SpringSecurity框架原理浅谈之Authentication

最新推荐文章于 2024-07-30 20:50:32 发布
最新推荐文章于 2024-07-30 20:50:32 发布
阅读量1.1k 收藏 4
点赞数 3
分类专栏: SpringSecurity框架原理浅谈 文章标签: java spring 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73843666/article/details/128977282
版权

我们来看一下Authentication(认证信息)的结构,它是一个接口,我们之前提到的 UsernamePasswordAuthenticationToken就是它的实现之一:

先看一下源码:

public interface Authentication extends Principal, Serializable { 
Collection<? extends GrantedAuthority> getAuthorities(); 
Object getCredentials(); 
Object getDetails(); 
Object getPrincipal(); 
boolean isAuthenticated();
void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

再来看一下每个方法对应的意思:

最后看一下该接口的实现体系:

那Authentication是干什么的呢?

这里参考:Authentication详解_「已注销」的博客-CSDN博客_authentication.getprincipal()

(1). Authentication是spring security包中的接口,直接继承自Principal类,而Principal是位于java.security包中的。可以见得,Authentication在spring security中是最高级别的身份/认证的抽象。

(2).由这个顶级接口,我们可以得到用户拥有的权限信息列表,密码,用户细节信息,用户身份信息,认证信息。

在之前的浅谈AuthenticationManager文章中,我们知道了:当web表单提交用户名密码时,AuthenticationManager初始化委托AuthenticationProvider进行处理表单,AuthenticationProvider找到对应的DaoAuthenticationProvider进行认证处理。

认证成功后既得到一个 Authentication(UsernamePasswordAuthenticationToken实现),里面包含了身份信息(Principal)。这个身份 信息就是一个 Object ,大多数情况下它可以被强转为UserDetails对象。

所以我们从这里可以知道Authentication是用来封装用户的认证信息的!

接下来介绍几个常见的Authentication的实现类

这里引用:Spring Security:身份验证令牌Authentication介绍与Debug分析_spring访问令牌认证_ITKaven的博客-CSDN博客

UsernamePasswordAuthenticationToken

它是一种Authentication实现,继承AbstractAuthenticationToken抽象类,旨在简单地表示用户名和密码。principal和credentials属性应设置为通过其toString方法提供相应属性的Object,最简单的就是String类型。

public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {

	private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

	private final Object principal;
	private Object credentials;

	/**
	 * 任何希望创建UsernamePasswordAuthenticationToken实例的代码都可以安全地使用此构造函数
	 * 因为isAuthenticated()将返回false
	 */
	public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
		super(null);
		this.principal = principal;
		this.credentials = credentials;
		setAuthenticated(false);
	}

	/**
	 * 此构造函数只能由满足生成可信(即isAuthenticated() = true )身份验证令牌的AuthenticationManager或AuthenticationProvider实现使用
	 */
	public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
			Collection<? extends GrantedAuthority> authorities) {
		super(authorities);
		this.principal = principal;
		this.credentials = credentials;
		super.setAuthenticated(true); // 必须使用super来设置
	}

    // 返回凭证(如密码)
	public Object getCredentials() {
		return this.credentials;
	}

    // 返回实体(如用户名)
	public Object getPrincipal() {
		return this.principal;
	}

    // 设置isAuthenticated属性,只能设置为false
	public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
	    // 无法将此令牌设置为受信任的令牌
	    // 需要使用有GrantedAuthority列表参数的构造函数
		if (isAuthenticated) {
			throw new IllegalArgumentException(
					"Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
		}

		super.setAuthenticated(false);
	}

    // 重写eraseCredentials方法
    // 将凭证直接设置为null
	@Override
	public void eraseCredentials() {
		super.eraseCredentials();
		credentials = null;
	}
}
RememberMeAuthenticationToken
它是一种Authentication实现,继承AbstractAuthenticationToken抽象类,表示需要记住的Authentication,需要记住的Authentication必须提供完全有效的Authentication ,包括适用的GrantedAuthority。

public class RememberMeAuthenticationToken extends AbstractAuthenticationToken {

	private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;
	
