Spring Security是怎么用你的账号密码认证的

最新推荐文章于 2024-06-03 10:57:59 发布
最新推荐文章于 2024-06-03 10:57:59 发布
阅读量479 收藏 5
点赞数
分类专栏: Spring Security Spring Cloud 文章标签: spring java spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30690165/article/details/128876898
版权

前言

Spring security的登录和注销我们大概都了解了,然后核心类我们也了解了,接下来呢还有基础的,quick start我们也做了。就缺少一次成体系的流程介绍, 本篇将会以角色扮演的形式带你深入源码了解spring security底层是怎么认证的。

认证

是什么?

小白: “认证认证到底什么是认证呢?是直接比较密码吗?”

小黑: “认证的核心就是比较用户输入的账户和数据库中已经注册过的账户的密码是否相等。根据相等的结果,才能给予用户后续一系列授权和访问操作。”

小白: “那spring security的认证是和有什么区别吗?”

小黑: 总体来看的话基本上没什么区别,说白了就是用户输入的账户和数据库中的账户进行比较就这么简单。如果细分下来的话就有下列几个步骤:

  • 第一从客户端请求中拿到用户输入的账户和密码,

  • 第二从数据库中拿到数据库中的账户和密码,

  • 第三就是做比较。

  • 最后保存认证成功的信息。

这是论证主要的步骤当然还有其他功能。比如说remember me功能之类。

小白: “那看起来还挺简单的,那spring security源码也是这么搞的吗?”

小黑: “万变不离其宗,接下来我们将以上面总结的这几个步骤进行分析,spring security源码中的这些步骤所处的源码到底是怎么实现的”

小黑: “不过在分析源码之前,需要罗列一下过滤器执行顺序的列表。”

Spring security中过滤器列表

image-20221113045141957

image-20221113045206974

小黑: “这些过滤器不需要记得很详细,只需要在关键时刻拿出来看看就行了。”

开始分析

image-20221229182727351

直接从上图的过滤器开始分析,可以省掉很多事情。

image-20221229182817884

我们可以直接看到它其实就是一个过滤器,而且是servlet的过滤器。

那么就可以找到doFilter的函数在这里AbstractAuthenticationProcessingFilter

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7vZRemkX-1675433703718)(null)]

  • 第一从客户端请求中拿到用户输入的账户和密码,

  • 第二从数据库中拿到数据库中的账户和密码,

  • 第三就是做比较。

  • 最后保存认证成功的信息。

小白: “简直和我们说的过程一致, 完美”

客户端请求中拿到账户和密码

这个过程主要在这里UsernamePasswordAuthenticationFilter#attemptAuthentication

image-20221229210730331

看看, 下面都是通过 request 获取的 usernamepassword 的源码

image-20221229210821248

从数据库中拿账户密码和密码匹配比较

这里需要进入下面源码才能看到上面的账户密码

this.getAuthenticationManager().authenticate(authRequest);

进入上面的那个函数只能看到ProviderManager, 就能够看到前面一章节熟悉的

AuthenticationManagerAuthenticationManager.parent 之间的关系, 父子AuthenticationManager关系

紧接着才会讲到我们需要的函数

AbstractUserDetailsAuthenticationProvider#authenticate

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YMk4sMcq-1675433704376)(null)]

image-20221229220652411

保存认证成功信息

AbstractAuthenticationProcessingFilter#successfulAuthentication

image-20221229214812220

最后在附上绝杀流程图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-27Hcjnlx-1675433704432)(null)]

总结

没啥好总结的, 都是差不多的流程, 不过还有很多细节没讲, 不过也够了

以后看到要自定义啥, 看图就行

图片转存中…(img-gFwy01CG-1675433700954)]

最后在附上绝杀流程图

[外链图片转存中…(img-Ruk6bush-1675433700956)]

