SpringSecurity的登录授权流程分析

最新推荐文章于 2024-09-11 21:45:49 发布
最新推荐文章于 2024-09-11 21:45:49 发布
阅读量897 收藏 7
点赞数
分类专栏: Springboot SpringSecurity 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38719011/article/details/93894552
版权
本文解析了SpringSecurity结合JWT的登录授权流程,详细介绍了UsernamePasswordAuthenticationFilter的作用及位置,阐述了ProviderManager如何通过DaoAuthenticationProvider进行身份验证,以及具体的验证过程。
摘要由CSDN通过智能技术生成

最近用SpringSecurity结合Jwt、在此记录一下SpringSecurity的登录授权过程、(只是略懂了冰山一角、还有很多配置都未涉及、现在了解的只是最常见最常用的配置)、SpringSecurity的验证方式有很多、不过大部分使用的还是UserDetailsService的方式

1、UsernamePasswordAuthenticationFilter 位于SecuritySecurity Filter Chain链的第4位、该类主要作用身份验证处理机制-用户名密码身份验证筛选器-以便可以修改SecurityContextHolder以包含有效的身份验证请求令牌、该类继承AbstractAuthenticationProcessingFilter、在AbstractAuthenticationProcessingFilter的doFilter中代码如下在这里插入图片描述
3、UsernamePasswordAuthenticationFilter 会对其进行判断、抽取usernamepassword以及封装成身份验证令牌
在这里插入图片描述
4、ProviderManager调用authenticate方法、进行身份验证

5、ProviderManager获取所拥有的AuthenticationProvider进行验证、一般我们使用的是DaoAuthenticationProvider验证类、该类继承 AbstractUserDetailsAuthenticationProvider 类、在AbstractUserDetailsAuthenticationProviderauthenticate方法中封装了具体的验证过程、具体如下

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, () -> {
            return this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports", "Only UsernamePasswordAuthenticationToken is supported");
        });
        String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
        boolean cacheWasUsed = true;
        UserDetails user = this.userCache.getUserFromCache(username);//获取缓存的
        if (user == null) { //如过user为空则调用DaoAuthenticationProvider的retrieveUser方法获取用户信息
            cacheWasUsed = false;

            try {
                //获取用户信息、一般是调用自定义的 UserDetailsService
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication); 
            } catch (UsernameNotFoundException var6) {
                this.logger.debug("User '" + username + "' not found");
                if (this.hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                }

                throw var6;
            }

            Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
        }

        try {
            //UserDetails接口下有几个返回 boolean的方法是在这里效验的、例如:账户停用等
            this.preAuthenticationChecks.check(user);
            //这个是验证密码是否正确的、和`retrieveUser`方法一样都是调用DaoAuthenticationProvider去处理
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        } catch (AuthenticationException var7) {
            if (!cacheWasUsed) {
                throw var7;
            }

            cacheWasUsed = false;
            user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            this.preAuthenticationChecks.check(user);
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        }

        this.postAuthenticationChecks.check(user);
        if (!cacheWasUsed) {
            this.userCache.putUserInCache(user);
        }

        Object principalToReturn = user;
        if (this.forcePrincipalAsString) {
            principalToReturn = user.getUsername();
        }

        return this.createSuccessAuthentication(principalToReturn, authentication, user);
    }

6、处理流程图如下
在这里插入图片描述

等有时间在写 登录成功处理登录失败处理流程、以及匿名访问受保护资源异常认证过的用户访问无权限资源的异常的自定义处理方式、另附上官方文档SpringSecurity文档

