SpringSecurity - 启动流程分析(六)

已于 2022-08-15 10:18:00 修改
阅读量298 收藏
点赞数
分类专栏: # SpringSecurity 学习 文章标签: java SpringSecurity spring
于 2022-08-14 23:58:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaohao0206/article/details/126338492
版权


活动地址:CSDN21天学习挑战赛

前言

在上篇文章 SpringSecurity - 启动流程分析(五) 中,我们知道具体的认证逻辑是交给了 AuthenticationManager 来处理的,查看实现类可以看到只有一个 ProviderManager 实现类(其他都是内部类):

public class ProviderManager implements AuthenticationManager, MessageSourceAware,
		InitializingBean {

	private static final Log logger = LogFactory.getLog(ProviderManager.class);

	private AuthenticationEventPublisher eventPublisher = new NullEventPublisher();
	private List<AuthenticationProvider> providers = Collections.emptyList();
	protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
	private AuthenticationManager parent;
	private boolean eraseCredentialsAfterAuthentication = true;

	public ProviderManager(AuthenticationProvider... providers) {
		this(Arrays.asList(providers), null);
	}

	public ProviderManager(List<AuthenticationProvider> providers) {
		this(providers, null);
	}

	public ProviderManager(List<AuthenticationProvider> providers,
			AuthenticationManager parent) {
		Assert.notNull(providers, "providers list cannot be null");
		this.providers = providers;
		this.parent = parent;
		checkState();
	}
	
	public void afterPropertiesSet() {
		checkState();
	}

	private void checkState() {
		if (parent == null && providers.isEmpty()) {
			throw new IllegalArgumentException(
					"A parent AuthenticationManager or a list "
							+ "of AuthenticationProviders is required");
		} else if (providers.contains(null)) {
			throw new IllegalArgumentException(
					"providers list cannot contain null values");
		}
	}

	// 核心认证方法
	public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		...
	}

	@SuppressWarnings("deprecation")
	private void prepareException(AuthenticationException ex, Authentication auth) {
		eventPublisher.publishAuthenticationFailure(ex, auth);
	}

	private void copyDetails(Authentication source, Authentication dest) {
		if ((dest instanceof AbstractAuthenticationToken) && (dest.getDetails() == null)) {
			AbstractAuthenticationToken token = (AbstractAuthenticationToken) dest;

			token.setDetails(source.getDetails());
		}
	}

	public List<AuthenticationProvider> getProviders() {
		return providers;
	}

	public void setMessageSource(MessageSource messageSource) {
		this.messages = new MessageSourceAccessor(messageSource);
	}

	public void setAuthenticationEventPublisher(
			AuthenticationEventPublisher eventPublisher) {
		Assert.notNull(eventPublisher, "AuthenticationEventPublisher cannot be null");
		this.eventPublisher = eventPublisher;
	}

	public void setEraseCredentialsAfterAuthentication(boolean eraseSecretData) {
		this.eraseCredentialsAfterAuthentication = eraseSecretData;
	}

	public boolean isEraseCredentialsAfterAuthentication() {
		return eraseCredentialsAfterAuthentication;
	}

	private static final class NullEventPublisher implements AuthenticationEventPublisher {
		public void publishAuthenticationFailure(AuthenticationException exception,
				Authentication authentication) {
		}

		public void publishAuthenticationSuccess(Authentication authentication) {
		}
	}
}

我们大致看一下 ProviderManager 源码,可以看到其中一个变量:

private List<AuthenticationProvider> providers = Collections.emptyList();

这个变量存储了需要认证的 provider

接着查看一下核心方法:authenticate()

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
	Class<? extends Authentication> toTest = authentication.getClass();
	AuthenticationException lastException = null;
	AuthenticationException parentException = null;
	Authentication result = null;
	Authentication parentResult = null;
	boolean debug = logger.isDebugEnabled();

	for (AuthenticationProvider provider : getProviders()) {
		if (!provider.supports(toTest)) {
			continue;
		}

		if (debug) {
			logger.debug("Authentication attempt using "
					+ provider.getClass().getName());
		}

		try {
			result = provider.authenticate(authentication);

			if (result != null) {
				copyDetails(authentication, result);
				break;
			}
		}
		catch (AccountStatusException | InternalAuthenticationServiceException e) {
			prepareException(e, authentication);
			// SEC-546: Avoid polling additional providers if auth failure is due to
			// invalid account status
			throw e;
		} catch (AuthenticationException e) {
			lastException = e;
		}
	}

	if (result == null && parent != null) {
		// Allow the parent to try.
		try {
			result = parentResult = parent.authenticate(authentication);
		}
		catch (ProviderNotFoundException e) {
			// ignore as we will throw below if no other exception occurred prior to
			// calling parent and the parent
			// may throw ProviderNotFound even though a provider in the child already
			// handled the request
		}
		catch (AuthenticationException e) {
			lastException = parentException = e;
		}
	}

	if (result != null) {
		if (eraseCredentialsAfterAuthentication
				&& (result instanceof CredentialsContainer)) {
			// Authentication is complete. Remove credentials and other secret data
			// from authentication
			((CredentialsContainer) result).eraseCredentials();
		}

