Springsecurity 自定义AuthenticationManager

已于 2024-08-24 14:41:52 修改
阅读量841 收藏 25
点赞数 21
分类专栏: spirng security 文章标签: 服务器 运维
于 2024-08-24 14:41:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36260963/article/details/141499190
版权

一、认证流程

1、当用户提交了一个他的凭证(用户名、密码) AbstractAuthenticationProcessingFilter 将会创建一个凭证信息,最终,该请求会被UsernamePasswordAuthenticationFilter 拦截将请求中用户名和密码,封装为 Authentication 对象,并交给在UsernamePasswordAuthenticationFilter 的attemptAuthentication 方法中
AuthenticationManager 进行认证
2、认证成功,将认证信息存储到 SecurityContextHodler 以及调用记住我等,并回调AuthenticationSuccessHandler 处理
3、认证失败,清除SecuritvContextHodler 以及 记住我中信息,回调AuthenticationFailureHandler 处理

二、AuthenticationManager

   从上面分析中得知,AuthenticatiomManager 是认证的核心类,但实际上在底层真正认证时还离不开 ProviderManager 以及 AuthenticationProvider。
1.AuthenticationManager 是一个认证管理器,它定义了 Spring Security 过滤器要执行
认证操作。
2.  ProviderManager AuthenticationManager接口的实现类。Spring Security 认证时默认使用就是 ProviderManager。
3. AuthenticationProvider 就是针对不同的身份类型执行的具体的身份认证。

2.1 AuthenticationManager 与 ProviderManager 关系,其他接口都是抽象类,实际上实现类就是这一个

总结:ProviderManager是AuthenticationManager的唯一实现,也是Spring Security默认使用实现。从这里不难看出默认情况下   AuthenticationManager 就是一个ProviderManager。

2.2  AuthenticationManager/ProviderManager

    在Spring Seourity中,允许系统同时支持多种不同的认证方式,例如同时支持用户名/密码认证、ReremberMe 认证、手机号码动态认证等,而不同的认证方式对应了不同的AuthenticationProvider,所以一个完整的认证流程可能由多个AuthenticationProvider 来提供。

    多个AuthenticationProvider 将组成一个列表,这个列表将由 ProviderManager代理。换话说,在ProviderManager 中存在一个AuthenticationProvider列表,在Provider Manager中遍历列表中的每一个AuthenticationProvider 去执行身份认证,最终得到认证结果。

ProviderManager本身也可以再配置一个AuthenticationManager 作为 parent,这样当ProviderManager认证失败之后,就可以进入到 parent 中再次进行认证。理论上来说ProviderManager的 parent 可以是任意类型的 AuthenticationManager,但是通常都是ProviderManager 来扮演 parent 的角色,也就是 ProviderManager 是 ProviderManager的

parent.

 ProviderManager 本身也可以有多个,多个ProviderManager 共用同一个parent。有时个应用程序有受保护资源的逻辑组(例如,所有符合路径模式的网络资源,如/api/**),每通常,每个组都是一个ProviderManager

2.3 关系图

三、配置自定义AuthenticationManager

1.一旦通过 configure 方法自定义 AuthenticationManager实现 就回将工厂中自动配置AuthenticationManager 进行覆盖

2.一旦通过configure 方法自定义 AuthenticationManager实现 需要在实现中指定认证数据源对象UserDetailService

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {


    /**
     *  配置自定义数据源,覆盖系统默认的数据源
     */
    @Bean
    public UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager detailsManager = new InMemoryUserDetailsManager();
        detailsManager.createUser(User.withUsername("test").password("{noop}123456").authorities("admin","delete","select").build());
        return detailsManager;
    }


    /**
     *  自定义自己的 AuthenticationManager,使其默认的全局manager失效,也是官方推荐的方式
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService());
}
}

3.1 前端页面(密码输入错误)

3.2 前端页面(密码输入正确)

