring Security支持Remember Me功能,可以在用户下次访问时自动登录,提高用户体验。 6. Session管理:Spring Security提供了对Session的管理和控制,包括Session超时、并发登录控制等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值