Spring Security 认证源码分析

最新推荐文章于 2024-04-18 13:08:42 发布
最新推荐文章于 2024-04-18 13:08:42 发布
阅读量157 收藏 1
点赞数 1
分类专栏: Spring Security 源码解析及应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34125999/article/details/115696614
版权

1 简介

描述: Spring Security 认证是通过UsernamePasswordAuthenticationFilter过滤器实现的,分析该过滤器流程即可。
在这里插入图片描述

2 源码分析

2.1 主流程分析

描述: UsernamePasswordAuthenticationFilter认证主流程查看父类AbstractAuthenticationProcessingFilter doFilter方法。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
			
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		
		//【1】 判断当前请求是否是post,如果不是post那么直接放行
		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);

			return;
		}

		if (logger.isDebugEnabled()) {
			logger.debug("Request is to process authentication");
		}
		// 保存认证结果
		Authentication authResult;

		try {
		    //【2】 调用子类UsernamePasswordAuthenticationFilter进行身份认证
			authResult = attemptAuthentication(request, response);
			if (authResult == null) {
				// return immediately as subclass has indicated that it hasn't completed
				// authentication
				return;
			}
			//【3】 session策略处理
			sessionStrategy.onAuthentication(authResult, request, response);
		}
		catch (InternalAuthenticationServiceException failed) {
			logger.error(
					"An internal error occurred while trying to authenticate the user.",
					failed);
			//【4】 认证失败的处理
			unsuccessfulAuthentication(request, response, failed);

			return;
		}
		catch (AuthenticationException failed) {
			// Authentication failed
		   //【4】 认证失败的处理
			unsuccessfulAuthentication(request, response, failed);

			return;
		}
		
		//【5】  认证成功的处理
		// Authentication success
		if (continueChainBeforeSuccessfulAuthentication) {
			chain.doFilter(request, response);
		}
     
       //【6】 调用认证成功的处理器
		successfulAuthentication(request, response, chain, authResult);
	}

2.2 认证源码分析

描述: 查看UsernamePasswordAuthenticationFilter类attemptAuthentication方法。

2.2.1 类属性介绍

在这里插入图片描述

2.2.2 认证流程

public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
        // 【1】 如果不是post请求那么直接抛异常
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}
		
		// 【2】 获取表单提交的账号、密码
		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim();
		
		// 【3】 分装认证对象Authentication
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		// 【4】 认证对象设置相关属性
		setDetails(request, authRequest);
		
		// 【5】调用ProviderManager类进行认证
		return this.getAuthenticationManager().authenticate(authRequest);
	}

描述: Authentication接口的实现用于存储主体(用户)信息:

public interface Authentication extends Principal, Serializable {


	/**
	 * 权限
	 */
	Collection<? extends GrantedAuthority> getAuthorities();

	/**
	 * 密码
	 */
	Object getCredentials();

	/**
	 * 其它信息
	 */
	Object getDetails();

	/**
	 * 用户主体信息
	 */
	Object getPrincipal();

	/**
	 * 是否被认证
	 */
	boolean isAuthenticated();

	/**
	 * 设置认真信息,true认证,false未认证
	 */
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

2.2.3 ProviderManager 认证源码分析

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
        //【1】 获取认证对象类
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		boolean debug = logger.isDebugEnabled();
        //【2】 遍历认证迭代器
		for (AuthenticationProvider provider : getProviders()) {
            //不匹配continue
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				//【3】 具体认证,会调用用户自定义认证类UserDetailsService进行认证,返回UserDetails对象
				result = provider.authenticate(authentication);
				// 认证成功后保存相关信息
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException | InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			} catch (AuthenticationException e) {
				lastException = e;
			}
		}
		
		//【4】 如果认证结果为空,调用父认证器进行认证
		if (result == null && parent != null) {
			// Allow the parent to try.
			try {
				//认证结果
				result = parentResult = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = parentException = e;
			}
		}

		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			// If the parent AuthenticationManager was attempted and successful than it will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
			if (parentResult == null) {
				eventPublisher.publishAuthenticationSuccess(result);
			}
			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		// If the parent AuthenticationManager was attempted and failed than it will publish an AbstractAuthenticationFailureEvent
		// This check prevents a duplicate AbstractAuthenticationFailureEvent if the parent AuthenticationManager already published it
		if (parentException == null) {
			prepareException(lastException, authentication);
		}

		throw lastException;
	}

3 认证成功

在这里插入图片描述

	protected void successfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, Authentication authResult)
			throws IOException, ServletException {

		if (logger.isDebugEnabled()) {
			logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
					+ authResult);
		}
		//【1】 认证对象存入Spring Security Cotext 上下文中
		SecurityContextHolder.getContext().setAuthentication(authResult);
		
		//【2】remember(记住我)处理
		rememberMeServices.loginSuccess(request, response, authResult);

