【Spring Security OAuth2笔记系列】- spring security - 认证流程源码级详解

最新推荐文章于 2024-06-14 00:38:20 发布
最新推荐文章于 2024-06-14 00:38:20 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: # spring security+oauth2 文章标签: AuthenticationManager AuthenticationProvider Authentication SecurityContextHolder security 
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr_zhuqiang/article/details/81865821
版权

认证流程源码级详解

之前的课程都是实现spring给出的扩展钩子。比如:自定义登录页,自定义登录成功处理等;

但是是很碎片化的,在脑海中链接不起来,只知道该这样做;

本章节讲述源码。

  • 认证处理流程说明
  • 认证结果如何在多个请求之间共享
  • 获取认证用户信息

认证处理流程说明

跟着这个流程和之前配置的地方,去一步一步的看源码;这个很重要!!

  • AuthenticationManager 管理所有的Provider,并选择适合的进行验证
  • AuthenticationProvider 验证提供者,可以自己写provider处理自己的业务场景逻辑

认证结果如何在多个请求之间共享

在认证成功的情况下,

org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#successfulAuthentication

SecurityContextHolder.getContext().setAuthentication(authResult);


SecurityContext 默策略是一个 org.springframework.security.core.context.ThreadLocalSecurityContextHolderStrategy  对象,
内部使用`ThreadLocal<SecurityContext>`来存储;


上面的源码也就是上图右边部分; SecurityContext会
在同一个线程中可以通过这个context来获取到的。SecurityContextPersistenceFilter来获取;

SecurityContextPersistenceFilter 所在的位置如下图

网络编程模型好复杂啊。发起一个请求,有好几个请求进行,不只是要请的某一个地址。调试也很难调试出来。

获取认证用户信息

UserController中写api;

在前面分析了源码。所以这里可以使用SecurityContextHolder获取到当前的认证用户信息

@GetMapping("/me")
public Authentication getCurrentUser() {
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    return authentication;
}

// 这样写 spring 会注入
@GetMapping("/me")
public Authentication getCurrentUser(Authentication authentication) {
    return authentication;
}

输出;

{
    "authorities": [
        {
            "authority": "admin"
        }
    ],
    "details": {
        "remoteAddress": "0:0:0:0:0:0:0:1",
        "sessionId": "CB434B240B0B1810ED922C9D877F5842"
    },
    "authenticated": true,
    "principal": {
        "password": null,
        "username": "test001",
        "authorities": [
            {
                "authority": "admin"
            }
        ],
        "accountNonExpired": true,
        "accountNonLocked": true,
        "credentialsNonExpired": true,
        "enabled": true
    },
    "credentials": null,
    "name": "test001"
}

注意看,password是不会返回来的;
如果上面的信息太多了,也可以使用参数注解@AuthenticationPrincipal UserDetails userDetails 获取User的信息

spring默认的SavedRequestAwareAuthenticationSuccessHandler类很强悍;
在这里测试的时候发现了。 由于之前写的访问api会返回json串提示,而不是登录页面;

  1. 访问/user/me
  2. 被拦截301跳转到自定义处理认证请求/authentication/require
  3. 输出了json串
  4. 手动输入 imocc-signIn.html 登录页面
  5. 登录成功后自定义认证成功处cn.mrcode.imooc.springsecurity.securitybrowser.MyAuthenticationSuccessHandler#onAuthenticationSuccess
  6. 根据配置为跳转,再跳转会引发认证跳转的 /user/me

看上面的流程,中间经历了手动输入。但是还能正确的拿到 引发认证前的地址。这个是怎么做到的?(在一个请求下会发起好多不相干的获取请求,感觉好难)

这里还有一个问题:是存储在什么地方的呢?上面的过滤器只是会在登录的时候引发,登录认证成功之后,后续还可以拿到信息; 稍微跟了下源码,在认证之后再次访问的时候,会有好多过滤器,去拿认证信息。具体是怎么的流程没有看懂

