SpringSecurity - 启动流程分析(七)

最新推荐文章于 2023-06-11 16:35:17 发布
最新推荐文章于 2023-06-11 16:35:17 发布
阅读量4.1k 收藏
点赞数
分类专栏: # SpringSecurity 学习 文章标签: spring java spring boot SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaohao0206/article/details/126407448
版权


活动地址:CSDN21天学习挑战赛

前言

在上篇文章 SpringSecurity - 启动流程分析(六) 中,我们知道了 UsernamePasswordAuthenticationFilter 会通过 DaoAuthenticationProvider 中的 authenticate() 方法完成认证,其实是通过父类 AbstractUserDetailsAuthenticationProviderauthenticate() 方法

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		...

		if (user == null) {
			cacheWasUsed = false;

			try {
				// 核心流程,由子类实现
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			...
		}
}

// 由子类 DaoAuthenticationProvider 实现
protected abstract UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException;

其中又调用了 DaoAuthenticationProvider 实现的 retrieveUser() 方法。

protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
	prepareTimingAttackProtection();
	try {
		// 核心流程
		UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
		if (loadedUser == null) {
			throw new InternalAuthenticationServiceException(
					"UserDetailsService returned null, which is an interface contract violation");
		}
		return loadedUser;
	}
	catch (UsernameNotFoundException ex) {
		mitigateAgainstTimingAttack(authentication);
		throw ex;
	}
	catch (InternalAuthenticationServiceException ex) {
		throw ex;
	}
	catch (Exception ex) {
		throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
	}
}

UserDetailsService

至于是什么时候初始化的这个 UserDetailsService,在上篇文章中有提到这么一个配置类 InitializeUserDetailsBeanManagerConfigurer,其中有一个内部类用于处理 UserDetailsService 的赋值工作:

class InitializeUserDetailsManagerConfigurer
			extends GlobalAuthenticationConfigurerAdapter {
	@Override
	public void configure(AuthenticationManagerBuilder auth) throws Exception {
		if (auth.isConfigured()) {
			return;
		}
		// 从容器中获取 UserDetailsService
		UserDetailsService userDetailsService = getBeanOrNull(
				UserDetailsService.class);
		if (userDetailsService == null) {
			return;
		}

		PasswordEncoder passwordEncoder = getBeanOrNull(PasswordEncoder.class);
		UserDetailsPasswordService passwordManager = getBeanOrNull(UserDetailsPasswordService.class);

		// 初始化 DaoAuthenticationProvider
		DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
		provider.setUserDetailsService(userDetailsService);
		if (passwordEncoder != null) {
			provider.setPasswordEncoder(passwordEncoder);
		}
		if (passwordManager != null) {
			provider.setUserDetailsPasswordService(passwordManager);
		}
		provider.afterPropertiesSet();

		auth.authenticationProvider(provider);
	}

	...
}

查看 spring.factories 中的自动配置类

所以要实现自定义认证功能,我们只需要实现 UserDetailsService 接口即可,并且 SpringSecurity 默认给我们初始化了一个 UserDetailsService 的实现类在 IoC 容器 中。我们来看一下 spring-boot-autoconfigure 包中的 spring.factories 中关于 SpringSecurity 的自动配置类:

在这里插入图片描述

  • SecurityAutoConfiguration
@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
// 开启配置参数 SecurityProperties
@EnableConfigurationProperties(SecurityProperties.class)
// 条件注入 WebSecurityConfigurerAdapter
@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
		SecurityDataConfiguration.class })
public class SecurityAutoConfiguration {

	@Bean
	@ConditionalOnMissingBean(AuthenticationEventPublisher.class)
	public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {
		return new DefaultAuthenticationEventPublisher(publisher);
	}

}

查看 SecurityProperties

@ConfigurationProperties(prefix = "spring.security")
public class SecurityProperties {

	...

	private User user = new User();

	public User getUser() {
		return this.user;
	}

	...

	public static class User {

		/**
		 * Default user name.
		 */
		private String name = "user";

		/**
		 * Password for the default user name.
		 */
		private String password = UUID.randomUUID().toString();

		/**
		 * Granted roles for the default user name.
		 */
		private List<String> roles = new ArrayList<>();

		...

