Spring Security:身份验证入口AuthenticationEntryPoint介绍与Debug分析

最新推荐文章于 2025-04-14 15:55:13 发布
最新推荐文章于 2025-04-14 15:55:13 发布
阅读量1.9k 收藏 3
点赞数
分类专栏: 面试 学习路线 阿里巴巴 文章标签: spring java 安全 mysql java-ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67391521/article/details/125243298
版权
本文深入探讨了Spring Security的ExceptionTranslationFilter和AuthenticationEntryPoint接口,详细介绍了BasicAuthenticationEntryPoint、DelegatingAuthenticationEntryPoint、DigestAuthenticationEntryPoint等身份验证入口点的用法,并通过Debug分析了formLogin和Basic认证流程,帮助读者理解Spring Security的身份验证机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ExceptionTranslationFilter

ExceptionTranslationFilterSecurity Filter)允许将AccessDeniedExceptionAuthenticationException转换为HTTP响应。ExceptionTranslationFilter作为Security Filters之一插入到FilterChainProxy中。

在这里插入图片描述

  1. 首先,ExceptionTranslationFilter调用FilterChain.doFilter(request, response),即调用应用程序的其余部分(出现异常才执行自己的逻辑)。
    在这里插入图片描述
    在这里插入图片描述
  2. 如果用户未经身份验证或是身份验证异常,则启动身份验证。
    在这里插入图片描述
    1. 清除SecurityContextHolder的身份验证(SEC-112:清除SecurityContextHolder的身份验证,因为现有身份验证不再有效)。
    2. HttpServletRequest保存在RequestCache中。当用户成功进行身份验证时,RequestCache用于重现原始请求。
    3. AuthenticationEntryPoint用于从客户端请求凭据。例如,它可能会重定向到登录页面或发送WWW-Authenticate标头。
      在这里插入图片描述
  3. 否则,如果是AccessDeniedException,则拒绝访问。调用AccessDeniedHandler来处理拒绝的访问。
    在这里插入图片描述

想要了解Spring Security的过滤器链如何在Spring应用程序中发挥作用,可以阅读下面这篇博客:

AuthenticationEntryPoint

ExceptionTranslationFilter会使用AuthenticationEntryPoint启动身份验证方案。

public interface AuthenticationEntryPoint {
	/**
	 * 启动身份验证方案
	 * 实现应根据需要修改ServletResponse的标头以开始身份验证过程
	 */
	void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException;
}

BasicAuthenticationEntryPoint

ExceptionTranslationFilter用于通过BasicAuthenticationFilter开始身份验证。一旦使用BASIC对用户代理进行身份验证,可以发送未经授权的 (401) 标头,最简单的方法是调用BasicAuthenticationEntryPoint类的commence方法。 这将向浏览器指示其凭据不再被授权,导致它提示用户再次登录。

public class BasicAuthenticationEntryPoint implements AuthenticationEntryPoint,
		InitializingBean {
	// 领域名称
	private String realmName;

	// 检查属性
	public void afterPropertiesSet() {
		Assert.hasText(realmName, "realmName must be specified");
	}

	public void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException {
		// 填充响应
		response.addHeader("WWW-Authenticate", "Basic realm="" + realmName + """);
		response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase());
	}
	...
}

DelegatingAuthenticationEntryPoint

AuthenticationEntryPoint实现,它根据RequestMatcher匹配(委托)一个具体的AuthenticationEntryPoint

public class DelegatingAuthenticationEntryPoint implements AuthenticationEntryPoint,
		InitializingBean {
	private final Log logger = LogFactory.getLog(getClass());

    // RequestMatcher与AuthenticationEntryPoint的映射
	private final LinkedHashMap<RequestMatcher, AuthenticationEntryPoint> entryPoints;
	// 默认AuthenticationEntryPoint
	private AuthenticationEntryPoint defaultEntryPoint;
    // 构造方法
	public DelegatingAuthenticationEntryPoint(
			LinkedHashMap<RequestMatcher, AuthenticationEntryPoint> entryPoints) {
		this.entryPoints = entryPoints;
	}

