SpringSecurity的登录授权流程分析

最新推荐文章于 2024-02-12 19:01:35 发布
最新推荐文章于 2024-02-12 19:01:35 发布
阅读量872 收藏 7
点赞数
分类专栏: Springboot SpringSecurity 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38719011/article/details/93894552
版权

最近用SpringSecurity结合Jwt、在此记录一下SpringSecurity的登录授权过程、(只是略懂了冰山一角、还有很多配置都未涉及、现在了解的只是最常见最常用的配置)、SpringSecurity的验证方式有很多、不过大部分使用的还是UserDetailsService的方式

1、UsernamePasswordAuthenticationFilter 位于SecuritySecurity Filter Chain链的第4位、该类主要作用身份验证处理机制-用户名密码身份验证筛选器-以便可以修改SecurityContextHolder以包含有效的身份验证请求令牌、该类继承AbstractAuthenticationProcessingFilter、在AbstractAuthenticationProcessingFilter的doFilter中代码如下在这里插入图片描述
3、UsernamePasswordAuthenticationFilter 会对其进行判断、抽取usernamepassword以及封装成身份验证令牌
在这里插入图片描述
4、ProviderManager调用authenticate方法、进行身份验证

5、ProviderManager获取所拥有的AuthenticationProvider进行验证、一般我们使用的是DaoAuthenticationProvider验证类、该类继承 AbstractUserDetailsAuthenticationProvider 类、在AbstractUserDetailsAuthenticationProviderauthenticate方法中封装了具体的验证过程、具体如下

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, () -> {
            return this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports", "Only UsernamePasswordAuthenticationToken is supported");
        });
        String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
        boolean cacheWasUsed = true;
        UserDetails user = this.userCache.getUserFromCache(username);//获取缓存的
        if (user == null) { //如过user为空则调用DaoAuthenticationProvider的retrieveUser方法获取用户信息
            cacheWasUsed = false;

            try {
                //获取用户信息、一般是调用自定义的 UserDetailsService
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication); 
            } catch (UsernameNotFoundException var6) {
                this.logger.debug("User '" + username + "' not found");
                if (this.hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                }

                throw var6;
            }

            Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
        }

        try {
            //UserDetails接口下有几个返回 boolean的方法是在这里效验的、例如:账户停用等
            this.preAuthenticationChecks.check(user);
            //这个是验证密码是否正确的、和`retrieveUser`方法一样都是调用DaoAuthenticationProvider去处理
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        } catch (AuthenticationException var7) {
            if (!cacheWasUsed) {
                throw var7;
            }

            cacheWasUsed = false;
            user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            this.preAuthenticationChecks.check(user);
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        }

        this.postAuthenticationChecks.check(user);
        if (!cacheWasUsed) {
            this.userCache.putUserInCache(user);
        }

        Object principalToReturn = user;
        if (this.forcePrincipalAsString) {
            principalToReturn = user.getUsername();
        }

        return this.createSuccessAuthentication(principalToReturn, authentication, user);
    }

6、处理流程图如下
在这里插入图片描述

等有时间在写 登录成功处理登录失败处理流程、以及匿名访问受保护资源异常认证过的用户访问无权限资源的异常的自定义处理方式、另附上官方文档SpringSecurity文档

进击的肥鸡
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity授权
Littewood的博客
07-24 3294
SpringSecurity授权介绍
Spring security授权
ChatYU的博客
12-23 2846
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
SpringSecurity授权
weixin_51992178的博客
10-23 1206
用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员和普通学生等不同角色。用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet。
认证授权-SpringSecurity
木子Teng的博客
01-11 1375
如何实现授权?业界通常基于 RBAC 模型(Role-Based Access Control -> 基于角色的访问控制)实现授权。RBAC 认为授权实际就是who,what,how三者之间的关系(3W),即 who 对 what 进行 how 的操作。Spring Security 是为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架(包含: 认证 , 授权两个方面)。
(idea)利用SpringSecurity完成登录验证的流程
junqiqi77的博客
06-05 1583
spring security是一个安全可靠且高度可定制的安全框架,它提供身份验证和访问权限控制。按照框架的要求提供相关的信息和配置就可以利用spring security写出企业级安全的登录功能。认证:验证登录者的身份授权:定义登录登录后可以做什么攻击防护:防止身份伪造有了springboot之后,springboot对spring security提供了自动化配置的方案,所以在springboot项目中可以实现零配置使用spring security
最新ssm项目基于Java web的高校学生课堂考勤系统的设计与实现+vue.zip
最新发布
04-10
6. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证和授权的安全性,保护学生隐私不被未授权访问。 7. **界面友好性**:前端使用Vue.js构建,提供了适合教育行业的清晰、直观且响应式的用户...
最新ssm项目百货中心供应链管理系统+jsp.zip
04-10
7. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证和授权的安全性,保护敏感商业数据不被未授权访问。 8. **前后端整合**:虽然前端使用JSP,但通过与后端SSM框架整合,可实现动态内容展示和...
最新ssm项目网上系统调查的开发+vue.zip
04-10
6. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证和授权的安全性,保护敏感数据不被未授权访问。 7. **界面友好性**:前端界面设计注重用户体验,提供了清晰且直观的操作流程,使得创建问卷...
最新ssm项目学费管理系统的设计与实现+jsp.zip
04-10
6. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证和授权的安全性,保护财务数据不被未授权访问。 7. **界面友好性**:尽管前端使用传统的JSP技术,但提供了清晰的导航、合理的布局和简洁的...
最新ssm项目基于Java的超市管理系统+jsp.zip
04-10
6. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证和授权的安全性,保护商业数据不被未授权访问。 7. **界面友好性**:前端使用JSP构建,提供了适合超市运营的清晰、直观且响应式的用户界面...
SpringSecurity授权
小钟不想敲代码
05-28 5404
SpringSecurity授权
spring security 认证授权详解
StringBuffer Obj 的博客
10-14 983
详细介绍spring security认证授权流程
Spring Security实现权限认证与授权
b2105859的博客
02-12 1390
Spring Security实现认证与授权
SpringSecurity学习(七)授权
Huathy的博客
03-15 1970
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析授权实战——权限模型
springSecurity登录的全过程
XuDream的博客
08-12 2910
整个流程就是:进入接口—>进行验证—>获取用户信息—>创建token—>存入redis—>返回/*** 自定义权限实现,ss取自SpringSecurity首字母*/*** 所有权限标识/*** 管理员角色权限标识/*** 验证用户是否具备某权限** @param permission 权限字符串* @return 用户是否具备某权限System . out . println("拥用这个权限才能通过" + permission);...
SpringSecurity 授权详解
流楚丶格念的博客
09-18 1703
在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。url 匹配规则 . 权限控制方法通过上面的格式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果,越是具体的应该放在前面,越是笼统的应该放到后面。
3.spring security授权流程
weixin_45974277的博客
02-26 3672
Spring Security授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
springsecurity原理执行流程
09-02
- *1* *2* [Spring Security 中的执行原理流程分析](https://blog.csdn.net/weixin_63835553/article/details/122750865)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值