springsecurity的登录过程

已于 2024-02-21 09:46:49 修改
阅读量658 收藏 10
点赞数 21
文章标签: java 前端 服务器
于 2024-02-21 09:45:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaoxu1989/article/details/136203424
版权
文章详细探讨了在使用若依框架的前后端分离项目中,如何追踪登录流程中DaoAuthenticationProvider的注册时机,重点介绍了UserDetailsService、PasswordEncoder的角色以及它们在AuthenticationManager中的配置过程。
摘要由CSDN通过智能技术生成 
使用若依的前后端分离框架,在梳理登录流程时发现了一部分springsecurity的部分组件没有注解,debug过程中却发现组件已经注册到容器中了,由此引发了想知道该类是在什么时候注册到容器的。

 登录主方法为

SysLoginService.login() 方法,该方法中如下代码注释提示会去调用UserDetailsServiceImpl.loadUserByUsername
authentication = authenticationManager.authenticate(authenticationToken);
public String login(String username, String password, String code, String uuid,boolean scanFlag)
    {
        if(scanFlag){
            // 验证码校验
            validateCaptcha(username, code, uuid);
        }
        // 登录前置校验
        loginPreCheck(username, password);
        // 用户验证
        Authentication authentication = null;
        try
        {
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, password);
            AuthenticationContextHolder.setContext(authenticationToken);
            // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
            authentication = authenticationManager.authenticate(authenticationToken);
        }
        catch (Exception e)
        {
            if (e instanceof BadCredentialsException)
            {
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
                throw new UserPasswordNotMatchException();
            }
            else
            {
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
                throw new ServiceException(e.getMessage());
            }
        }
        finally
        {
            AuthenticationContextHolder.clearContext();
        }
        AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        recordLoginInfo(loginUser.getUserId());
        // 生成token
        return tokenService.createToken(loginUser);
    }

认证的核心是各种AuthenticationProvider,这篇博客就来了解一下其中使用的最多的一个DaoAuthenticationProvider。

在此之前,先来了解一下三个类。UserDetails、UserDetailsService以及PasswordEncoder。

通俗的说,UserDetails是用户信息的实体类,UserDetailsService自定义实现,根据用户名密码加载UserDetails,PasswordEncoder就是密码的加密类。

看图,DaoAuthenticationProvider通过UserDetailsService以及PasswordEncoder,将用户名密码替换成UserDetails和Authorities。

接着看一看这个DaoAuthenticationProvider是从哪里配置来的,这个得从WebSecurityConfigurerAdapter说起。

在WebSecurityConfigurerAdapter中,以下代码之前都看过,AuthenticationManager 的由来也都说明过,其中有一个parent被所有的子AuthenticationManager共享,而这个DaoAuthenticationProvider就是包括在parent中。

protected final HttpSecurity getHttp() throws Exception {
        if (http != null) {
            return http;
        }
 
         //获取AuthenticationEventPublisher
        AuthenticationEventPublisher eventPublisher = getAuthenticationEventPublisher();
        localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
 
        //配置parent的AuthenticationManager,可覆盖实现自定义方法
        AuthenticationManager authenticationManager = authenticationManager();
        authenticationBuilder.parentAuthenticationManager(authenticationManager);
 
        Map<Class<?>, Object> sharedObjects = createSharedObjects();
 
        //新建HttpSecurity,并构建一个默认的HttpSecurity
        http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
                sharedObjects);
        if (!disableDefaults) {
            // @formatter:off
            http
                .csrf().and()
                .addFilter(new WebAsyncManagerIntegrationFilter())
                .exceptionHandling().and()
                .headers().and()
                .sessionManagement().and()
                .securityContext().and()
                .requestCache().and()
                .anonymous().and()
                .servletApi().and()
                .apply(new DefaultLoginPageConfigurer<>()).and()
                .logout();
            // @formatter:on
            ClassLoader classLoader = this.context.getClassLoader();
            //spi 加载 AbstractHttpConfigurer的实现类,加入HttpSecurity中
            List<AbstractHttpConfigurer> defaultHttpConfigurers =
                    SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
            for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
                http.apply(configurer);
            }
        }
        //配置HttpSecurity,可自定义实现
        configure(http);
        return http;
    }

    protected AuthenticationManager authenticationManager() throws Exception {
        //如果没有初始化过,执行方法
        if (!authenticationManagerInitialized) {
 