		// If the parent AuthenticationManager was attempted and successful then it will publish an AuthenticationSuccessEvent
		// This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
		if (parentResult == null) {
			eventPublisher.publishAuthenticationSuccess(result);
		}
		return result;
	}

	// Parent was null, or didn't authenticate (or throw an exception).

	if (lastException == null) {
		lastException = new ProviderNotFoundException(messages.getMessage(
				"ProviderManager.providerNotFound",
				new Object[] { toTest.getName() },
				"No AuthenticationProvider found for {0}"));
	}

	// If the parent AuthenticationManager was attempted and failed then it will publish an AbstractAuthenticationFailureEvent
	// This check prevents a duplicate AbstractAuthenticationFailureEvent if the parent AuthenticationManager already published it
	if (parentException == null) {
		prepareException(lastException, authentication);
	}

	throw lastException;
}

可以看到,authenticate() 方法中循环调用了 List<AuthenticationProvider> 中的 authenticate() 方法。

到这里为止我们知道了认证是交给了各种 AuthenticationProvider 的组合来处理的。查看 AuthenticationProvider 的实现类:

在这里插入图片描述

分析

接下来我们分析一下 SpringSecurity 是什么时候初始化 AuthenticationManagerProviderManager

SpringSecurity - 启动流程分析(二) 这篇文章中,我们知道默认的过滤器链是通过调用 WebSecurityConfigurerAdaptergetHttp() 方法获取到 HttpSecurity,只有由 HttpSecurity 生成过滤器链。我们来查看以下 getHttp() 方法:

protected final HttpSecurity getHttp() throws Exception {
	...
	// 核心方法,初始化 AuthenticationManager
	AuthenticationManager authenticationManager = authenticationManager();
	authenticationBuilder.parentAuthenticationManager(authenticationManager);
	Map<Class<?>, Object> sharedObjects = createSharedObjects();

	http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
			sharedObjects);
	...
	return http;
}

查看 authenticationManager() 方法:

protected AuthenticationManager authenticationManager() throws Exception {
	if (!authenticationManagerInitialized) {
		configure(localConfigureAuthenticationBldr);
		if (disableLocalConfigureAuthenticationBldr) {
			// 核心流程
			authenticationManager = authenticationConfiguration
					.getAuthenticationManager();
		}
		else {
			authenticationManager = localConfigureAuthenticationBldr.build();
		}
		authenticationManagerInitialized = true;
	}
	return authenticationManager;
}

查看 AuthenticationConfigurationgetAuthenticationManager() 方法:

// 添加 GlobalAuthenticationConfigurerAdapter 类型的 Bean 到 IoC容器 中
@Bean
public static GlobalAuthenticationConfigurerAdapter enableGlobalAuthenticationAutowiredConfigurer(
		ApplicationContext context) {
	return new EnableGlobalAuthenticationAutowiredConfigurer(context);
}
// 添加 GlobalAuthenticationConfigurerAdapter 类型的 Bean 到 IoC容器 中
@Bean
public static InitializeUserDetailsBeanManagerConfigurer initializeUserDetailsBeanManagerConfigurer(ApplicationContext context) {
	return new InitializeUserDetailsBeanManagerConfigurer(context);
}
// 添加 GlobalAuthenticationConfigurerAdapter 类型的 Bean 到 IoC容器 中
@Bean
public static InitializeAuthenticationProviderBeanManagerConfigurer initializeAuthenticationProviderBeanManagerConfigurer(ApplicationContext context) {
	return new InitializeAuthenticationProviderBeanManagerConfigurer(context);
}
	
@Autowired(required = false)
public void setGlobalAuthenticationConfigurers(
		List<GlobalAuthenticationConfigurerAdapter> configurers) {
	configurers.sort(AnnotationAwareOrderComparator.INSTANCE);
	this.globalAuthConfigurers = configurers;
}

