Spring Security源码阅读(1)

最新推荐文章于 2023-03-20 22:49:04 发布
最新推荐文章于 2023-03-20 22:49:04 发布
阅读量254 收藏
点赞数
分类专栏: 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31854267/article/details/109206242
版权

Spring Security

文章目录

1. 介绍

为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 --百度百科

功能

  • 身份认证和授权
  • 支持Servlet API集成
  • 支持Spring Web MVC集成
  • 其他

2. 核心组件

2.1 核心接口

Authentication
interface Authentication extends Principal, Serializable
    // 权限信息,比如角色或者权限字符串
    Collection<? extends GrantedAuthority> getAuthorities();
    // 凭证信息,比如键入的密码
    Object getCredentials();
    // 额外信息,比如请求附带的IP
    Object getDetails();
    // 认证主体,比如实现DetailServices
    Object getPrincipal();
    // 是否认证标识位
    boolean isAuthenticated();
    void setAuthenticated(boolean isAuthenticated)
        
abstract class AbstractAuthenticationToken implements Authentication,
		CredentialsContainer
	private final Collection<GrantedAuthority> authorities;
	private Object details;
	private boolean authenticated = false;

class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken
	private final Object principal;
	private Object credentials;
AuthenticationManager
interface AuthenticationManager
	Authentication authenticate(Authentication authentication)

class ProviderManager implements AuthenticationManager, MessageSourceAware,
		InitializingBean
	private List<AuthenticationProvider> providers = Collections.emptyList();
	private AuthenticationManager parent;
	// 其他
	
	// 遍历providers执行authenticate
	Authentication authenticate(Authentication authentication) {}
AuthenticationProvider
abstract class AbstractUserDetailsAuthenticationProvider implements
		AuthenticationProvider, InitializingBean, MessageSourceAware
	Authentication authenticate(Authentication authentication) {
    	// 1. 获取username
    	// 2. 查缓存
    	// 3. retrieveUser: 模板方法,子类DaoAuthenticationProvider执行UserDetailsService loadUserByUsername获取UserDetails
    	// 4. pre check:isAccountNonLocked、isEnabled、isAccountNonExpired
    	// 5. 密码检查: additionalAuthenticationChecks
    	// 6. post check: isCredentialsNonExpired
    	// 7. createSuccessAuthentication: 用户名、密码、权限等填充,返回
    }
		
		
class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider
	UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) {
		UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
		// null,抛异常,否则返回
	}
UserDetails和UserDetailsService

关键是获取权限列表

interface UserDetails extends Serializable
	Collection<? extends GrantedAuthority> getAuthorities();
	String getUsername();
	String getPassword();
	boolean isAccountNonExpired();
	boolean isAccountNonLocked();
	boolean isCredentialsNonExpired();
	boolean isEnabled();

interface UserDetailsService
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
SecurityContext和SecurityContextHolder

持有Authentication

class SecurityContextHolder
    // 默认实现: ThreadLocalSecurityContextHolderStrategy
    private static SecurityContextHolderStrategy strategy;
    
class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy
    private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();
    
class SecurityContextImpl implements SecurityContext
    private Authentication authentication;

2.2 过滤器链

过滤器链
14:48:21.041 [main] INFO
o.s.s.w.DefaultSecurityFilterChain - [,43] -
Creating filter chain: any request, [
org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@9679750,
org.springframework.security.web.context.SecurityContextPersistenceFilter@77865933,
org.springframework.security.web.header.HeaderWriterFilter@18578491,
org.springframework.security.web.csrf.CsrfFilter@2373ad99,
org.springframework.security.web.authentication.logout.LogoutFilter@f88bfbe,
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@5ed4bc,
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@4364712f,
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@9b9a327,
org.springframework.security.web.authentication.www.BasicAuthenticationFilter@7f1ef916,
org.springframework.security.web.savedrequest.RequestCacheAwareFilter@4d18b73a,
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@53c6f96d,
org.springframework.security.web.authentication.AnonymousAuthenticationFilter@75a0c890,
org.springframework.security.web.session.SessionManagementFilter@671c4166,
org.springframework.security.web.access.ExceptionTranslationFilter@67064bdc,
org.springframework.security.web.access.intercept.FilterSecurityInterceptor@d613308
]

过滤器:UsernamePasswordAuthenticationFilter
抽象父类:AbstractAuthenticationProcessingFilter

匹配到的url,执行认证

private RequestMatcher requiresAuthenticationRequestMatcher;

例如:

public UsernamePasswordAuthenticationFilter() {
    super(new AntPathRequestMatcher("/login", "POST"));
}

this.requiresAuthenticationRequestMatcher = requiresAuthenticationRequestMatcher;

认证

private AuthenticationManager authenticationManager;

成功和失败的处理handler,可实现接口自定义处理流程

private AuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();
private AuthenticationFailureHandler failureHandler = new SimpleUrlAuthenticationFailureHandler();
子类:UsernamePasswordAuthenticationFilter