            //configure(AuthenticationManagerBuilder auth)
            //交给子类自定义
            configure(localConfigureAuthenticationBldr);
 
            //如果没有自定义过
            if (disableLocalConfigureAuthenticationBldr) {
                //使用默认的
                authenticationManager = authenticationConfiguration
                        .getAuthenticationManager();
            }
            else {
                //否则使用自定义过的进行构建
                authenticationManager = localConfigureAuthenticationBldr.build();
            }
            authenticationManagerInitialized = true;
        }
        return authenticationManager;
    }

以上代码可以看出,这个parent如果不自定义的话,会使用默认的authenticationConfiguration,而这个如下是spring注入进来的

    @Autowired
    public void setAuthenticationConfiguration(
            AuthenticationConfiguration authenticationConfiguration) {
        this.authenticationConfiguration = authenticationConfiguration;
    }

接下来再看AuthenticationConfiguration 是怎么加到spring容器中的。 

还是@EnableWebSecurity注解,注解了一个@EnableGlobalAuthentication,这个注解import了一个AuthenticationConfiguration。

//默认的情况获取AuthenticationManager
    public AuthenticationManager getAuthenticationManager() throws Exception {
        if (this.authenticationManagerInitialized) {
            return this.authenticationManager;
        }
        AuthenticationManagerBuilder authBuilder = this.applicationContext.getBean(AuthenticationManagerBuilder.class);
        if (this.buildingAuthenticationManager.getAndSet(true)) {
            return new AuthenticationManagerDelegator(authBuilder);
        }
         //放入三个configure,都在当前类中生成,GlobalAuthenticationConfigurerAdapter
        // InitializeUserDetailsBeanManagerConfigurer、InitializeAuthenticationProviderBeanManagerConfigurer
        for (GlobalAuthenticationConfigurerAdapter config : globalAuthConfigurers) {
            authBuilder.apply(config);
        }
 
        authenticationManager = authBuilder.build();
 
        if (authenticationManager == null) {
            authenticationManager = getAuthenticationManagerBean();
        }
 
        this.authenticationManagerInitialized = true;
        return authenticationManager;
    }

 而在这个AuthenticationConfiguration中,会生成如上的AuthenticationManager,这个就是parent。

而在这个AuthenticationManager种,设置了多个globalAuthConfigurers

    @Bean
    public static GlobalAuthenticationConfigurerAdapter enableGlobalAuthenticationAutowiredConfigurer(
            ApplicationContext context) {
        return new EnableGlobalAuthenticationAutowiredConfigurer(context);
    }
 
    @Bean
    public static InitializeUserDetailsBeanManagerConfigurer initializeUserDetailsBeanManagerConfigurer(ApplicationContext context) {
        return new InitializeUserDetailsBeanManagerConfigurer(context);
    }
 
    @Bean
    public static InitializeAuthenticationProviderBeanManagerConfigurer initializeAuthenticationProviderBeanManagerConfigurer(ApplicationContext context) {
        return new InitializeAuthenticationProviderBeanManagerConfigurer(context);
    }

可以看到,当前类中有这么三个Configurer,其中InitializeUserDetailsBeanManagerConfigurer中会生成DaoAuthenticationProvider,要注意的是,这里并不是在这个类中直接生成的,而是如下,先注入了一个InitializeUserDetailsManagerConfigurer,在InitializeUserDetailsManagerConfigurer中创建的。

@Override
    public void init(AuthenticationManagerBuilder auth) throws Exception {
        auth.apply(new InitializeUserDetailsManagerConfigurer());
    }
public void configure(AuthenticationManagerBuilder auth) throws Exception {
            if (auth.isConfigured()) {
                return;
            }
            //从spring中获取UserDetailsService,如果没有,直接返回
            //所以要执行下面的代码,必须要有UserDetailsService
            UserDetailsService userDetailsService = getBeanOrNull(
                    UserDetailsService.class);
            if (userDetailsService == null) {
                return;
            }
           //从spring中获取PasswordEncoder
            PasswordEncoder passwordEncoder = getBeanOrNull(PasswordEncoder.class);
            