@Bean
public AuthenticationManagerBuilder authenticationManagerBuilder(
		ObjectPostProcessor<Object> objectPostProcessor, ApplicationContext context) {
	// 初始化默认的 PasswordEncoder,跟踪源码可知是 DelegatingPasswordEncoder
	LazyPasswordEncoder defaultPasswordEncoder = new LazyPasswordEncoder(context);
	AuthenticationEventPublisher authenticationEventPublisher = getBeanOrNull(context, AuthenticationEventPublisher.class);

	// 设置 AuthenticationManagerBuilder
	DefaultPasswordEncoderAuthenticationManagerBuilder result = new DefaultPasswordEncoderAuthenticationManagerBuilder(objectPostProcessor, defaultPasswordEncoder);
	if (authenticationEventPublisher != null) {
		result.authenticationEventPublisher(authenticationEventPublisher);
	}
	return result;
}

public AuthenticationManager getAuthenticationManager() throws Exception {
	if (this.authenticationManagerInitialized) {
		return this.authenticationManager;
	}
	// 这里添加了默认的内部类 DefaultPasswordEncoderAuthenticationManagerBuilder 到 IoC容器 中
	AuthenticationManagerBuilder authBuilder = this.applicationContext.getBean(AuthenticationManagerBuilder.class);
	if (this.buildingAuthenticationManager.getAndSet(true)) {
		return new AuthenticationManagerDelegator(authBuilder);
	}
	// 在 setGlobalAuthenticationConfigurers 中自动注入并排序
	for (GlobalAuthenticationConfigurerAdapter config : globalAuthConfigurers) {
		// 具体的逻辑,跟踪源码可以看到里面初始化了 DaoAuthenticationProvider
		authBuilder.apply(config);
	}

	// 初始化完成 AuthenticationManager
	authenticationManager = authBuilder.build();

	if (authenticationManager == null) {
		authenticationManager = getAuthenticationManagerBean();
	}

	this.authenticationManagerInitialized = true;
	return authenticationManager;
}

通过以上源码跟踪,我们知道了默认会初始化一个 DaoAuthenticationProvider 作为 ProviderManager 中的 List<AuthenticationProvider> 属性的值。