SpringSecurity授权流程源码分析
程序员劝退师的博客
11-17 449
前言 在之前文章中有单独写过SpringSecurity表单登录流程源码分析SpringSocial使用QQ授权登录流程详细分析两篇关于登录流程的,这些其实只是SpringSecurity整个流程的一部分罢了,也就是验证一下用户身份,但是真正的授权还是要这篇文章来讲解的!废话不多说,进入正题吧! 这张图是贯穿整个SpringSecurity的核心流程的,但是观看图可能理解是有点抽象,这篇文章就来详细解释这张流程图! 理论铺垫 SpringSecurity真正判断请求能否通过是在FilterSecurit
Spring Boot 整合SpringSecurity 实现登陆用户认证授权
AI菜鸡,NLP领域,至今为发不出论文掉头发
03-21 766
关于Spring Security的介绍就不再多说,直接上代码整合,此次整合使用的是SQL server数据库,mybatis进行整合 步骤一: 建立spring boot项目,并引入相关的jar包,pom.xml文件如下所示: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apac...
微信授权登录流程
weixin_46103017的博客
08-31 1015
微信授权登录流程 1 公众号注册获取appid 与secret 2 控制器操作 主要是个过程理解就行了 public function _initialize(){ //a.判断session是否存在 if(!session("openid")){ //b. 判断code是否存在 if(!isset($_GET(["code"])||empty($_GET["code"])) //c.微信授权 静默授权 或者是用户点击按钮通过授权 $getCodeUrl = "https://op...
SpringSecurity认证授权
最新发布
qq_49474843的博客
09-11 1096
RBAC模型详解,SpringSecurity入门到精通一文搞定
Spring Security 如何实现登录授权
m0_62869063的博客
07-11 985
这个类需要实现Spring Security提供的。
spring Security的简单使用
ALearrring的博客
06-21 285
简单使用下springsecurity 使用包括以下三个部分: 1.springSecurity本身的配置文件(当然这里可以改为配置类,目前我使用的是配置文件;配置需要拦截的url以及用户需要哪些权限才能访问,配置认证管理器,注入自定义认证类等) 2.自定义认证类(实现用户的认证和授权,编码者自己书写业务流程) 3.密码加密类(用户密码加密使用的类,在登录和注册的时候都需要使用) 下面...
Spring Security 上手步骤
qq_42882477的博客
04-21 204
1.pom.xml <dependencies> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <ver...
Spring Security(05)授权配置授权流程分析
愤怒的菜鸟博客
03-09 4870
认证控制 springsecurity 的认证过程的处理是通过过滤器进行拦截处理的,在请求前判断是否有具体的权限来做一些控制; 基本流程是通过过滤器 拿到请求信息,交给访问决策管理器(AccessDecisionManager) 判断是否有权限, 而 访问决策管理器(AccessDecisionManager) 通过投票机制判断是否有权限,对应的实现类聚合了多个 AccessDecisionVoter (访问投票器), 对于一个请求 所有的投票器可以投出自己的一票 通过 ,拒绝 或弃权,根据投票的最终结果
爆破专栏丨Spring Security系列教程之Spring Security认证授权流程_if (!this
2301_82241647的博客
05-04 605
一次偶然,从朋友那里得到一份“java高分面试指南”,里面涵盖了25个分类的面试题以及详细的解析:JavaOOP、Java集合/泛型、Java中的IO与NIO、Java反射、Java序列化、Java注解、多线程&并发、JVM、Mysql、Redis、Memcached、MongoDB、SpringSpring Boot、Spring Cloud、RabbitMQ、Dubbo 、MyBatis 、ZooKeeper 、数据结构、算法、Elasticsearch 、Kafka 、微服务、Linux。
谷粒学院Spring-Security登录授权流程几个小问题分析(初学)
yishibaiqianwan3的博客
03-15 1135
谷粒学院Spring-Security登录授权流程 文字版流程 流程(文字版) -1 在acl模块新建UserDetailService类(实现ss的UserDeTAILService接口),重写校验密码和查询权限的方法 0 创建SpringSecurity配置类,修改相关的参数 1 浏览器------>服务器后台(表单提交用户名和密码,UserdetailService类的方法查询数据库进行校验),校验成功,根据用户名查询出权限列表 2.1 后台---->redis 存放用户名(us
SpringSecurity的简单使用
weixin_58473601的博客
04-10 5064
SpringSecurity的简单使用
spring security 基本使用
wangxudongx的专栏
02-11 214
Spring Security 使用基本流程 引入security模块 implementation ‘org.springframework.boot:spring-boot-starter-security’ 编写账户自定义验证过程类: //验证规则类 @Component public class gtpUserDetailsService implements UserDetailsSer...
对于SpringSecurity的简单使用
weixin_43730203的博客
06-03 392
对于SpringSecurity的简单使用
1. SpringSecurity 快速入门与简单使用
Earth_Programer的博客
03-20 1151
SpringSecurity 快速入门与简单使用 Spring 官网对 SpringSecurity 的简介 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spri...
Spring Security框架入门使用
weixin_44314824的博客
12-01 132
关于Spring Security框架的依赖的参考代码为 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.3.5.RELEASE</version> </dependency> 1.使用自定义的用户名与密码 User
SpringSecurity表单登录流程源码分析
程序员劝退师的博客
10-12 447
先看看这种核心流程图 这张图是SpringSecurity认证涉及到的核心类 让应用Debug启动 点击表单登录 进入到 这个就是上图中的绿色过滤器 , 这个类中首先进入attemptAuthentication这个方法,获取用户名密码,然后用获取到的用户名密码构建了一个UsernamePasswordAuthenticationToken这个对象 顶层就是实现了Authentication,这个Authentication实际上就是封装登录这的认证信息,接着上面构建UsernamePasswor
SpringSecurity安全框架谁都能看懂系列!不改原有一行代码,给你web穿上一层安全防护!(AOP切面编程)
qq_16997245的博客
02-29 1579
SpringSecurity SpringSecuritySpring大家族中解决认证授权问题的框架。 大家针对安全问题之前采用基于Session认证的方式,太过于繁琐,而且硬编码太严重,Security不仅可以做到Session所能实现的功能,而且依赖于Spring的Aop可以在不修改原有代码的前提下,提供安全保护。 接下来我用最简单的配置为我们的web应用配置SpringSecurity,配...
Spring security授权
ChatYU的博客
12-23 3168
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值