spring security认证流程

最新推荐文章于 2024-07-22 22:27:46 发布
最新推荐文章于 2024-07-22 22:27:46 发布
阅读量647 收藏
点赞数 1
分类专栏: 面试 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37667759/article/details/127106306
版权

spring security认证流程
大概流程如下:
在这里插入图片描述
面试话术:
1.客户端提交用户登陆表单,通过UsernamePasswordAuthenticationFilter后,会被封装成一个authentication对象。
2.同时会调用AuthenticationManager的实现类ProviderManager中的authenticate方法。该方法会去DaoAuthenticationProvider中调用loadUserByUsername。它会去数据库查询我们的用户信息,包括权限等,然后返回一个userDetails对象。
3.然后会通过passwordEncoder对比authentication对象和userDetails对象中的密码正不正确。正确则将userDetails对象中的信息设置到authentication对象中。返回给UsernamePasswordAuthenticationFilter,最后将信息设置到写入到SecurityContextHolderSecurityContext的属性authentication上面。其他过滤器依靠其信息作过滤判断。

以下内容可忽略
以下内容可忽略

jwt+springsecurity具体实现:
①引入依赖。登陆实体类实现userdetail。重写getAuthorities();
②写登陆接口,传入用户名和密码,验证码以及request等
③request.getSession().getAttribute(“captcha”);获得验证码并比较
④用userDetailsService.loadUserByUsername(username);判断提交的与数据库的是否一致
⑤用passwordEncoder.matches(password, userDetails.getPassword()比较密码
⑥判断是否处于禁用状态,然后用new UsernamePasswordAuthenticationToken
(userDetails , null, userDetails.getAuthorities());获得authenticationToken。
⑦用authenticationToken更新登陆对象,用userDetails生成token
⑧用map存入token和tokenHead并返回

对于security:
①配置类需要继承websecurityconfigadapter,重写三个configure,一个用来放行,哪些请求路径不需过滤
一个用来解析比较密码是否一致,指定了BCryptPasswordEncoder作为加密后比较
另一个用来指定使用jwt作为请求过滤,可以添加addFilterBefore来自定义jwt登陆授权过滤器,以及一些未授权和未登录的返回结果。
同时还能用withObjectPostProcessor来实现动态权限配置:
object.setAccessDecisionManager(customUrlDecisionManager);
object.setSecurityMetadataSource(customFilter);
②重写了UserDetailsService,来设置角色。

判断用户角色:implements AccessDecisionManager
判断url需要什么角色:implements FilterInvocationSecurityMetadataSource
判断是否登陆或者token失效,即认证失败时:implements AuthenticationEntryPoint
判断没有权限时:implements AccessDeniedHandler
自定义jwt过滤器:extends OncePerRequestFilter::::JwtAuthencationTokenFilter extends OncePerRequestFilter

登陆认证流程:
客户端发起一个请求,进入 Security 过滤器链。

1.当到 LogoutFilter 的时候判断是否是登出路径,
如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理。
如果不是登出路径则直接进入下一个过滤器。

2.当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,
如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHandler ,
登录失败处理器处理,如果登录成功则到 AuthenticationSuccessHandler 登录成功处理器处理,如果不是登录请求则不进入该过滤器。

3.进入认证BasicAuthenticationFilter进行用户认证,
成功的话会把认证了的结果写入到SecurityContextHolder中SecurityContext的属性authentication上面。
如果认证失败就会交给AuthenticationEntryPoint认证失败处理类,或者抛出异常被后续ExceptionTranslationFilter过滤器处理异常,
如果是AuthenticationException就交给AuthenticationEntryPoint处理,如果是AccessDeniedException异常则交给AccessDeniedHandler处理。