	// 主体
	private final Object principal;
	// 识别此对象是否由授权客户生成的key的hashCode
	private final int keyHash;

	/**
	 * 构造函数
	 * 参数:
	 * key – 识别此对象是否由授权客户生成
	 * principal – 主体(通常是UserDetails)
	 * authorities — 授予主体的权限
	 */
	public RememberMeAuthenticationToken(String key, Object principal,
										Collection<? extends GrantedAuthority> authorities) {
		super(authorities);

		if ((key == null) || ("".equals(key)) || (principal == null)
				|| "".equals(principal)) {
			throw new IllegalArgumentException(
					"Cannot pass null or empty values to constructor");
		}

		this.keyHash = key.hashCode();
		this.principal = principal;
		setAuthenticated(true);
	}

	/**
	 * 帮助Jackson反序列化的私人构造函数
	 * 参数:
	 * keyHash – 上面给定key的hashCode
	 * principal – 主体(通常是UserDetails)
	 * authorities — 授予主体的权限
	 */
	private RememberMeAuthenticationToken(Integer keyHash, Object principal, Collection<? extends GrantedAuthority> authorities) {
		super(authorities);

		this.keyHash = keyHash;
		this.principal = principal;
		setAuthenticated(true);
	}

	/**
	 * 总是返回一个空String
	 */
	@Override
	public Object getCredentials() {
		return "";
	}

    // 返回keyHash 
	public int getKeyHash() {
		return this.keyHash;
	}

    // 返回主体
	@Override
	public Object getPrincipal() {
		return this.principal;
	}
}

PreAuthenticatedAuthenticationToken

它是一种Authentication实现,继承AbstractAuthenticationToken抽象类,用于预认证身份验证。有些情况下,希望使用Spring Security进行授权,但是在访问应用程序之前,用户已经被某个外部系统可靠地验证过了,将这种情况称为预认证场景,比如CSDN可以使用其他平台的账号进行登陆,如下图所示:

public class PreAuthenticatedAuthenticationToken extends AbstractAuthenticationToken {

	private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    // 主体
	private final Object principal;
	// 凭证
	private final Object credentials;

	/**
	 * 用于身份验证请求的构造函数
	 * isAuthenticated()将返回false 
	 */
	public PreAuthenticatedAuthenticationToken(Object aPrincipal, Object aCredentials) {
		super(null);
		this.principal = aPrincipal;
		this.credentials = aCredentials;
	}

	/**
	 * 用于身份验证响应的构造函数
	 * isAuthenticated()将返回true
	 */
	public PreAuthenticatedAuthenticationToken(Object aPrincipal, Object aCredentials,
			Collection<? extends GrantedAuthority> anAuthorities) {
		super(anAuthorities);
		this.principal = aPrincipal;
		this.credentials = aCredentials;
		setAuthenticated(true);
	}

	/**
	 * 返回凭证
	 */
	public Object getCredentials() {
		return this.credentials;
	}

	/**
	 * 返回主体
	 */
	public Object getPrincipal() {
		return this.principal;
	}
}

其余还有几种实现类解析,具体可去Spring Security:身份验证令牌Authentication介绍与Debug分析_spring访问令牌认证_ITKaven的博客-CSDN博客进行阅读