云原生.乔豆麻袋.cn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 认证流程
qq_40179479的博客
09-03 426
认证流程 图片来自于:黑马程序员SpringSecurity认证课程 认证过程: 用户提交用户名、密码被SecurityFilterChain中的UsernamePasswordAuthenticationFilter 过滤器获取到,封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证 认证成功后, Authen
spring security解析--认证
Dream - to be coder
04-01 1231
spring security用户认证 主要涉及到的对象是AuthenticationManager,ProviderManager, AuthenticationProvirder, DaoAuthenticationProvider, UserDetailsService,UserDetials
Spring Security修改默认的Bad Credentials提示 及其 原理(Spring Boot 2.0)
热门推荐
exces的专栏
03-13 1万+
Spring Security的各种提示内容来源于Spring的国际化资源文件类MessageSource,当我们想要修改默认提示时可能理所当然的会想到通过自己配置一个MessageSource的方式来实现,但是这种做法并不适用于Spring Security,原因如下,我们跟踪它的代码看看: Spring Security的登录密码验证有一个默认的实现类叫做DaoAuthentic...
Spring Security账号密码认证源码解析
最新发布
H1767410的博客
05-07 816
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
史上最简单的Spring Security教程(二十):DaoAuthenticationProvider详解
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
Spring Security(03)登录认证源码分析
愤怒的菜鸟博客
03-02 327
Spring Security在内部维护一个过滤器链,其中每个过滤器都有特定的责任; 比如: ChannelProcessingFilter,因为它可能需要重定向到不同的协议 SecurityContextPersistenceFilter,因此可以在web请求开头的SecurityContextHolder中设置SecurityContext,并且SecurityContext的任何更改都可以复制到HttpSession当web请求结束时(准备好与下一个web请求一起使用) 等等… 登录流程解
SpringBoot_SpringSecurity-源码.rar
10-10
SpringBoot_SpringSecurity-源码.zip 这个压缩包文件主要包含了SpringBoot集成SpringSecurity的源码分析SpringBoot是Java开发中一个流行的轻量级框架,它简化了配置和应用部署,使得开发者可以快速搭建应用程序。...
spring-security-demo
03-25
Spring Security 框架深度解析与实战指南》 在当今的互联网开发中,安全问题始终是不容...在深入研究`spring-security-demo`项目的过程中,希望你能对Spring Security有更全面、深入的理解,并能在实践中得心应手。
spring-framework-5.3.29.tar.gz
08-31
3. 安全增强:Spring Security在5.3.29版本中也有所改进,提供了更多安全相关的API和配置选项,强化了应用程序的安全防护。 4. 集成改进:Spring Framework 5.3.29增强了与其他技术的集成,如WebSocket、Quarkus、...
3.springSecurity源码分析1
08-03
5. 初始化过程:在Web应用程序启动时,SpringSecurity的配置会加载到Spring的ApplicationContext中,`springSecurityFilterChain`这个bean被创建并包含了一系列的Filter实例。当HTTP请求到达时,...
spring-boot-2.0.0.RELEASE.zip
04-21
Spring Boot作为Java领域的一款热门框架,因其简洁的配置、快速的启动和一站式的特性,深受开发者喜爱。本文将围绕Spring Boot 2.0.0.RELEASE这一特定版本,深入探讨其主要特性、优势以及在实际开发中的应用。 1. *...
SpringSecurity重写DaoAuthenticationProvider,自定义密码对比类
化名三爷
03-27 2444
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题。
Spring MVC源码解析 - MessageSourceAccessor
The Secret
01-09 2092
一. MessageSourceAccessor /** * * 简单访问MessageSource中的信息的帮助类,也可以重用在应用程序对象中作为一个单独的帮助类。 * */ public class MessageSourceAccessor { private final MessageSource messageSource; @Nullable private ...
Spring Security学习(三)授权管理器
德玛西亚
03-29 967
在第一篇的授权部分,有分析到 授权主要由AbstractSecurityInterceptor及其子类完成 具体到实际代码中其实是 // 用户通过了认证,基于当前用户信息,和目标对象的安全属性配置,进行相应的权限检查 this.accessDecisionManager.decide(authenticated, object, attributes); AccessDecisi...
Spring-security-oauth2之DaoAuthenticationProvider
weixin_33881140的博客
03-13 1292
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security# Multiple DaoAuthenticationProvider
来啊 快活啊
09-08 3783
正文有三种情况我们需要配置多个AuthenticationProvider,甚至是自定义AuthenticationProvider: 1. 用户认证信息存储在多个地方 2. 在同一个地方但是需要多种授权方式,比如说手机号+密码可以登录,邮箱+密码也可以登录 3. 以上两种情况都有 配置AuthenticationProvider,可以通过AuthenticationManagerBuild
security中配置多个AuthenticationManager
面朝大海,春暖花开
06-05 1万+
security中配置多个AuthenticationManager 基于spring-security4.2.x和security-oauth2.3.x 在使用Security配置Oauth2.0的时候需要多个authenticationManager来管理来自不同方向的认证管理,比如一个clientAuthenticationManager用来认证client_id和client_secr...
SpringSecurity实战(八)-通用第三方登陆-自定义认证配置实现
qq1164014750
12-08 3112
文章目录目标通用第三方登陆设计思路自定义登陆流程代码实现核心依赖创建第三方授权应用调用第三方平台部分login.htmlcontroller 层service 层核心配置通用第三方登陆配置本系统的授权认证部分认证流程一:已经绑定现有用户流程OtherSysOauth2LoginFilterOtherSysOauth2LoginAuthenticationTokenOtherSysOauth2LoginProviderOtherSysOauth2LoginUserDetailsServiceImpl认证成功事
Spring messageSource
weixin_34184158的博客
09-17 85
  Spring中可以使用两个类加载资源文件: org.springframework.context.support.ReloadableResourceBundleMessageSource 和 org.springframework.context.support.ResourceBundleMessageSource 可配置如下: ReloadableResou...
springsecurity 源码
09-13
Spring Security 是一个用于身份验证和授权的框架,它的源码中包含了很多关于过滤器链和认证流程的实现。 在 Spring Boot 启动时,会加载 spring.factories 文件,该文件中包含了对 Spring Security 过滤器链的配置信息。Spring Security 的过滤器链是配置在 Spring MVC 的核心组件 DispatcherServlet 运行之前。这意味着请求通过 Spring Security 的所有过滤器并不意味着能够正常访问资源,该请求还需要通过 Spring MVC 的拦截器链。 在 Spring Security 的源码中,可以找到 springSecurityFilterChain 方法,该方法真正声明了过滤器链,并通过 webSecurity.build() 方法构建过滤器。过滤器链的加载流程可以通过查看这段代码来进行源码分析。 另外,认证流程在 Spring Security 的源码中也有详细的实现。通过分析认证流程源码,可以了解到在用户进行身份验证时,Spring Security 是如何进行认证的[2.1]。这可以帮助我们更好地理解 Spring Security 在认证过程中的各个环节。 总结起来,Spring Security 的源码包含了过滤器链加载流程和认证流程的实现。通过深入研究这些源码,我们可以更好地理解 Spring Security 的原理和工作机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值