spring security(二)

最新推荐文章于 2023-03-27 11:17:05 发布
最新推荐文章于 2023-03-27 11:17:05 发布
阅读量152 收藏
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31171951/article/details/84206542
版权

Spring Security 运行流程

在上一章,我们对Spring Security进行的简单的介绍,以及写的一个简单的表单登陆成功及登陆失败的处理。今天我们更加详细的学习Spring Security内部的运行流程。
还是以我们的表单登陆为例,下面这张图也是借用网上的。
运行流程
这张图列出来的都是Spring Security认证的核心类,我们有必要对图中的每一个对象进行说明。
UsernamePasswordAuthenticationFilter: 处理表单登陆的过滤器。
AuthenticationManager:管理所有的AuthenticationProvider ,并选择适合的进行验证,默认实现类是ProviderManager。
AuthenticationProvider:验证提供者,可以自己写provider处理自己的业务场景逻辑。
UserDetailsService:获取用户信息service
UserDetails:用户信息描述。
Authentication:保存用户登陆成功的信息。

当我们输完用户名和密码开始登陆,首先会来到UsernamePasswordAuthenticationFilter 里面

		//代码大约在68行
public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
			//校验登陆方法是否是POST
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}
		//获取用户名和密码
		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim();
			//根据用户名和密码创建UsernamePasswordAuthenticationToken对象
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
		//调用AuthenticationManager的authenticate方法
		return this.getAuthenticationManager().authenticate(authRequest);
	}

由于AuthenticationManager的默认实现是org.springframework.security.authentication.ProviderManager接下来我们直接看ProviderManager代码:

		//代码大约在156行
	public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		Authentication result = null;
		boolean debug = logger.isDebugEnabled();
			//循环遍历认证方式,直到支持当前认证方式为止
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				// 调用AbstractUserDetailsAuthenticationProvider的authenticate方法验证用户信息
				result = provider.authenticate(authentication);
				
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result == null && parent != null) {
			// Allow the parent to try.
			try {
				result = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			eventPublisher.publishAuthenticationSuccess(result);
			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		prepareException(lastException, authentication);

		throw lastException;
	}

org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider

	// 大约在126行
public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
			//校验用户,调用自己DaoAuthenticationProvider实现类
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				}
				else {
					throw notFound;
				}
			}

			Assert.notNull(user,
					"retrieveUser returned null - a violation of the interface contract");
		}

		try {
			preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException exception) {
			if (cacheWasUsed) {
				// There was a problem, so try again after checking
				// we're using latest data (i.e. not from the cache)
				cacheWasUsed = false;
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
				preAuthenticationChecks.check(user);
				additionalAuthenticationChecks(user,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			else {
				throw exception;
			}
		}

		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}

		return createSuccessAuthentication(principalToReturn, authentication, user);
	}

org.springframework.security.authentication.dao.DaoAuthenticationProvider

//大约在108行
protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		UserDetails loadedUser;

		try {
			//此处代码调用我们自己实现的UserDetailsService,返回用户信息
			loadedUser = this.getUserDetailsService().loadUserByUsername(username);
		}
		catch (UsernameNotFoundException notFound) {
			if (authentication.getCredentials() != null) {
				String presentedPassword = authentication.getCredentials().toString();
				passwordEncoder.isPasswordValid(userNotFoundEncodedPassword,
						presentedPassword, null);
			}
			throw notFound;
		}
		catch (Exception repositoryProblem) {
			throw new InternalAuthenticationServiceException(
					repositoryProblem.getMessage(), repositoryProblem);
		}

		if (loadedUser == null) {
			throw new InternalAuthenticationServiceException(
					"UserDetailsService returned null, which is an interface contract violation");
		}
		return loadedUser;
	}

从上面整个代码流程分析我们已经直到,Spring Security为我们做了很多事,例如用户登陆密码是否正确,账号过期怎么处理等等。我们只需要实现UserDetailsService,返回org.springframework.security.core.userdetails.User对象,其它工作Spring Security默认已经帮我们实现好了。