默认处理post /login

extends UsernamePasswordAuthenticationFilter,自定义认证url和登录处理(比如额外的验证码等信息需要处理)

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)

// 1. 请求URL是否为POST: request.getMethod().equals("POST")

// 2. 获取用户名和密码: request.getParameter

// 3. 获取需要认证的实体: UsernamePasswordAuthenticationToken
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

// 4. 填充detail:比如remoteAddress和sessionId
setDetails(request, authRequest);

// 5. AuthenticationManager执行authenticate,并返回Authentication:填充权限、(DB)用户信息等
return this.getAuthenticationManager().authenticate(authRequest);
过滤器:FilterSecurityInterceptor

doFilter --> invoke

​ --> super.beforeInvocation(fi);

​ --> super.afterInvocation(token, null);

public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
    FilterInvocation fi = new FilterInvocation(request, response, chain);
    invoke(fi);
}

public void invoke(FilterInvocation fi) throws IOException, ServletException {
    if ((fi.getRequest() != null)
        && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
        && observeOncePerRequest) {
		fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
    } else {
        // first time this request being called, so perform security checking
        if (fi.getRequest() != null && observeOncePerRequest) {
            fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
        }

        InterceptorStatusToken token = super.beforeInvocation(fi);

        try {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.finallyInvocation(token);
        }

        super.afterInvocation(token, null);
    }
}

3. 流程

关键:

将request请求封装到UsernamePasswordAuthenticationToken

调用authenticationManager.authenticate(authencationToken),得到Authentication authentication

保存到Spring Security:SecurityContextHolder.getContext().setAuthentication(authentication);

缓存存储并返回

输入:用户密码

处理filter: UsernamePasswordAuthenticationFilter

  1. 从request获取输入,组装成UsernamePasswordAuthenticationToken

    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
      username, password);

  2. 认证,并返回填充信息的Authentication authResult对象

    return this.getAuthenticationManager().authenticate(authRequest);

    1. class ProviderManager implements AuthenticationManager

      List<AuthenticationProvider> providers

result = provider.authenticate(authentication);

    2. abstract class AbstractUserDetailsAuthenticationProvider implements AuthenticationProvider

      class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider

      UserDetails user = this.userCache.getUserFromCache(username);
if (user == null) {
    cacheWasUsed = false;
	user = retrieveUser(username, authentication);
}

preAuthenticationChecks.check(user);
additionalAuthenticationChecks(user, authentication);
postAuthenticationChecks.check(user);

if (!cacheWasUsed) {
    this.userCache.putUserInCache(user);
}	

return createSuccessAuthentication(principalToReturn, authentication, user);

      protected final UserDetails retrieveUser(String username,
       		UsernamePasswordAuthenticationToken authentication) {
    UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
    if (loadedUser == null) {
        throw new InternalAuthenticationServiceException("..");
    }
    return loadedUser;
}

    3. 成功or失败:

      try {
    authResult = attemptAuthentication(request, response);
    if (authResult == null) {
        return;
    }
} catch (InternalAuthenticationServiceException failed) {
    logger.error("..");
    unsuccessfulAuthentication(request, response, failed);
    return;
} catch (AuthenticationException failed) {
    unsuccessfulAuthentication(request, response, failed);
    return;
}

// Authentication success
if (continueChainBeforeSuccessfulAuthentication) {
    chain.doFilter(request, response);
}

successfulAuthentication(request, response, chain, authResult);

      success: successHandler.onAuthenticationSuccess(request, response, authResult);

      failure: failureHandler.onAuthenticationFailure(request, response, failed);

4. 入口

入口:@EnableWebSecurity
@Import({ WebSecurityConfiguration.class,
SpringWebMvcImportSelector.class,
OAuth2ImportSelector.class })
@EnableGlobalAuthentication
@Import(AuthenticationConfiguration.class)

WebSecurityConfiguration
AuthenticationConfiguration
    生成bean AuthenticationManager authenticationManager

入口:继承WebSecurityConfigurerAdapter

JWT

在3的基础之上:

jwt过滤器:在UsernamePasswordAuthenticationFilter之前过滤

读取token,拿到登录信息,查询缓存,得到认证用户信息,填充到SecurityContextHolder

token刷新

参考

(推荐)SpringSecurity+JWT认证流程解析https://juejin.im/post/6846687598442708999

芋道源码http://www.iocoder.cn/Spring-Security/good-collection/?vip

xl拾一
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security源码分析.pdf
07-11
spring security源码分析.pdf
SpringSecurity源码
05-29
在学习SpringSecurity源码时,建议从以下几个方面入手: 1. **源码结构分析**:了解主要组件的类结构和它们之间的关系,如`Authentication`、`Authorization`、`FilterChainProxy`等。 2. **关键类的实现**:深入...
阅读Spring Security源码
qingwei201314的专栏
12-08 208
阅读Spring Security源码
Spring Security源码阅读
Mr1ght的博客
02-28 863
1. SecurityContextHolder 上下文持有器 内部封装一个SecurityContextHolderStrategy(一种针对线程存储安全上下文信息的策略),通过配置文件初始化对应的策略,以达到获取和设置上下文的目的(SecurityContext) 1.1 SecurityContextHolderStrategy 针对线程存储安全上下文信息的策略 ThreadLocalSecurityContextHolderStrategy:利用ThreadLocal来存储一个SecurityC
SpringSecurity 源码解读(一)
feijingguan的博客
08-10 627
由于读官方文档有些技术实在是不能用,所以我开始阅读源代码来进行学习,先从各种项目都会使用到认证拦截器开始 注意,由于笔者还没有对整个SpringSecurity完全掌握,所以只能对常用的流程所用到的代码进行解读,不过肯定是绝大部分的代码 前言:由于这个类太大了,所以这里先叙述常用的部分,内部类等其他不常用的后面会补上,建议读者读前要先对SpringSecurity的运行流程有认识.
SpringSecurity源码学习(一)
ifeengwd2012的博客
03-07 724
本文讨论基于java配置的SpringSecurity源码学习。
spring security 源码
05-28
本篇文章将深入探讨Spring Security的核心概念和源码分析。 1. **核心组件** - `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示...
SpringSecurity实战源码
最新发布
07-06
SpringSecurity实战源码
Spring security oauth源码
10-28
在这个源码中,我们可能会看到如何将Spring Security与OAuth结合,以构建安全的Web应用程序和服务。Sparklr2和Tonr2是官方提供的示例应用,它们分别扮演了OAuth的资源服务器和客户端角色,帮助开发者理解OAuth的实际...
SpringSecurity OAuth2.0源码
07-02
SpringSecurity OAuth2.0 源码
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring Security实战(四)的源码; ssecurity-pageClass项目是Spring Security实战(五)的源码; ssecurity-customFilter项目是Spring Security实战(六)的源码; ssecurity-rememberMe项目是Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行的。
Spring Security 源码解读 :基本架构及初始化
weixin_41866717的博客
02-02 1487
Spring Security 源码解读
【JavaWeb】Spring Security认证源码阅读执行流程
qq_43654226的博客
03-16 273
写在最前,本人也只是个大三的学生,如果你发现任何我写的不对的,请在评论中指出。   之前写过一份shiro认证、授权的源码解析,但是是建立在以我自己编写的一些过滤器、匹配器上,不是很友好,这次对springsecurity的认证与授权源码分析就靠springsecurity自家提供的UsernamePasswordAuthenticationFilter、UsernamePasswordAuthenticationToken、ProviderManager、DaoAuthenticationProvid.
Spring Security源码解读方法和技巧
实践求真知
12-02 778
一文章参考 http://www.spring4all.com/article/443 http://www.spring4all.com/article/445 http://www.spring4all.com/article/446 http://www.spring4all.com/article/447 http://www.spring4all.com/article/44...
SpringSecurity源码解读
weixin_30412577的博客
01-10 447
1.前言 官方解释如下 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security ...
源码Spring Security 官方文档阅读并查源码解读认证流程
chenghan_yang的博客
01-22 1389
官网及用词说明 官网: Spring Security Reference Version 5.2.15.RELEASE 用词: 开发者 - 项目中的程序员 系统用户 - 项目中数据库表中较为复杂的用户 框架用户 - Spring Security 框架中中定义的用户 1. 获取认证过的用户主体 1.1 借 SecurityContextHolder 从线程中获得与程序交互的主体信息 Authentication 该类内部组合了一个SecurityContextHolderStrategy 也是就存储上
Spring Security源码分析
qq_44414610的博客
03-20 502
Spring Security 是一个和Spring无缝衔接的重量级安全权限框架,相信各位小码农们对于Security 是比较熟悉的,重量级,上手快,和Spring无缝衔接,自从SpringBoot框架横空出世后,Security的使用变得更加容易了。本文旨在从实际应用角度出发,阅读 Spring Security 源码,分析其实现原理。
Spring Security 源码分析
snkkka163的博客
07-26 401
Spring Security 源码分析 1.Spring Security基本执行流程分析: 现在假设我们要发送一个新的请求给我们的项目,默认我们的项目已经配置了Spring Security 这个请求会先进入 1.UsernamePasswordAuthenticationFilter: 验证我们的请求中是否有这个过滤器所需要的信息,比如说账号密码 如果说带了账号密码,那将会尝试使用这些参数进行登录,如果没有带这个过滤器所需要的参数,那就往下走,进入BasicAuthenticationFilter
Spring Security源码阅读2-Spring Security过滤器链初始化1
每天学习一点点,每天记录一点点
02-18 486
源码角度详细分析了Spring Security过滤器链初始化的过程。
springsecurity 源码
09-13
Spring Security 是一个用于身份验证和授权的框架,它的源码中包含了很多关于过滤器链和认证流程的实现。 在 Spring Boot 启动时,会加载 spring.factories 文件,该文件中包含了对 Spring Security 过滤器链的配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值