		 //【3】 发布事件
		// Fire event
		if (this.eventPublisher != null) {
			eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
					authResult, this.getClass()));
		}
		
		successHandler.onAuthenticationSuccess(request, response, authResult);
	}

4 Debug

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

响彻天堂丶
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity企业及认证全套开发资源.docx
02-25
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。
Spring Security基本框架之认证和授权
大后生大大大的博客
11-11 843
AuthenticationAuthenticationManager、AuthenticationProvider、ProviderManager、AccessDecisionMamager、AccessDecisionVoter
SpringSecurity认证流程详解和代码实现
热门推荐
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
spring security认证过程详解
最新发布
CVPR收割机的博客
04-18 998
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
SpringSecurity认证流程
msq16021的博客
08-03 5646
SpringSecurity认证流程
SpringSecurity认证流程分析
张氏小毛驴的博客
08-11 1592
SpringSecurity认证,其实就是我们的登录验证。​ Web系统中登录验证的核心就是凭证,比较多使用的是Session和JWT,其原理都是在用户成功登录后返回给用户一个凭证,后续用户访问时需要携带凭证来辨别自己的身份。后端会根据这个凭证进行安全判断,如果凭证没问题则代表已登录,否则则直接拒绝请求。​ 以下内容会先分析源码理清楚认证的流程。...
谷粒学院SpringSecurity认证流程详解
小鲁蛋的博客
03-19 1145
CSRF攻击依靠的是Cookie中所携带的认证信息,但是在前后端分离的项目中我们的认证信息其实是token,而token并不是存储中Cookie中,并且需要前端代码去把token设置到请求头中才可以,所以CSRF攻击也就不用担心了。:提供核心用户信息。如果在对用户信息,密码验证的过程中抛出异常,此时会判断用户信息是否从缓存中得到,考虑到数据是不实时的,重新通过retrieveUser方法去取出用户信息,再次重复进行检查验证。我们系统中会有许多用户,确认当前是哪个用户正在使用我们系统就是登录认证的最终目的。
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
security.rar
09-06
SpringSecurity权限认证功能,包含一个PPT和一个流程图,PPT从四个方法介绍了SpringSecurity。有SpringSecurity的历史,配置、源码分析、项目搭建;包含了如何定义更自由的权限认证
Spring Security实现用户登录.docx
07-04
在集成 Spring Security 安全框架的时候我们最先处理的可能就是根据我们项目的实际需要来定制注册登录了,尤其是 Http 登录认证。根据以前的相关文章介绍, Http 登录认证由过滤器...
基于SpringCloud+Oauth2+MyBatis+ES+Docker+Kubernetes的商城系统项目源码数据.rar
10-26
认证和授权框架: Spring Security Oauth2 缓存:Redis+MongoDB 分库分表:Sharding 负载均衡:Nginx 消息中间件:RabbitMq 搜索引擎:ElasticSearch 数据库连接池: Druid 定时任务:xxl-job 对象存储: OSS、MINIO ...
Spring Security认证流程分
l688899886的博客
08-05 458
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:转存失败重新上传取消图 3-3图中显示的流程是一个通用的架构。AbstractAuthenticationProcessingFilter作为一个抽象类,如果使用用户名/密码的方式登录, 那么它对应的实现类是。...
spring security认证过程详解
欢迎来到【战羽】的博客
11-15 980
spring security 主要有两大功能,即认证和授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
SpringSecurity认证流程分析(各个组件之间的关联)
SunRains
11-22 3970
我一开始对于SpringSecurity也不是很熟悉,但是Security 作为一个Spring家族中的安全管理框架,而且每个项目都有授权、认证、鉴权等功能,所以很有必要对Spring Security了解清楚。在说明各个流程之前,找了一张关于它的架构,我只截取了其中关于认证这一部分的内容。 由上图可以清楚的看到在Security 认证的过程涉及到的对象,以及各个对象之间的关联。对于刚入门Java Web开发的时候,Filter作为JavaWeb的三大组件之一给我们留...
SpringSecurity认证流程(超级详细)
qq_34091529的博客
06-27 6175
最近开发项目的时候遇到了和SpringSecurity相关的一些问题,但是之前并没有去了解过SpringSecurity,导致改系统安全权限验证的时候就比较吃力了,目前项目开发大多都直接用脚手架直接开发,系统安全权限验证已经形成了,所以并不是自己写的,自己理解起来会更慢一些,所以这篇文章就是为了分析SpringSecurity认证流程而写的。
Spring Security 认证流程
m0_59448100的博客
10-04 679
Spring Security 认证流程
二、SpringSecurity 自定义手机验证登录方式
时间海绵
05-24 1123
本文在SpringSecurity框架上进行扩展实现自定义手机验证码功能,同时分析实现原理,方便扩展成其它登录方式
SpringSecurity认证详解,保姆级教学_springsecurity认证流程
2401_84103386的博客
04-04 1155
目的:默认的UserDetails里面只有用户的用户名, 没有其它的信息如果需要用到类似id和nickname等信息的话需要自定义UserDetails@[email protected]=id;SpringSecurity框架默认开启了跨域攻击的防护,通过携带CSRF token对请求进行判断.因为现在都是前后端分离架构,客户端发出的请求都是异步请求,不存在form表单,所以不存在跨域攻击的问题,通过以下代码关闭跨域攻击,否则请求受限。
springSecurity表单登录认证流程分析
qiuxinfa123的博客
04-15 704
在上一篇博客springSecurity自定义认证逻辑 中,通过实现UserDetailsService接口自定义了认证逻辑。现在简单分析一下,它的认证流程是怎样的,个人理解,有错误的地方恳请指出。假设启动系统后,发出一个请求:http://localhost:8080/user/me (1)RememberMeAuthenticationFilter尝试通过cookie自动登...
springsecurity源码分析
03-16
Spring Security 是一个基于 Spring 框架的安全框架,它提供了一系列的安全服务,包括身份认证、授权、攻击防护等。Spring Security源码分析可以帮助我们深入了解其实现原理,从而更好地使用和定制 Spring Security。在源码分析过程中,我们可以学习到 Spring Security 的核心组件、流程和设计思想,以及如何扩展和定制 Spring Security

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

响彻天堂丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值