代码有毒 mrcode
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
spring-security-oauth2-authorization-server.zip
08-25
本项目“spring-security-oauth2-authorization-server”将带你深入理解如何利用Spring Security OAuth2构建一个授权服务器,以保护你的API并提供安全的访问控制。 OAuth2是一种开放标准,用于授权第三方应用访问...
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
Mapstruct - java.lang.NullPointerException
A_bad_horse的专栏
05-12 534
运行项目后,执行程序时报错如上。 检查代码如下: ... import org.apache.ibatis.annotations.Mapper; import org.mapstruct.Mapping; import org.mapstruct.factory.Mappers; @Mapper public interface AuthConvert { AuthConvert INSTANCE = Mappers.getMapper(AuthConvert.class); ..
芋道 树型结构 菜单
aiwokache的博客
05-09 434
芋道 树型结构 菜单
Springsecurity认证流程及鉴权流程流程绝对清晰)
最新发布
qq_60264381的博客
06-14 1247
我们知道在SpringSecurity中,usernamePassword会拦截登录请求,同时调用ProviderManager。ProviderManager内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制也就是说,ProviderManager会决定调用具体AuthenticationProvider实现类来进行认证
Spring Authorization Server 系列】(一)入门篇,快速搭建一个授权服务器
Markix的博客
08-01 1万+
Spring Authorization Server是一个框架,提供了OAuth2.1和OpenIDConnect1.0规范以及其他相关规范的实现。它建立在SpringSecurity之上,为构建OpenIDConnect1.0IdentityProviders和OAuth2AuthorizationServer产品提供安全、轻量级和可定制的基础。旧版的框架是,该框架已停止维护。SpringSecurityOAuth2认证/授权服务器的前世今生。...............
Spring Security in Action 第十三章 实现OAuth2的认证
Learning_xzj的博客
02-12 363
在本节中,我们将讨论用户管理。authorization server是处理OAuth 2框架中的用户认证的组件。因此,它自然需要管理用户。幸运的是,用户管理的实现与你在第3章和第4章中学到的并没有改变。我们继续使用UserDetails、UserDetailsService和UserDetailsManager接口来管理凭证。而为了管理密码,我们继续使用PasswordEncoder接口。在这里,这些接口具有相同的角色,并且与你在第3章和第4章中学到的相同。
springsecurity工作流程
qq_39321234的博客
04-27 1903
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。1.当用户请求一个受保护的资时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-boot spring-security-oauth2 完整demo
11-22
Spring Boot、Spring SecurityOAuth2的完整示例解析》 在现代Web开发中,安全性是不可忽视的重要一环。Spring Boot、Spring SecurityOAuth2是Java生态系统中用于构建安全Web应用的三大利器。本篇文章将围绕...
SpringSecurity认证流程(超级详细)
qq_34091529的博客
06-27 7075
最近开发项目的时候遇到了和SpringSecurity相关的一些问题,但是之前并没有去了解过SpringSecurity,导致改系统安全权限验证的时候就比较吃力了,目前项目开发大多都直接用脚手架直接开发,系统安全权限验证已经形成了,所以并不是自己写的,自己理解起来会更慢一些,所以这篇文章就是为了分析SpringSecurity认证流程而写的。
大白话详解Spring Security认证流程
LoveSummer
11-04 2775
Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。
SpringSecurity认证流程详解和代码实现
热门推荐
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
OAuth2认证流程
Relievedz的博客
03-16 5975
在前边我们提到微信扫码认证,这是一种第三方认证的方式,这种认证方式是基于OAuth2协议实现,OAUTH协议为用户资的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而OAUTH是简易的。
SpringSecurity的执行流程超详细讲解
qq_41473691的博客
09-18 5365
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
SpringSecurity认证流程
msq16021的博客
08-03 5712
SpringSecurity认证流程
Spring-Security(一)整体认证流程及其相关概念
姑苏
11-13 172
Spring security整体认知。
Spring Security运行流程的简单理解
weixin_70312788的博客
08-03 1952
Spring Security运行流程的简单理解
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值