3.3  跳转路径配置

/**
     *  表单配置
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .mvcMatchers("/").permitAll()// 放行路径
                .anyRequest().authenticated()// 其他路径都需要认证
                .and()
                .formLogin()// form表单认证
                .loginPage("/")// 默认的登录页面
                .loginProcessingUrl("/doLogin")// 认证的请求地址
                .defaultSuccessUrl("/main.html",true)// 登录成功后默认跳转的页面 redirect
                .failureUrl("/")//登录失败跳转的url
                .usernameParameter("loginId")
                .passwordParameter("loginPwd")
                .and()
                .csrf().disable();// 关闭csrf跨站攻击
    }

四、默认全局AuthenticationManager

1.默认自动配置创建全局AuthenticationManager 默认找当前项目中是否存在自定义UserDetailService 实例 自动将当前项目 UserDetailService 实例设置为数据源

2. 默认自动配置创建全局AuthenticationManager 在工厂中使用时直接在代码中注入即

4.1 代码实现(只需要自定义UserDetailService 默认就是全局的了)

星空寻流年
关注
  • 21
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot+Spring Security 自定义AuthenticationManager初始化源码分析
weixin_45114101的博客
02-22 4946
SpringBoot+Spring Security 自定义AuthenticationManager初始化源码分析
springboot+Oauth2实现自定义AuthenticationManager和认证path
08-29
在默认情况下,Spring Security 提供了一个默认的 AuthenticationManager,但是对于一些复杂的身份验证场景,需要自定义 AuthenticationManager 来满足特定的需求。在本文中,我们将介绍如何使用 Spring Boot 和 ...
SpringSecurity系列 - 09 SpringSecurity 自定义认证数据源实现用户认证
你今天真好看呀
09-14 1380
// 自定义AuthenticationManager:并没有在工厂中暴露出来 @Override protected void configure(AuthenticationManagerBuilder builder) throws Exception {} }① 创建数据库表② 插入数据BEGIN;COMMIT;BEGIN;INSERT INTO ` role ` VALUES(1 , 'ROLE_product' , '商品管理员');
Spring Security配置AuthenticationManager
qq_44113347的博客
05-22 1807
Override总结一旦通过 configure 方法自定义 AuthenticationManager 实现 就回将工厂中自动配置 AuthenticationManager 进行覆盖一旦通过 configure 方法自定义 AuthenticationManager 实现 需要在实现中指定认证数据源对象 UserDetaiService 实例。
spring security 自定义认证
migo_的专栏
03-02 884
当用户提交凭据时接下来,身份验证被传递到 AuthenticationManager 以进行身份验证如果身份验证失败,则为“失败”如果身份验证成功,则为“成功”。如下我们只需要实现 UserDetailsService 接口,spring就会自动注入我们的认证方法(可以引入其他存储中间件做替换)@Service@Autowired@Override// 模拟jdbc获取用户信息// 设置登录角色。
Spring Security配置全局 AuthenticationManager
Leon_Jinhai_Sun的博客
05-06 6645
Topical Guide | Spring Security Architecture 默认的全局 AuthenticationManager @Configuration public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Autowired public void initialize(AuthenticationManagerBuilder builder) { //buil
SpringSecurity自定义认证
张氏小毛驴的博客
08-11 4885