            UserDetailsPasswordService passwordManager = getBeanOrNull(UserDetailsPasswordService.class);
 
            //构建DaoAuthenticationProvider
            DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
            provider.setUserDetailsService(userDetailsService);
            if (passwordEncoder != null) {
                provider.setPasswordEncoder(passwordEncoder);
            }
            if (passwordManager != null) {
                provider.setUserDetailsPasswordService(passwordManager);
            }
            provider.afterPropertiesSet();
 
           //将provider放入AuthenticationManagerBuilder中
            auth.authenticationProvider(provider);
        }

到此,DaoAuthenticationProvider的由来就已经清晰了。

再看看逻辑,如下代码,逻辑和之前描述一致。

    protected final UserDetails retrieveUser(String username,
            UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        prepareTimingAttackProtection();
        try {
            
            //调用UserDetailsService的loadUserByUsername方法,方法需要自定义
            UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
            if (loadedUser == null) {
                throw new InternalAuthenticationServiceException(
                        "UserDetailsService returned null, which is an interface contract violation");
            }
            return loadedUser;
        }
        catch (UsernameNotFoundException ex) {
            mitigateAgainstTimingAttack(authentication);
            throw ex;
        }
        catch (InternalAuthenticationServiceException ex) {
            throw ex;
        }
        catch (Exception ex) {
            throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
        }
    }
 

 结束!