	}

}

可以看到,如果配置文件中没有配置 spring.security 相关的值,会默认初始化一个 user,用户名为 user,密码自动生成。

  • UserDetailsServiceAutoConfiguration

从命名上就可以看出,UserDetailsServiceAutoConfigurationSpringBoot 给我们提供的默认的 UserDetailsService 的自动配置类:

@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(AuthenticationManager.class)
@ConditionalOnBean(ObjectPostProcessor.class)
@ConditionalOnMissingBean(
		value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class },
		type = { "org.springframework.security.oauth2.jwt.JwtDecoder",
				"org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector" })
public class UserDetailsServiceAutoConfiguration {

	private static final String NOOP_PASSWORD_PREFIX = "{noop}";

	// 正则表达式预编译 
	private static final Pattern PASSWORD_ALGORITHM_PATTERN = Pattern.compile("^\\{.+}.*$");

	private static final Log logger = LogFactory.getLog(UserDetailsServiceAutoConfiguration.class);

	@Bean
	@ConditionalOnMissingBean(
			type = "org.springframework.security.oauth2.client.registration.ClientRegistrationRepository")
	// 同时注意,这里是 懒加载 的,如果我们自定义了,这个就不会初始化到 IoC 容器中了
	@Lazy
	public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties,
			ObjectProvider<PasswordEncoder> passwordEncoder) {
		SecurityProperties.User user = properties.getUser();
		List<String> roles = user.getRoles();
		// 这里会初始化一个 InMemoryUserDetailsManager 到 IoC 容器中
		return new InMemoryUserDetailsManager(
				User.withUsername(user.getName()).password(getOrDeducePassword(user, passwordEncoder.getIfAvailable()))
						.roles(StringUtils.toStringArray(roles)).build());
	}

	// 密码加密
	private String getOrDeducePassword(SecurityProperties.User user, PasswordEncoder encoder) {
		String password = user.getPassword();
		if (user.isPasswordGenerated()) {
			logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
		}
		if (encoder != null || PASSWORD_ALGORITHM_PATTERN.matcher(password).matches()) {
			return password;
		}
		return NOOP_PASSWORD_PREFIX + password;
	}

}
  • SecurityFilterAutoConfiguration

至于这个自动配置类,是为了指定 springSecurityFilterChain 这个过滤器的顺序和分发类型的,详细的可以查看 DelegatingFilterProxyRegistrationBean

AbstractUserDetailsAuthenticationProvider

通过上面的分析,我们知道了 UserDetailsService 的加载过程,接下来我们返回 DaoAuthenticationProviderauthenticate() 方法继续分析:

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
	...
	// 这个 user 就是通过 UserDetailsService 的 loadUserByUsername() 方法返回的 UserDetails 对象
	Object principalToReturn = user;

	// 可以通过设置这个值使 pricipal 中设置用户名或用户对象
	if (forcePrincipalAsString) {
		principalToReturn = user.getUsername();
	}

	// 创建认证成功的返回对象
	return createSuccessAuthentication(principalToReturn, authentication, user);
}

认证成功会返回一个 Authentication

protected Authentication createSuccessAuthentication(Object principal,
			Authentication authentication, UserDetails user) {
	UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(
			principal, authentication.getCredentials(),
			authoritiesMapper.mapAuthorities(user.getAuthorities()));
	result.setDetails(authentication.getDetails());

