Spring Security(03)登录认证源码分析

最新推荐文章于 2024-05-07 14:36:03 发布
最新推荐文章于 2024-05-07 14:36:03 发布
阅读量330 收藏 2
点赞数 1
分类专栏: spring 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34279995/article/details/123242265
版权
本文深入剖析Spring Security的登录认证过程,从UsernamePasswordAuthenticationFilter的doFilter逻辑开始,讲解AuthenticationManager如何通过ProviderManager和DaoAuthenticationProvider进行用户验证。密码匹配使用passwordEncoder,成功后信息存入SecurityContextHolder。此外,还探讨了SecurityContextPersistenceFilter在请求前后的角色,确保认证信息在上下文中的正确管理。
摘要由CSDN通过智能技术生成

Spring Security在内部维护一个过滤器链,其中每个过滤器都有特定的责任;

比如:

  • ChannelProcessingFilter,因为它可能需要重定向到不同的协议

  • SecurityContextPersistenceFilter,因此可以在web请求开头的SecurityContextHolder中设置SecurityContext,并且SecurityContext的任何更改都可以复制到HttpSession当web请求结束时(准备好与下一个web请求一起使用)

    等等…

登录流程解析

UsernamePasswordAuthenticationFilter

登录认证流程解析认证的是通过一个对应的过滤器UsernamePasswordAuthenticationFilter

此类是一个过滤器继承 AbstractAuthenticationProcessingFilter

既然是过滤器首先看 doFilter 逻辑

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);
			return;
		}
		try {
		    //核心代码获取  Authentication
			Authentication authenticationResult = attemptAuthentication(request, response);
			if (authenticationResult == null) {
				// return immediately as subclass has indicated that it hasn't completed
				return;
			}
			this.sessionStrategy.onAuthentication(authenticationResult, request, response);
			// Authentication success
			if (this.continueChainBeforeSuccessfulAuthentication) {
				chain.doFilter(request, response);
			}
			//验证成功后处理
			successfulAuthentication(request, response, chain, authenticationResult);
		}
		catch (InternalAuthenticationServiceException failed) {
			this.logger.error("An internal error occurred while trying to authenticate the user.", failed);
			unsuccessfulAuthentication(request, response, failed);
		}
		catch (AuthenticationException ex) {
			// Authentication failed
			//认证失败后处理
			unsuccessfulAuthentication(request, response, ex);
		}
	}