4.当到 FilterSecurityInterceptor 的时候会拿到 uri ,根据 uri 去找对应的鉴权管理器,
鉴权管理器做鉴权工作,鉴权成功则到 Controller 层,否则到 AccessDeniedHandler 鉴权失败处理器处理。

qq_37667759
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity 完整认证流程
woruosuifenglang的博客
07-06 1049
springSecurity 完整认证流程
spring security认证过程详解
CVPR收割机的博客
04-18 3813
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
Spring Security 认证流程分析及多方式登录认证实践
最新发布
07-22 983
在项目开发过程中,会涉及到安全框架的配置。其中常用的就是shiro和, 在本文中将介绍的工作流程和实践应用,并基于此总结其使用心得和项目配置关键。本文主要介绍了登录相关的核心配置,以及验证码方式登录的实践,作为系统开发中常用的权限认证框架,在此基础上拓展了项目的多种登录方式,即手机验证码和邮箱验证码的方式,同时也介绍了前后端分离与不分离情况下的差异。本文总结了常用的使用方式,可以很好的为后续开发提供借鉴。所涉及的代码已经上传至gitee项目gitee地址。
SpringSecurity认证流程
msq16021的博客
08-03 5742
SpringSecurity认证流程
Spring Security 认证流程
m0_59448100的博客
10-04 727
Spring Security 认证流程
spring security认证过程详解
欢迎来到【战羽】的博客
11-15 1112
spring security 主要有两大功能,即认证和授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring Security认证流程
l688899886的博客
08-05 509
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:转存失败重新上传取消图 3-3图中显示的流程是一个通用的架构。AbstractAuthenticationProcessingFilter作为一个抽象类,如果使用用户名/密码的方式登录, 那么它对应的实现类是。...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring SecurityJava世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
SpringSecurity认证流程分析
张氏小毛驴的博客
08-11 1643
SpringSecurity认证,其实就是我们的登录验证。​ Web系统中登录验证的核心就是凭证,比较多使用的是Session和JWT,其原理都是在用户成功登录后返回给用户一个凭证,后续用户访问时需要携带凭证来辨别自己的身份。后端会根据这个凭证进行安全判断,如果凭证没问题则代表已登录,否则则直接拒绝请求。​ 以下内容会先分析源码理清楚认证流程。...
Springsecurity认证流程及鉴权流程流程绝对清晰)
qq_60264381的博客
06-14 2146
我们知道在SpringSecurity中,usernamePassword会拦截登录请求,同时调用ProviderManager。ProviderManager内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制也就是说,ProviderManager会决定调用具体AuthenticationProvider实现类来进行认证
SpringSecurity认证流程小白详解
qq_28987919的博客
10-12 576
最近在看三更的SpingSecurity的视频,详细理了一下代码流程,就写个blog记录一下好了。
Spring Security用户认证流程源码详解
热门推荐
不清不慎的博客
04-21 1万+
上篇文章讲解了Spring Security的基本原理以及如何自定义用户认证逻辑,这篇文章将在上篇的基础上解读Spring Security的源码更清楚的了解它的认证逻辑流程。 本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一、用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求来的时...
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
springsecurity认证流程
07-27
Spring Security认证流程可以简要描述如下: 1. 当一个请求进入系统时,会经过一个过滤器链,其中包括一个实现了AbstractAuthenticationProcessingFilter的过滤器。 2. 这个过滤器会首先判断请求的URI是否需要认证,如果需要认证,则执行attemptAuthentication方法进行认证。 3. attemptAuthentication方法会调用AuthenticationManager进行认证,AuthenticationManager是一个接口,具体的实现类是ProviderManager。 4. ProviderManager内部包含了一个List<AuthenticationProvider>对象,通过AuthenticationProvider接口的实现类来扩展不同的认证提供者。 5. 在认证过程中,AuthenticationManager会依次调用每个AuthenticationProvider的authenticate方法进行认证。 6. 如果认证成功,会将认证后的Authentication对象存放到SecurityContext中。 7. 如果认证失败,会通过认证失败处理器AuthenticationFailureHandler进行处理。 8. 认证成功后,会执行successfulAuthentication方法,将已认证的Authentication存放到SecurityContext中。 9. 这样,下一个请求进来时,系统就能知道该请求是否已经通过认证。 总结起来,Spring Security认证流程包括了过滤器链、认证管理器、认证提供者和认证失败处理器等组件,通过这些组件的协作,实现了对请求的认证和授权。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* [SpringSecurity认证流程分析](https://blog.csdn.net/chisuisi5702/article/details/126281839)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Spring Security认证过程](https://blog.csdn.net/weixin_38927257/article/details/102960752)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值