spring security(二)

最新推荐文章于 2023-03-27 11:17:05 发布
最新推荐文章于 2023-03-27 11:17:05 发布
阅读量152 收藏
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31171951/article/details/84206542
版权

Spring Security 运行流程

在上一章,我们对Spring Security进行的简单的介绍,以及写的一个简单的表单登陆成功及登陆失败的处理。今天我们更加详细的学习Spring Security内部的运行流程。
还是以我们的表单登陆为例,下面这张图也是借用网上的。
运行流程
这张图列出来的都是Spring Security认证的核心类,我们有必要对图中的每一个对象进行说明。
UsernamePasswordAuthenticationFilter: 处理表单登陆的过滤器。
AuthenticationManager:管理所有的AuthenticationProvider ,并选择适合的进行验证,默认实现类是ProviderManager。
AuthenticationProvider:验证提供者,可以自己写provider处理自己的业务场景逻辑。
UserDetailsService:获取用户信息service
UserDetails:用户信息描述。
Authentication:保存用户登陆成功的信息。

当我们输完用户名和密码开始登陆,首先会来到UsernamePasswordAuthenticationFilter 里面

		//代码大约在68行
public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
			//校验登陆方法是否是POST
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}
		//获取用户名和密码
		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim();
			//根据用户名和密码创建UsernamePasswordAuthenticationToken对象
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
		//调用AuthenticationManager的authenticate方法
		return this.getAuthenticationManager().authenticate(authRequest);
	}

由于AuthenticationManager的默认实现是org.springframework.security.authentication.ProviderManager接下来我们直接看ProviderManager代码:

		//代码大约在156行
	public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		Authentication result = null;
		boolean debug = logger.isDebugEnabled();
			//循环遍历认证方式,直到支持当前认证方式为止
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				// 调用AbstractUserDetailsAuthenticationProvider的authenticate方法验证用户信息
				result = provider.authenticate(authentication);
				
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result == null && parent != null) {
			// Allow the parent to try.
			try {
				result = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			eventPublisher.publishAuthenticationSuccess(result);
			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		prepareException(lastException, authentication);

		throw lastException;
	}

org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider

	// 大约在126行
public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
			//校验用户,调用自己DaoAuthenticationProvider实现类
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				}
				else {
					throw notFound;
				}
			}

			Assert.notNull(user,
					"retrieveUser returned null - a violation of the interface contract");
		}

		try {
			preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException exception) {
			if (cacheWasUsed) {
				// There was a problem, so try again after checking
				// we're using latest data (i.e. not from the cache)
				cacheWasUsed = false;
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
				preAuthenticationChecks.check(user);
				additionalAuthenticationChecks(user,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			else {
				throw exception;
			}
		}

		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}

		return createSuccessAuthentication(principalToReturn, authentication, user);
	}

org.springframework.security.authentication.dao.DaoAuthenticationProvider

//大约在108行
protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		UserDetails loadedUser;

		try {
			//此处代码调用我们自己实现的UserDetailsService,返回用户信息
			loadedUser = this.getUserDetailsService().loadUserByUsername(username);
		}
		catch (UsernameNotFoundException notFound) {
			if (authentication.getCredentials() != null) {
				String presentedPassword = authentication.getCredentials().toString();
				passwordEncoder.isPasswordValid(userNotFoundEncodedPassword,
						presentedPassword, null);
			}
			throw notFound;
		}
		catch (Exception repositoryProblem) {
			throw new InternalAuthenticationServiceException(
					repositoryProblem.getMessage(), repositoryProblem);
		}

		if (loadedUser == null) {
			throw new InternalAuthenticationServiceException(
					"UserDetailsService returned null, which is an interface contract violation");
		}
		return loadedUser;
	}

从上面整个代码流程分析我们已经直到,Spring Security为我们做了很多事,例如用户登陆密码是否正确,账号过期怎么处理等等。我们只需要实现UserDetailsService,返回org.springframework.security.core.userdetails.User对象,其它工作Spring Security默认已经帮我们实现好了。