	return result;
}

注意: 认证方法的入参也是一个 Authentication !!!,Authentication 贯穿全文啊

云原生.乔豆麻袋.cn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringBoot整合Spring Security过滤器链加载执行流程源码分析
02-21 1160
Spring Boot项目之中,我们引入 Spring Security依赖,什么也没做,启动项目 Spring Security 就会生效,访问请求就进行了拦截。 Spring Boot 对于 Spring Security 提供了自动化配置方案,可以使用更少的配置来使用 Spring Security。 那么这个过滤器链是怎么加载和实现拦截的呢?
spring security启动流程解析(一)SecurityAutoConfiguration
a807719447的专栏
11-21 3310
springboot体系下我们一般是找 xxxAutoConfiguration,那么这里我们可以通过查找securityAutoConfiguration可以找到如下类: SecurityAutoConfiguration SecurityFilterAutoConfiguration SecurityRequestMatcherProviderAutoConfiguration ManagementWebSecurityAutoConfiguration MockMvcSecurityAutoCon
SpringBoot 最新版3.x 集成 OAuth 2.0 实现认证授权服务、第三方应用客户端以及资源服务...
Java知音
06-11 2396
前言Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍Spring版本升级到6.xJDK版本至少17+新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源...
Spring Security基本认证
目目沐沐
06-05 349
Spring Security基本认证
Spring Security默认用户生成分析
Littewood的博客
07-15 942
Spring Security默认用户生成源码分析
SpringBoot_SpringSecurity-源码.rar
10-10
SpringBoot_SpringSecurity-源码.zip 这个压缩包文件主要包含了SpringBoot集成SpringSecurity的源码分析SpringBootJava开发中一个流行的轻量级框架,它简化了配置和应用部署,使得开发者可以快速搭建应用程序。...
spring-security-demo
03-25
Spring Security 框架深度解析与实战指南》 在当今的互联网开发中,安全问题始终是不容...在深入研究`spring-security-demo`项目的过程中,希望你能对Spring Security有更全面、深入的理解,并能在实践中得心应手。
SpringSecurity使用和分析.docx
09-27
Spring Security 是一个强大的Java安全框架,它源自Acegi Security,并在成为Spring的子项目后更名为当前的名字。随着版本的更新,Spring Security 5.1.3.RELEASE 添加了原生OAuth2.0支持,增强了现代密码加密机制,...
spring-framework-5.3.29.tar.gz
最新发布
08-31
3. 安全增强:Spring Security在5.3.29版本中也有所改进,提供了更多安全相关的API和配置选项,强化了应用程序的安全防护。 4. 集成改进:Spring Framework 5.3.29增强了与其他技术的集成,如WebSocket、Quarkus、...
3.springSecurity源码分析1
08-03
5. 初始化过程:在Web应用程序启动时,SpringSecurity的配置会加载到Spring的ApplicationContext中,`springSecurityFilterChain`这个bean被创建并包含了一系列的Filter实例。当HTTP请求到达时,...
Spring Security(六)—SpringSecurityFilterChain加载流程深度解析
热门推荐
m0_37834471的博客
07-25 2万+
SpringSecurityFilterChain 作为 SpringSecurity 的核心过滤器链在整个认证授权过程中起着举足轻重的地位,每个请求到来,都会经过该过滤器链,前文《Spring Security(四)–核心过滤器源码分析》 中我们分析SpringSecurityFilterChain 的构成,但还有很多疑问可能没有解开: 这个 SpringSecurityFilterCha...
SpringSecurity重写DaoAuthenticationProvider,自定义密码对比类
化名三爷
03-27 2494
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题。
2.Spring security认证
EdSheeran的博客
01-20 1106
文章目录*Spring security认证**2.1Spring security基本认证**2.1.2流程分析**2.1.3原理分析**默认用户生成**默认页面生成**2.2登录表单配置**2.2.2配置细节**登录成功**登录失败**注销登录**2.3登录用户数据获取**2.3.1从`SecurityContextHolder`中获取**`SecurityContextHolder`**`SecurityContextPersistenceFilter`**2.3.2从当前请求对象中获取**2.4用户
Spring Cloud Gateway + Jwt + Oauth2 实现网关的鉴权操作
厦门在乎科技
09-08 2027
一、背景 随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。 二、需求 1、在网关层完成url层面的鉴权操作。 所有的OPTION请求都放行。 所有不存在请求,直接都拒绝访问。 user-provider服务的findAllUsers需要user.userInfo权限才可以访问。 2、将解析后的jwt token当做请求头传递到下游服务中。 3、整合Spri.
Spring Security Oauth2使用JWT生成Token
LiaoHongHB的博客
11-13 7740
转载务必说明出处:https://blog.csdn.net/LiaoHongHB/article/details/84031281 在我们平时使用oauth2的协议中,生成的token是基于oauth2协议本身的生成策略,如下面的代码(一般在登陆成功的handler中生成token).: package com.car.springsecurity.handle; import com....
JWT与不透明访问令牌:在Spring Boot中同时使用
culiu9261的博客
07-22 2012
The topic of validating an OAuth 2.0 access tokens comes up frequently on the Okta developer blog. Often we talk about how to validate JSON Web Token (JWT) based access tokens; however, this is NOT pa...
springboot,springsecurity实现OAuth2 + JWT认证以及异常处理
穷水叮咚的博客
07-11 9908
技术框架:springboot+oauth2+springsecurity+mybatis-plus+mysql+redis 主要是为了学习oauth2而写的demo,主要用到了oauth2的password模式 其实用了jwt就不应该用redis,因为jwt是无状态的,但是没办法啊,比如用户退出或者用户修改密码,导致原有的token有效,服务端无法控制这些token,所以就加了redis,只...
基于SpringBoot+SpringSecurity+JWT+RSA加密算法签名 Auth权限认证搭建教程
m0_47224541的博客
11-19 1872
基于SpringBoot+SpringSecurity+JWT+RSA加密算法签名 Auth权限认证 搭建教程 一名本科在读软件工程大三学生 —— Liujian 微笑面对生活,生活也会微笑面对你。 目录(文章过长 使用 Ctrl+F 搜索): 1、导入jar包(maven构件项目导入其坐标) 2、创建数据库、数据表及数据库连接URL(JDBC - MySQL) 3、创建实体类User、JwtUser及Dao层 4、实现UserDetailsService接口 5、编写RSA工具类 6、Token工具
SpringCloudGateway-Consider .... security.oauth2.jwt.ReactiveJwtDecoder‘ in your configuration.
Eistert
08-17 3494
报错信息: 2021-08-17 15:39:39.004 WARN 29619 --- [ main] onfigReactiveWebServerApplicationContext : Exception encountered during context initialization - cancelling refresh attempt: org.springframework.beans.factory.UnsatisfiedDependencyException: E
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值