	public void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException {
        // 遍历entryPoints
		for (RequestMatcher requestMatcher : entryPoints.keySet()) {
			if (logger.isDebugEnabled()) {
				logger.debug("Trying to match using " + requestMatcher);
			}
			// 如果RequestMatcher匹配请求
			if (requestMatcher.matches(request)) {
			    // 获取匹配请求的RequestMatcher对应的AuthenticationEntryPoint
				Auth
最低0.47元/天 解锁文章
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8262
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Spring Security 如何进行权限验证
让 Java 再次伟大!
10-18 1130
我们来探讨一下 security 为什么要费尽周折,通过一长串的聚合和依赖把权限校验这个处理流程传递这么长的路径来实现?为什么不在一开始就是 make el Express and return el.value() 搞定所有的事情?我想这是因为 security 是一个 architect first 的设计产物。架构优先的设计,高扩展性都特别的重要。
Spring Cloud Gateway 整合OAuth2.0 实现统一认证授权
Lyndon的专栏
04-24 4742
gateway 认证服务
spring security webflux 自定义登录页面
weixin_43931625的博客
06-05 2933
springsecuritywebFlux自定义登录页面
spring security+jwt实现登录认证
最新发布
2302_77124303的博客
04-14 760
setExpiration(new Date(System.currentTimeMillis() + expiration)) // 过期时间。res.getWriter().write("{\"code\":403, \"msg\":\"权限不足\"}");res.getWriter().write("{\"code\":401, \"msg\":\"未认证\"}");.setIssuedAt(new Date(System.currentTimeMillis())) // 签发时间。
Spring Security AuthenticationEntryPoint接口(处理未认证访问)
疯一样的码农
11-20 1123
简单来说,是一种机制,允许您的 Spring 应用在有人尝试访问站点或 API 的某个部分但没有所需权限时作出反应。它就像一个看门人,决定如何处理那些尚未获得邀请的访客。通常,它可能会将用户重定向到登录页面,或者发送一条错误消息告知需要进行身份验证。假设您正在构建一个 REST API,而不是重定向到登录页面(这对 API 没有意义),您希望返回一个 401 状态码和一个 JSON 消息,说明需要身份验证。以下是如何实现自定义@Override。
spring security自定义AuthenticationEntryPoint
weixin_33751566的博客
11-23 1024
序 本文介绍下如何自定义AuthenticationEntryPoint 自定义AuthenticationEntryPoint public class UnauthorizedEntryPoint implements AuthenticationEntryPoint { @Override public void c...
Spring Security Web : AuthenticationEntryPoint 认证入口点及其实现类简介
热门推荐
Details Inside Spring
06-09 4万+
AuthenticationEntryPoint简介 AuthenticationEntryPointSpring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。 它在用户请求处理过程中遇到认证异常时,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。 该接口只定义了一个方法...
SpringsecurityAuthenticationEntryPoint
weixin_34010566的博客
03-12 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security 前后端分离登录,非法请求直接返回 JSON(1)
2401_84024576的博客
04-30 571
看完上述知识点如果你深感Java基础不够扎实,或者刷题刷的不够、知识不全面小编专门为你量身定制了一套针对知识面不够,也莫慌!还有一整套的,可以瞬间查漏补缺全都是一丢一丢的收集整理纯手打出来的。
SpringsecurityAuthenticationEntryPoint
qq_51621767的博客
03-25 289
那我们如何自定义返回结果呢,ExceptionTranslationFilter是security的全局异常过滤器,而AuthenticationEntryPoint被ExceptionTranslationFilter用来作为认证方案的入口。这个方法给了三个参数,request,response,以及认证异常类。也就是认证异常的话,被filter接收,并且交给。在使用spring security实现登录,如果登录失败,默认操作是。即当用户请求处理过程中遇见认证异常时,被异常处理器(
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
向心行者
09-24 2万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
AuthenticationEntryPoint使用
qq_36022463的博客
06-03 2999
spring security 中的一个接口,用于处理认证失败或者未认证的请求。当用户尝试访问受保护的资源而未经过身份验证,,或者身份验证失败的时候,调用。: 处理身份验证和访问控制过程中的异常,,主要捕获spring security中抛出的异常,,并根据异常的类型,,来处理。这个拦截器会去判断是否认证,是否有权限访问,,如果没有权限,,,会被跳到。: 对受保护资源的控制访问 和 权限验证。配置到spring-security中。所有需要被认证的请求 都会走。
springboot security 自定义 AuthenticationEntryPoint 和 AccessDeineHandler
linhaibing009的博客
11-06 390
找了大半天的资料终于在国外的网站上找到了,相关问题,不过还好把security的认证流程和授权流程又重新看了遍: AuthenticationEntryPoint 用来解决匿名用户访问无权限资源时的异常 AccessDeineHandler 用来解决认证过的用户访问无权限资源时的异常 ...
AuthenticationEntryPoint:实现自定义的未授权访问处理逻辑
wddblog的博客
03-14 3664
是一个接口,它用于定义当用户尝试访问受保护的资源但没有进行身份验证时应该执行的操作。当用户未通过身份验证就尝试访问安全资源时,Spring Security会调用。现在,当用户尝试访问需要身份验证的资源但未通过身份验证时,Spring Security将使用我们自定义的。方法被重写以设置响应的状态码为401,并附带一条错误消息"Unauthorized access"。的实现来启动身份验证过程或提供有关未授权访问的反馈。下面是一个简单的示例,展示了如何实现一个自定义的。的bean,并将其设置为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值