有你就行123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security
热爱生活,向往自由。
01-11 148
Spring Security) ***注:凡是源码部分,我已经把英文注释去掉了,有兴趣的同学可以在自己项目里进去看看。***
spring security的使用(一)
lucky_ly的博客
02-05 458
spring securityspring全家桶中负责认证,授权,安全方便的框架,spring security 相对于 apache的授权认证框架——shiro来说会相对复杂些,spring security不仅可以提供单体应用的认证授权,还提供sso oauth2,微服务内的鉴权授权的等能力。
成功解决:org.springframework.security.authentication.BadCredentialsException: Bad credentials
Jav
04-25 1万+
在使用Spring security框架时报错: 原因:密码错误 因为我们开启了加密,所以数据库中只存储了密文 使用下面的代码,计算出密文,然后将数据库中密码改为密文 public class BCryptPasswordEncoderUtils { private static BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder(); public static String encodePassw
Java学习之错误记录(2)---org.springframework.security.authentication.InternalAuthenticationServiceException:
热门推荐
u013062192的博客
12-22 4万+
今天在配置Spring Security过程中,没有看懂下面语句的作用。 @Bean CustomUserService customUserService() { // 注册UserDetailsService 的bean return new CustomUserServiceImpl(); } 将原博主的代码: @Bean CustomUs...
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(一)
半斤米粉闯天下的博客
08-27 9732
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
spring boot整合spring security()--手机号验证码登陆
意田天的博客
11-11 2万+
手机号验证码登陆概述搭建基础架构认证流程定义token定义过滤器filter接下来是自定义手机号验证码登陆鉴证器provider修改UserDetailService的实现类为生成验证码接口登陆接口测试未登录状态用户名 密码登陆手机号 验证码登陆 概述 spring security默认使用的是用户名密码的登陆,如果想要增加一种登陆方式, 就要仿照源码中用户名密码登陆的方式, 手写一套手机号验证码登陆校验, 话不多说, 开干! 搭建基础架构 搭建项目基础架构工作, 在(一)中已经完成, 这里直接在其基础上
Spring boot admin 升级到2.3.1 遇到的问题总结
Harry的博客
01-13 1546
目录 问题1 :注册到Spring boot admin 服务器上的项目在项目关闭或着重启的时候不会发注销。 问题2 :如果spring boot admin server 已经是spring web security 项目了。那么给spring boot admin client 在发请求给 server的时候加 username 和password? 问题3 : 如果注册在spring boot admin server中的项目显示offline 但是这个项目的确运行着。 问题4:注册到spr.
Spring Security
04-01
**Spring Security 源码分析** Spring Security 是一个强大的、高度可定制的访问控制和身份认证框架,广泛应用于Java EE应用程序的安全管理。它为开发者提供了丰富的功能,包括身份验证、授权、会话管理以及CSRF...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
Spring Security模块
09-03
**Spring Security 的工作流程** 1. **请求到达**:用户发送 HTTP 请求到服务器。 2. **过滤器链**:Spring Security 的过滤器链开始工作,首先是 `DelegatingFilterProxy`,它将请求转发给 Spring Security ...
史上最简单的Spring Security教程(十六):DaoAuthenticationProvider详解
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
13.12 Spring Boot集成Security中遇到的问题
禅与计算机程序设计艺术
05-06 8765
13.12 Spring Boot集成Security中遇到的问题 问题1:Spring Boot集成Security使用数据库用户角色权限用户名问题 问题描述 代码 package com.springboot.in.action.dao import java.util.List import com.springboot.in.action.en...
SpringSecurity重写DaoAuthenticationProvider,自定义密码对比类
化名三爷
03-27 2537
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题。
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
Spring Cloud OAuth2中访问/oauth/token报There is no PasswordEncoder mapped for the id “null“问题解决
分享技术,传播知识!
01-16 1147
Spring Cloud OAuth2中访问/oauth/token报There is no PasswordEncoder mapped for the id "null"问题解决问题分析问题解决 问题分析 初建Spring Cloud OAuth2项目中访问获取access_token票证的端点/oauth/token时报错,在postman中报如下错误: { "error": "unauthorized", "error_description": "Full authenticati
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(三)
半斤米粉闯天下的博客
08-29 5398
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
智慧校园音视频系统整体解决方案-1PPT(24页).pptx
最新发布
07-28
智慧校园整体解决方案是响应国家教育信息化政策,结合教育改革和技术创新的产物。该方案以物联网、大数据、人工智能和移动互联技术为基础,旨在打造一个安全、高效、互动且环保的教育环境。方案强调从数字化校园向智慧校园的转变,通过自动数据采集、智能分析和按需服务,实现校园业务的智能化管理。 方案的总体设计原则包括应用至上、分层设计和互联互通,确保系统能够满足不同用户角色的需求,并实现数据和资源的整合与共享。框架设计涵盖了校园安全、管理、教学、环境等多个方面,构建了一个全面的校园应用生态系统。这包括智慧安全系统、校园身份识别、智能排课及选课系统、智慧学习系统、精品录播教室方案等,以支持个性化学习和教学评估。 建设内容突出了智慧安全和智慧管理的重要性。智慧安全管理通过分布式录播系统和紧急预案一键启动功能,增强校园安全预警和事件响应能力。智慧管理系统则利用物联网技术,实现人员和设备的智能管理,提高校园运营效率。 智慧教学部分,方案提供了智慧学习系统和精品录播教室方案,支持专业级学习硬件和智能化网络管理,促进个性化学习和教学资源的高效利用。同时,教学质量评估中心和资源应用平台的建设,旨在提升教学评估的科学性和教育资源的共享性。 智慧环境建设则侧重于基于物联网的设备管理,通过智慧教室管理系统实现教室环境的智能控制和能效管理,打造绿色、节能的校园环境。电子班牌和校园信息发布系统的建设,将作为智慧校园的核心和入口,提供教务、一卡通、图书馆等系统的集成信息。 总体而言,智慧校园整体解决方案通过集成先进技术,不仅提升了校园的信息化水平,而且优化了教学和管理流程,为学生、教师和家长提供了更加便捷、个性化的教育体验。
springsecurity 次认证
08-24
Spring Security提供了强大的身份认证和授权功能,但默认情况下只提供了一种单一的认证方式。如果你需要进行次认证,你可以按照以下步骤进行配置: 1. 创建一个自定义的AuthenticationProvider:你可以实现`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值