总结

没啥好总结的, 都是差不多的流程, 不过还有很多细节没讲, 不过也够了

以后看到要自定义啥, 看图就行

渣渣→_→
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity用户密码验证过程
caijibaindashen的博客
04-27 5092
SpringSecurity过滤链当中的UsernamePasswordAuthenticationFilter负责登陆密码验证 AbstractAuthenticationProcessingFilter是UsernamePasswordAuthenticationFilter的父接口,接口当中就有一个this.getAuthenticationManager()方法,获取AuthenticationManager对象。 AuthenticationManager对象当中有一个方法:Authentica
Spring security基于数据库中账户密码认证
08-24
以下是一个简单的示例代码,演示如何使用 Spring Security 基于数据库中账户密码认证。 新建一个 JavaWeb 工程,导入相关依赖,pom 文件的内容如下: pom 文件 ``` <modelVersion>4.0.0 <groupId>...
SpringSecurity的用户账号密码认证流程
Hunter_Kevin的博客
06-27 431
Controller层 Service层 1、AuthenticationManager.authenticate(authenticationToken) 2、ProviderManager.authenticate(authentication)
SpringSecurity角色认证、数据库查询账号密码、退出
最新发布
Cao_XinYang的博客
06-03 593
在上一次我们实现了登录拦截,以及加密密码进行登录,这次我们要加上角色认证以及把加密后的账号密码放到数据库里进行查询然后登录,最后会有一个退出,退出之后就需要再次输入账号密码
SpringSecurity系列学习(二):密码验证
在数字化道路无限探索
01-12 5099
版权声明:本文由神州数码云基地团队整理撰写,若转载请注明出处。密码存储安全进化史这一节我们还是积累一些知识,迫不及待想编码的小伙伴再忍忍,打好基础才能避免一些坑,一步一脚印。 最开始的时候,密码是明文存储的。黑客只需要攻破你的数据库,就能拿到所有的账号与密码了 为了防止密码泄露,后来在存储密码的时候对密码进行了哈希加密,这种加密是不可逆的。这样黑客即使攻破数据库拿到了账号和密码保存的记录,也不能获得真正的密码,因为存储在数据库里的密码是经过哈希加密算法之后的数据。 黑客为了解决这种情况,使用了彩虹表:预先将
Spring Security 之用户名/密码 认证
console的博客
05-06 2238
验证用户身份的最常见方法之一是验证用户名和密码,Spring Security提供了很多内置机制来从HttpServletReques读取用户名和密码:
SpringSecurity用户认证设置用户名和密码的三种方式
xzy的博客
12-20 6282
文章目录SpringSecurity用户认证设置用户名和密码的三种方式首先明白几个单词的意思:SpringSecurity默认的用户认证1.通过配置文件进行用户认证2.通过配置类进行用户认证There is no PasswordEcoder mapped for the id "null"异常异常出现原因解决办法在内存中存取密码方式PasswordEncoder接口3.通过自定义编写用户细节实现类(需要查询数据库)进行用户认证 SpringSecurity用户认证设置用户名和密码的三种方式 首先明白几个单
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
总之,这个项目提供了全面的示例,展示如何利用Spring Boot Security 2.5.8实现多种登录方式,并结合记住密码和JWT功能,构建了一个健壮的安全认证系统。对于任何想要在Spring Boot应用中实施安全控制的开发者来说,...
Spring Security技术栈开发企业级认证与授权.zip
06-05
集成 spring securit, spring security oauth 和 spring social,实现 用户名密码登录,手机验证码登录,社交账号登录,基于jwt的sso,集群session管理等功能。
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要认证,哪些URL对所有用户开放。 8. **认证Controller**:创建一个专门处理用户登录请求的Controller,接收登录...
详解Spring Security的formLogin登录认证模式
08-25
Spring Security的formLogin登录认证模式详解】 在构建复杂且高度定制化的企业级应用时,登录验证页面往往需要满足各种个性化需求,例如美观的界面和多样化的登录方式。Spring Security 提供了formLogin模式,...
对于Springsecurity密码验证机制的深入探究
qq_40930171的博客
06-25 329
对于Springsecurity密码验证机制的深入探究 最近在做Spring Security的授权认证 做完之后再进行登陆操作时出现了这样的错误 “Encoded password does not look like BCrypt” 这个错误刚出来的时候我是很懵的,毕竟这个所谓的Encoded password 究竟在哪里?只能硬着头皮去查源码,在 DaoAuthenticationProvider文件中可以发现如下代码。 String presentedPassword = authenticati
SpringSecurity_day2_账号密码认证
jgxc152的博客
07-03 145
​ 此时除了要拿到的账户的姓名密码,还需要拿到用户的其他信息,需要自定义一个UserDetails封装用户的其他信息,重写里面所有的方法,将账户的姓名和密码都使用员工类进行返回,其他的返回值都设置为true。之前是使用的表单的方式进行提交的用户数据,直接使用他表单处理的fillter,但是现在使用的是ajax提交的数据,需要我们自己来进行处理。2.在loginService里面使用认证器进行账号和密码认证,认证成功后将这个用户的存到redis中。4.获取用户拥有的权限和当前访问的方法需要的权限。
Spring Secuirty 密码加密认证讲解
weixin_52834606的博客
08-27 3343
spring Securiy 密码加密 深度讲解
SpringSecurity——BCryptPasswordEncoder加密和对密码验证的原理
HD243608836的博客
04-21 2918
BCryptPasswordEncoder使用哈希算法+随机盐来对字符串加密。因为哈希是一种不可逆算法,所以密码认证时需要使用相同的算法+盐值来对待校验的明文进行加密,然后比较这两个密文来进行验证。BCryptPasswordEncoder在加密时通过从传入的salt中获取real_salt用来加密,保证了这一点。
springsecurity密码验证原理概括
issac的博客
11-22 8198
密码验证过程 1.UsernamePasswordAuthenticationFilter 从UsernamePasswordAuthenticationFilter断点进入,此处的返回值是一个方法**getAuthenticationManager().authenticate(authRequest)**的返回值,而传入的参数正是在表单中输入的账户密码进行封装之后的结果,主要进入authentication(authRequest)中进行探索。 2.ProviderManager 进入getAuthe
(idea)利用SpringSecurity完成登录验证的流程
junqiqi77的博客
06-05 1703
spring security是一个安全可靠且高度可定制的安全框架,它提供身份验证和访问权限控制。按照框架的要求提供相关的信息和配置就可以利用spring security写出企业级安全的登录功能。认证验证登录者的身份授权:定义登录者登录后可以做什么攻击防护:防止身份伪造有了springboot之后,springboot对spring security提供了自动化配置的方案,所以在springboot项目中可以实现零配置使用spring security
Spring Security用户名密码认证以及基本认证
szm1160809039的博客
10-11 1380
用户名密码认证是最常用的认证方式之一,
Spring Security 默认账号密码是什么
07-29
Spring Security中,默认情况下,生成的随机密码会在应用启动时输出到控制台。控制台输出的日志中,会包含类似下面的内容: ``` Using generated security password: 12345678-9012-3456-7890-123456789012 ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值