Mr.huang
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity 认证逻辑实现
weixin_57801340的博客
07-22 315
自定义登陆逻辑 SpringSecurity支持通过配置文件的方式定义用户信息(账号密码和角色等),但这种方式有明显的缺点,那就是系统上线后,用户信息的变更比较麻烦。因此SpringSecurity还支持通过实现UserDetailsService接口的方式来提供用户认证授权信息,其应用过程如下: 第一步:定义security配置类 /** * 由@Configuration注解描述的类为spring中的配置类,配置类会在spring * 工程启动时优先加载,在配置类中通常会对第三方资源进行初始配置..
Spring Security实现禁止用户重复登陆的配置原理
08-25
Spring Security 是一个功能强大且灵活的安全框架,提供了许多强大的安全功能,其中之一就是禁止用户重复登陆的配置原理。本文将详细介绍 Spring Security 实现禁止用户重复登陆的配置原理,并提供了详细的示例代码...
Spring Security实现权限认证与授权
b2105859的博客
02-12 1675
Spring Security实现认证与授权
SpringSecurity框架原理浅谈AuthenticationManager
黄先生的博客
02-10 3044
AuthenticationManager这个接口方法非常奇特,入参和返回值的类型都是Authentication。该接口的作用是对用户的未授信凭据进行认证,认证通过则返回授信状态的凭据,否则将抛出认证异常AuthenticationException。
SpringSecurity框架原理浅谈之UserDetailsService
黄先生的博客
02-11 1955
UserDetailsService的作用就是从特定的地方(通常是数据库)加载用户信息.
SpringSecurity框架原理浅谈之AccessDecisionManager
黄先生的博客
02-14 1448
授权流程 Spring Security可以通过 http.authorizeRequests() 对web请求进行授权保护。 Spring Security使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问。
SpringSecurity框架原理浅谈之UserDetails
黄先生的博客
02-11 761
当 UserDetailsService 调用UserDetails loadUserByUsername(String loginName)方法时 这个方法会根据用户名提取用户信息 UserDetails(包含密码) ,一般是从数据库中提取信息进行组装,最后返回一个UserDetails实例.loadUserByUsername方法返回之后的UserDetails就去和 Authentication中的数据做认证并传递数据,形成认证之后的Authentication,即successfulAuthent
SpringSecurity框架原理浅谈之认证源码跟踪
黄先生的博客
02-16 77
方法,设置到其中。可以看出AuthenticationManager接口(认证管理器)是认证相关的核心接口,也是发起认证的出发点,它 的实现类为ProviderManager。3. 认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证。
spring security框架使用及源码解析(保姆级教程)
边走、边悟、迟早变好
06-28 1908
Spring 框架已经作为企业级应用开发的事实上的标准,而作为 Spring 的亲儿子、专注于企业级应用安全领域的 Spring Security 从出生开始自然备受关注。Spring Security 在诞生之后,由于其对Spring框架的无缝集成、灵活度高、场景多样化以及对OAuth标准的实现,能够满足企业在认证和授权上的各种需求;作为 Apache 的顶级项目的 Shiro 差不多能够满足企业级应用系统对于安全性以及稳定性的要求,但是因为出身的问题,关注度持续走低。
浅谈SpringSecurity权限管理框架
Welcome,Everyone.
07-20 526
使用SpringSecurity框架实现权限管理一、SpringSecurity框架用法简介二、权限管理过程中的相关概念1、主体2、认证3、授权三、权限管理的主流框架1、SpringSecurity2、Shiro四、3、编写好登录页面以及登录后的主页面和其他要用到的页面4、创建包 com.herz.security.controller 并编写对应的 Controller5、在该工程基础上加入SpringSecurity5.1、在pom.xml中导入SpringSecurity 依赖5.2、在web.xm
Spring Security如何基于Authentication获取用户信息
08-19
Spring Security框架中,Authentication对象扮演着至关重要的角色,它封装了当前用户的身份验证信息,包括用户名、权限等。在Spring Security的体系中,每个安全相关的请求都会与一个Authentication对象关联,该...
SpringSecurity安全框架基础Demo
01-02
**Spring Security 框架基础概述** Spring Security 是一个强大且高度可配置的Java安全框架,主要用于处理Web应用的安全需求,如身份验证、授权、访问控制等。它为基于Spring的应用程序提供了全面的安全服务,包括...
Spring Security自定义登录原理及实现详解
09-07
Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权和会话管理。 1. **自定义登录的必要性** 在标准的Spring Security配置中,form登录通常会自动处理,但这可能并...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 497
1.导入hutool的maven依赖。2.复制一下代码执行。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 283
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 633
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
花几千上万学习Java,真没必要!(三十五)
最新发布
wehpd的博客
07-30 492
集合之Map
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.huang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值