​ 学习了SpringSecurity的使用,以及跟着源码分析了一遍认证流程,掌握了这个登录认证流程,才能更方便我们做自定义操作。​ 下面我们来学习下怎么实现多种登录方式,比如新增加一种邮箱验证码登录的形式,但SpringSecurity默认的Usernamepassword方式不影响。自定义一个邮箱验证码的认证,将邮箱号码作为key,验证码作为value存放到Redis中缓存。首先回顾下之前源码分析的认证流程,如下图:首先前端是填写邮箱,点击获取验证码输入获取到的验证码,点击登录按钮,发送登录接口(/em
Spring Security自定义身份验证
xujj的博客
04-21 442
想要在Spring Security自定义身份验证时,可以实现自定义自定义。@Overrideauth方式一方式二在AuthenticationProvider中,可以检查用户名和密码,并返回包含自定义对象的。在中,只获得用户名,当返回自定义UserDeatails时,框架会对密码进行检查。
SpringSecurity(五)【自定义认证数据源】
Vinjcent
10-26 868
认证流程分析官方文档发起认证请求,请求中携带用户名、密码,该请求会被拦截在的方法中将请求中的用户名和密码,封装为对象,并交给进行认证认证成功,将认证信息存储到以及调用记住我信息,并回调处理认证失败,清除以及记住我中的信息,回调处理认证时的调试AuthenticationManager、ProviderManagerAuthenticationProvider 三者关系。
新版本springsecurity自定义AuthenticationManager
07-28
新版本的Spring Security中,可以通过继承WebSecurityConfigurerAdapter类来自定义AuthenticationManager。在自定义的WebSecurityConfigurer类中,可以重写configure(AuthenticationManagerBuilder builder)方法来...
Spring Security通过AuthenticationManager的逻辑实现多种认证方式.docx
07-04
Spring Security框架中,`AuthenticationManager`扮演着至关重要的角色,它是整个认证流程的核心组件。在上述描述中,提到了`AbstractAuthenticationProcessingFilter`,这是一个基础的Servlet Filter,专门用于...
多进程和多线程基础概念LINUX
2301_79109608的博客
08-22 1124
直接访问物理地址,会导致地址空间没有隔离,很容易导致数据被修改通过虚拟地址空间可以实现每个进程空间都是独立的,操作系统会映射到不用的物理地址区间,在访问时互不干扰.进程状态分为三个基本状态,即运行态,就绪态,阻塞态。在五态模型中,进程分为新建态、终止态,运行态,就绪态,阻塞态。并发:有限的 cpu 核芯的情况下 ,利用快速交替(时间片轮转)执行来达到宏观上的同时执行。虚拟地址 : 虚拟地址并不代表真实的内存空间,而是一个用于寻址的编号。并行:在 cpu 多核的支持下,实现物理上的同时执行。
仿Muduo库实现高并发服务器——Acceptor模块
2201_75324712的博客
08-22 495
Acceptor模块是为了创建套接字,并且接收新到来的客户端套接字,将对应套接字的Channel对象添加到Poller对象中,进行事件监控。
黑神话悟空无法登录服务器怎么办
最新发布
IDC_USA的博客
08-23 589
黑神话悟空游戏在登录的时候会遇到无法登录服务器的问题,玩家可以采用一些有效的方法进行解决,其中最主要的措施就是优化网络环境和减少网络干扰。Rak小编为您整理黑神话悟空无法登录服务器如何解决的步骤及注意事项。
Windows Server查看W3SVC IIS服务器中对应的网站日志
滴水石穿
08-22 373
W3SVC1、W3SVC2、W3SVC3…基本上每个网站存放日志的文件夹名称都是以W3SVC开头,区别在于后面的ID/编号/序号,对应的是网站各自的ID。如果没有自定义站点的日志路径,日志默认的路径是C:\inetpub\logs\LogFiles\。W3SVC日志文件夹中序号的含义,格式就是W3SVC+网站ID。
仿Muduo库实现高并发服务器——Server.hpp框架的简单描述
2201_75324712的博客
08-21 1345
下面这张图 是channel模块,poller模块,TimerWheel模块,EventLoop模块,LoopThreadPool模块进行组合。便于大家对这个项目的理解,因为代码看起来挺复杂的。下面这个图,加入了Connection模块,Buffer模块,socket模块,Acceptor模块,Tcpserver模块。算是将server.hpp,进行了框架描述。
【网络编程】select实现服务器与客户端进行通信
2301_77133426的博客
08-21 356
select实现服务器与客户端进行通信
简化登录流程,助力应用建立用户体系
HarmonyOS SDK闭源开放能力技术团队
08-22 790
随着智能手机和移动应用的普及,用户需要在不同的应用中注册和登录账号,传统的账号注册和登录流程需要用户输入用户名和密码,这不仅繁琐而且容易造成用户流失。(Account Kit)提供简单、快速、安全的登录功能,让用户快捷地使用华为账号登录应用。用户授权后,华为账号可提供头像、昵称、手机号码等信息,帮助应用更了解用户。其中一键登录功能是基于和构建的OAuth2.0 授权登录系统,应用可以通过华为账号方便地获取华为账号用户的身份标识和手机号,快速建立应用内的用户体系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星空寻流年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值