有你就行123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(一)
半斤米粉闯天下的博客
08-27 9660
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
spring boot整合spring security(二)--手机号验证码登陆
意田天的博客
11-11 2万+
手机号验证码登陆概述搭建基础架构认证流程定义token定义过滤器filter接下来是自定义手机号验证码登陆鉴证器provider修改UserDetailService的实现类为生成验证码接口登陆接口测试未登录状态用户名 密码登陆手机号 验证码登陆 概述 spring security默认使用的是用户名密码的登陆,如果想要增加一种登陆方式, 就要仿照源码中用户名密码登陆的方式, 手写一套手机号验证码登陆校验, 话不多说, 开干! 搭建基础架构 搭建项目基础架构工作, 在(一)中已经完成, 这里直接在其基础上
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
SpringSecurity重写DaoAuthenticationProvider,自定义密码对比类
化名三爷
03-27 2488
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题。
Spring Cloud OAuth2中访问/oauth/token报There is no PasswordEncoder mapped for the id “null“问题解决
分享技术,传播知识!
01-16 1146
Spring Cloud OAuth2中访问/oauth/token报There is no PasswordEncoder mapped for the id "null"问题解决问题分析问题解决 问题分析 初建Spring Cloud OAuth2项目中访问获取access_token票证的端点/oauth/token时报错,在postman中报如下错误: { "error": "unauthorized", "error_description": "Full authenticati
Spring Security
04-01
**Spring Security 源码分析** Spring Security 是一个强大的、高度可定制的访问控制和身份认证框架,广泛应用于Java EE应用程序的安全管理。它为开发者提供了丰富的功能,包括身份验证、授权、会话管理以及CSRF...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
Spring Security模块
09-03
**二、Spring Security 的工作流程** 1. **请求到达**:用户发送 HTTP 请求到服务器。 2. **过滤器链**:Spring Security 的过滤器链开始工作,首先是 `DelegatingFilterProxy`,它将请求转发给 Spring Security ...
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(三)
半斤米粉闯天下的博客
08-29 5354
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
Spring Security异常没有直接抛出的问题
baidu_39157826的博客
05-13 3415
Spring Security 异常没有抛出去的问题 记录一个使用Spring Security自定义异常时出现的问题。 UserDetailsService returned null, which is an interface contract violation 环境描述 定义了一个登录异常,继承security里的Authentication异常 import org.springframework.security.core.AuthenticationException; public
004springSecurity之配置类中配置用户名密码
lcgskycby的博客
03-03 517
在配置类中配置用户名密码如下: @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean PasswordEncoder passwordEncoder(){ //不加密方式返回 return NoOpPasswordEncoder.getInstance(); } @Override protected void
(原创)Spring security用户验证机制浅谈.
热门推荐
d7011800的专栏
03-19 3万+
1.  首先CustomUserDetailsService需要实现UserDetailsService(org.springframework.security.core.userdetails.UserDetailsService)接口, 实现获取用户Detail信息的回调函数. 必须要实现的方法是loadUserByUsername 注意: 这里的user类必须继承userDetail
升级到Spring Security 4.2的坑及解决办法
甘焕的博客
05-12 9405
把框架从Spring Security从3升级到4,结果出现了一大堆错误,每一个都是巨坑,几个非常熟悉的问题,花了我几乎一整天的时间,下面一一说来。1. 验证始终无法通过输入正确的用户名与密码,却始终收到这样的异常:org.springframework.security.authentication.BadCredentialsException: Bad credentials at o
java auth 随笔 1-security
hyoka的博客
12-25 133
java auth 随笔 1-security
Spring Security教程(7)---- 解决UsernameNotFoundException无法被捕获的问题
z69183787的专栏
03-13 1万+
这个教程是我在往项目中一点一点添加 Spring Security的过程的一个笔记,也是我学习 Spring Security的一个过程。 在解决这个问题之前要先说一点authentication-provider默认加载的是DaoAuthenticationProvider类。 完成了上一章的内容后在测试的时候发现在UserDetailsService中抛出的UsernameNotF
springsecurity 二次认证
最新发布
08-24
Spring Security提供了强大的身份认证和授权功能,但默认情况下只提供了一种单一的认证方式。如果你需要进行二次认证,你可以按照以下步骤进行配置: 1. 创建一个自定义的AuthenticationProvider:你可以实现`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值