attemptAuthentication 是一个抽象方法,由 UsernamePasswordAuthenticationFilter实现

	@Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
			throws AuthenticationException {
		if (this.postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
		}
		//获取用户名 其实就是request.getParam 获取
		String username = obtainUsername(request);
		username = (username != null) ? username : "";
		username = username.trim();
		//获取密码 其实就是request.getParam 获取
		String password = obtainPassword(request);
		password = (password != null) ? password : "";
		//用户名和密码组装成  UsernamePasswordAuthenticationToken 
		Username
最低0.47元/天 解锁文章
愤怒菜鸟
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security认证过程源码分析
sililiu的博客
12-10 361
Spring Security 认证 Spring Security 是一个基于过滤器链来提供认证和授权功能的框架,本文主要分析其中的认证过程 过滤器链 过滤器链如下图所示,过滤器链中主要是第二部分用于进行认证。本文分析 UsernamePasswordAuthenticationFilter,它用于处理表单提交的登录请求。SecurityContextPersistenceFilter 主要用于从请求读取或向响应装入认证信息 securityContext 认证处理流程 认证用户名和密码 Userna
spring security 项目配置源码
01-13
- 通过源码分析,了解Spring Security的拦截器如何工作,以及如何自定义安全规则。 - 查看`SecurityConfig`类,这是Spring Security的核心配置,它扩展了`WebSecurityConfigurerAdapter`并覆盖了一些关键方法。 -...
SpringSecurity-4-认证流程源码解析
zhoubangbang1的博客
03-23 358
SpringSecurity-4-认证流程源码解析登录认证基本原理 Spring Security登录验证核心过滤链如图所示请求阶段SpringSecurity过滤器链始终贯穿一个上下文SecurityContext和一个Authentication对象(登录认证主体)。只有请求主体通过某一个过滤器认证Authentication对象就会被填充,如果验证通过isAuthenticated=true如果请求通过了所有的过滤器,但是没有被认证,那么在最后有一个FilterSecurityIntercepto
Spring Security账号密码认证源码解析
最新发布
H1767410的博客
05-07 824
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
SpringSecurity系列学习(三):认证流程和源码解析
在数字化道路无限探索
01-18 566
版权声明:本文由神州数码云基地团队整理撰写,若转载请注明出处。认证流程和源码解析有小伙伴看到这里就会说了:说好的编码呢?说好的编码呢?为什么还要看原理啊?憋嗦话,上号!现在开始编码,你必不能启动项目!咳咳先打基础打基础,我们学习SpringSecurity不是为了写一个Hello world就阔以了,最后是为了把SpringSecurity用在项目中,现在理解的原理越多,后面出现bug才好定位修复!SpringSecurity核心组件在分析认证流程之前,我们先来看一下一些SpringSecurity的一些概
Springsecurity登录源码追踪。
weixin_42030357的博客
08-26 422
1.密码登录请求给UsernamePasswordAuthenticationFilter,此过滤器将用户名和密码拿出来组装成UsernamePsswordAuthenticationToken(未认证)对象。 通过上面的方法调用下面自己写的UserLoginService,来获取用户信息。 然后通过下面的方法去判定用户是否锁定,是否可用,是否过期。 通过下面的方法判断rawPassw...
Spring Security源码(八):登录认证源码流程
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
05-05 2495
前两篇提到如何使用Spring Security去实现登录授权和接口认证,但是程序是怎么做到这些类之间的流程控制的呢,一起来了解下吧
SpringSecurity企业及认证全套开发资源.docx
02-25
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。
Spring Security 3 源码分析文档
11-02
通过阅读《Spring Security3.pdf》和《spring security3 源码分析.pdf》这两份文档,你可以对Spring Security 3的内部工作机制有更深入的理解,从而更好地在项目中运用这个强大的安全框架。同时,这也会帮助你在面临...
springsecurity源码(鉴权有缺陷)
05-20
Spring Security 是一个强大的安全框架,用于为 Java 应用程序提供认证和授权功能。然而,正如标题所提及的,Spring Security源码可能存在鉴权缺陷。这个话题涉及到多个知识点,包括Spring Security的基本架构、...
Spring security oauth源码
10-28
通过分析这些源码,我们可以深入理解OAuth的工作原理,以及Spring Security OAuth如何支持这些功能。同时,Sparklr2和Tonr2示例能帮助我们直观地看到OAuth流程的每个步骤,包括授权、令牌交换和资源访问。 在实际...
Spring Security登录认证源码分析
Charge8的博客
01-04 1428
Spring Security登录认证源码分析
SpringSecurity认证流程详解(附源码
weixin_50205273的博客
11-22 574
盐值加密 1. 原理概述 SpringSecurity使用地是随机盐值加密 随机盐是在对密码摘要之前随机生成一个盐,并且会把这个盐的明文和摘要拼接一起保存 举个例子:密码是pwd,随机盐是abc,pwd+abc摘要后的信息是xyz,最后保存的密码就是abcxyz 随机盐 同一个密码,每次摘要后的结果都不同,但是可以根据摘要里保存的盐来校验摘要和明文密码是否匹配 在hashpw函数中, 我们可以看到以下这句 real_salt = salt.substring(off + 3, off + 25
Spring Security入门及拦截器源码分析
随笔
07-20 849
Spring Security入门 一、Spring Security简介 spring security 的核心功能主要包括: 认证 授权 攻击防护 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 比如,对于usename password认证过滤器来说, 会检查是否是一个登录请求 是否包含username和password(过滤器需要的一些认
SpringSecurity 源码解析 | 加JWT 实战 之 登录认证源码解析
qq_31142237的博客
09-13 453
登录认证 对于登录认证是什么东西,这个就不用详解说了吧,在企业研发中,用户登录系统不单单简单的传递一个密码过来对比下,ok了就进入系统。一般来说为了在企业研发中,都会对此流程进行加强操作,比如密码的加密处理,用户是否过期,用户是否被停用了等等。但总结来说,目的都是一样,认证用户的信息。 SpringSecurity框架就是帮我们实现了这样的流程功能的框架(这里只说登录认证)。 稍微接触点SpringSecurity都知道,只要加入了SpringSecurity的依赖,访问api都会先进入...
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
热门推荐
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
SpringSecurity重写DaoAuthenticationProvider,自定义密码对比类
化名三爷
03-27 2486
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题。
Spring Security学习(五)——账号密码的存取(UserDetailService、PasswordEncoder、DaoAuthenticationProvider
sadoshi的专栏
02-15 445
本文是常见Java Web应用中使用Spring Security的核心。一个Web应用管理系统在用户登陆上最核心的问题就是解决两个问题:1、用户提交的账号密码如何与数据库中保存的账号密码匹配上;2、如何保持会话。本文就是解决第一个问题的。
springsecurity源码分析
03-16
Spring Security源码分析可以帮助我们深入了解其实现原理,从而更好地使用和定制 Spring Security。在源码分析过程中,我们可以学习到 Spring Security 的核心组件、流程和设计思想,以及如何扩展和定制 Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值