吹气球吹个大气球
关注
  • 21
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
springSecurity
09-04
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本文中,我们将深入探讨Spring Security的核心概念、主要功能以及如何在实际项目中使用它。 1. **核心概念** ...
AuthenticationContextHolder使用
码字不易,大家的支持就是我坚持下去的动力
03-14 1670
Spring Security 提供的一个类,用于在应用程序中获取当前用户的认证信息。该类包含了一个方法,用于获取当前用户的认证信息。以下是// 获取当前用户的认证信息 Authentication authentication = SecurityContextHolder . getContext() . getAuthentication();// 在这里可以根据用户的认证信息做一些业务逻辑处理 } }在这个例子中,我们定义了一个MyService类,并在其中使用获取了当前用户的认证信息。
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 1937
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
SPRING实现登陆
Aran
06-12 1301
使用 用户名+密码 的方式来登录,用户名、密码存储在数据库,并且支持密码输入错误三次后开启验证码,通过这样一个过程来熟悉 spring security 的认证流程,掌握 spring security 的原理。 1、基础环境 ① 创建 sunny-cloud-security 模块,端口号设置为 8010,在sunny-cloud-security模块引入security支持以及sunny-st...
SpringSecurity登录
Y_CSDN_B的博客
08-22 164
UserDetailsService : 是SpringSecurity提供用来获取认证用户信息(用户名,密码,用户的权限列表)的接口,我们可以实现该接口,复写loadUserByUsername(username)方法加载我们数据库中的用户信息UserDetails是SpringSecurity用来封装用户认证信息,权限信息的对象,我们使用它 的实现类User封装用户信息 并返回,我们这里从数据库查询用户名基于入门案例进行修改。
SpringSecurity登录
拒绝熬夜啊的博客
11-30 1643
文章目录SpringSecurity登录一、登录处理器1.1 自定义AuthenticationSuccessHandler1.2 自定义AuthenticationFailureHandler1.3 DelegatingAuthenticationFailureHandler二、设置登录成功页和失败页2.1 默认情况下2.2 指定URL处理2.3 自定义认证成功、失败处理CustomAuthenticationSuccessHandler:CustomAuthenticationFailureHandl
Spring Security实现登录
不愧是暮言的博客
05-24 3615
Spring SecuritySpring框架下的一个用于身份验证和授权的框架,它可以帮忙管理web应用中的用户认证、授权以及安全性问题。环境准备Spring Security核心概念实现基本登录功能添加Spring Security的数据库认证Spring Security是一个非常好用的身份认证和授权框架,可以有效保证应用的安全性。本文介绍了如何使用Spring Security实现基本的登录功能和数据库认证,希望这篇文章能够帮助到你。。
Spring security实现登陆和权限角色控制
01-21
 1、spring版本:4.3.2.RELEASE+spring security 版本:4.1.2.RELEASE(其它不做说明)  2、所展示内容全部用注解配置  3、springmvc已经配置好,不作说明  4、会涉及到springmvc,spel,el的东西,不熟悉的同学...
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
Spring Boot Security 2.5.8 是一个强大的框架,用于为Spring Boot应用程序提供安全控制,包括身份验证和授权。在2.5.8版本中,它增强了灵活性和易用性,使得开发者能够轻松地实现复杂的安全需求。在这个项目中,...
spring 登陆功能 小案例
07-30
在pom.xml或build.gradle文件中添加Spring Web、Spring Security和相关库的依赖。 - 设计项目的目录结构,包括src/main/java、src/main/resources和src/main/webapp等。 2. **配置Spring MVC**: - 创建一个...
Spring-security首次登录
实习生的博客
11-10 791
fasdf
Spring-Security登录功能
weixin_50947287的博客
05-12 419
壹.Spring-Security登录功能 一.简介 1.使用Spring-Security实现登录,即安全管理; 2.一个项目一般都会有登录功能,我们之前编写的登录功能非常简陋,不能用于实际开发, ​ Spring-Security提供了专业的实现登录的方式,供我们使用。 二.基本使用 1.导入依赖 <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupI
SpringSecurity登录介绍
清风伴酒的博客
06-25 423
SpringSecurity 简介 SpringSecurity是一个框架,提供身份验证、授权和针对常见攻击的保护。由于对命令式应用程序和反应式应用程序的一流支持,它是保护基于Spring的应用程序的事实上的标准。 SpringSecurity常用过滤器介绍 常用的过滤器有15个,分别如下: 1.org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,非常重要 主要是使用SecurityCon
spring security (二) spring security自定义登录
mylove10086
05-14 514
拦截请求对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下的代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:http                 .authorizeRequests()                .antMatchers( "/spittles/me").au...
spring security 介绍及登录(一)
qq_36331657的博客
04-08 288
1.spring security 基本介绍 相对于Apache Shiro,Spring Security提供了更多的诸如 LDAP 、 OAuth2.0 、 ACL 、 Kerberos 、 SAML 、 SSO 、 OpenID 等诸多的安全认证、鉴权协议,可以按需引用。对认证/鉴权更加灵活,粒度更 细。可以结合你自己的业务场景进行更加合理的定制化开发。在最新的Spring Security 5.x中更是提供了 响应式应用(reactive application)提供了安全控制支持。从语言上来讲,支
springSecurity登录的全过程
XuDream的博客
08-12 3098
整个流程就是:进入接口—>进行验证—>获取用户信息—>创建token—>存入redis—>返回/*** 自定义权限实现,ss取自SpringSecurity首字母*/*** 所有权限标识/*** 管理员角色权限标识/*** 验证用户是否具备某权限** @param permission 权限字符串* @return 用户是否具备某权限System . out . println("拥用这个权限才能通过" + permission);...
Spring Security 登录流程
CHENFU_ZKK的博客
09-26 1649
Spring Security 登录流程
springSecurity如何验证登陆密码
09-13
Spring Security 提供了多种方式来验证登录密码。其中一种常用的方式是使用数据库存储用户信息,并通过 Spring Security 的加密功能进行密码验证。具体的步骤如下: 1. 首先,需要在数据库中存储用户的账号和加密后的密码。可以使用 Spring Security 提供的密码加密工具(如 BCryptPasswordEncoder)对用户密码进行加密,并将加密后的密码存储到数据库中。 2. 接下来,在 Spring Security 的配置类中,需要配置身份验证器(AuthenticationManager),用于对用户的身份进行验证。可以使用内存身份验证器(InMemoryAuthentication)或自定义的用户详细服务(UserDetailsService)来验证用户的身份信息。 3. 在身份验证器中,需要将用户的密码与数据库中存储的加密后的密码进行比较。Spring Security 提供了多种密码匹配器(PasswordEncoder)来进行密码比较,例如使用 BCryptPasswordEncoder 的 matches 方法。 4. 当用户提交登录请求时,Spring Security 会自动调用身份验证器对用户的身份进行验证。在验证过程中,Spring Security 会自动将用户输入的密码进行加密并与数据库中存储的密码进行比较,从而判断用户输入的密码是否正确。 通过以上步骤,Spring Security 可以有效验证用户的登录密码,并提供一种安全可靠的身份验证机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值