Spring Security用户登录认证流程

最新推荐文章于 2024-07-22 22:27:46 发布
最新推荐文章于 2024-07-22 22:27:46 发布
阅读量823 收藏 1
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40008535/article/details/114649184
版权

Spring Security的认证流程

Spring Security的登录认证流程始于AbstractAuthenticationProcessingFilter,默认使用类为UsernamePasswordAuthenticationFilter,当然也可以自己去自定义。

public abstract class AbstractAuthenticationProcessingFilter {
    ...
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
        
		// 1. 第一步:判断登录路径
		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);
			return;
		}
        
		Authentication authResult;
        
		try {
            // 2. 第二步:尝试认证
			authResult = attemptAuthentication(request, response);
			if (authResult == null) {
				return;
			}
			sessionStrategy.onAuthentication(authResult, request, response);
		}
		catch (...Exception failed) {{
			// 3. 第三步:认证失败后处理
			unsuccessfulAuthentication(request, response, failed);

			return;
		}
		// 4. 第四步:认证成功后处理
		successfulAuthentication(request, response, chain, authResult);
	}
    ...
}

doFilter()方法中共有4个主要步骤,一个一个来看:

1、判断登录路径

AbstractAuthenticationProcessingFilter类存在一个RequestMatcher引用来保存实现类,在UsernamePasswordAuthenticationFilter类中存在构造器给RequestMather进行赋值,只有请求的请求路径为"/login",请求方式为"POST"时才会进入下一步认证。

public abstract class AbstractAuthenticationProcessingFilter{
	private RequestMatcher requiresAuthenticationRequestMatcher;
    ...
}

public class UsernamePasswordAuthenticationFilter{
    public UsernamePasswordAuthenticationFilter() {
		super(new AntPathRequestMatcher("/login", "POST"));
	}
}

那如果我们想要自己去设置登录路径,那怎么办?

  1. 自定义类继承AbstractAuthenticationProcessingFilter抽象类,手动给它赋值
public class RestLoginAuthenticationFilter 
    		extends AbstractAuthenticationProcessingFilter {

    public RestLoginAuthenticationFilter() {
        super(new AntPathRequestMatcher("/api/user/login", "POST"));
    }
    ...
}

public  class SecurityConfigurer extends WebSecurityConfigurerAdapter {
    
    @override
    protected void configure(HttpSecurity http) throws Exception {

       http.addFilterAt(new RestLoginAuthenticationFilter(), 
                        UsernamePasswordAuthenticationFilter.class)
       ...
    }
}
  1. 在SecurityConfigurer中配置loginProcessingUrl选项

在这种情况下,会给AbstractAuthenticationProcessingFilterRequestMatcher字段赋值一个AntPathRequestMatcher实例,路径为传入的"loginProcessingUrl",方法为"POST"。

    protected void configure(HttpSecurity http) throws Exception {
        http
                .formLogin().loginProcessingUrl("/api/login")
                .and().authorizeRequests().anyRequest().permitAll();
    }	
    
	public T loginProcessingUrl(String loginProcessingUrl) {
		this.loginProcessingUrl = loginProcessingUrl;
        // authFilter 默认为 UsernamePasswordAuthenticationFilter
		this.authFilter.setRequiresAuthenticationRequestMatcher(
                  createLoginProcessingUrlMatcher(loginProcessingUrl));
		return getSelf();
	}

	// FormLoginConfigurer,返回一个AntPathRequestMatcher
	protected RequestMatcher createLoginProcessingUrlMatcher(String loginProcessingUrl) {
		return new AntPathRequestMatcher(loginProcessingUrl, "POST");
	}

以上两种方法是同样的效果。

2、尝试认证

认证的开始于attemptAuthentication()方法。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain){
    ...
	authResult = attemptAuthentication(request, response);
    ...
}

默认情况下,我们会走向UsernamePasswordAuthenticationFilter的attemptAuthentication()方法。

	public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
        // 1. 从request中取出key为username和password的value,具体可以在配置文件中配置
		String username = obtainUsername(request);
		String password = obtainPassword(request);
		...
		// 2. 根据username和password创建一个Token,
		UsernamePasswordAuthenticationToken authRequest = new 
                        UsernamePasswordAuthenticationToken(username, password);
		setDetails(request, authRequest);

        // 3. 向下调用authenticate()方法
		return this.getAuthenticationManager().authenticate(authRequest);
	}

Token,我们根据其继承结构,我们可以看成它是有如下5个属性的UsernamePasswordAuthenticationToken类,如下:

public class UsernamePasswordAuthenticationToken{
    // 1. 主要信息
	private final Object principal;
    // 2. 凭证
	private Object credentials;
    // 3. 权限
	private final Collection<GrantedAuthority> authorities;
    // 4. 用户细节,这里是包含remoteAddress和sessionId的WebAuthenticationDetails
	private Object details;
    // 5. 是否认证
	private boolean authenticated = false;
}

接着往下走,AuthenticationManager默认的实现类为ProviderManager,在ProviderManager类中存在一个集合引用,保存数据为AuthenticationProvider实例。调用AuthenticationManagerauthenticate() 方法,实质上就是遍历这个集合,逐个调用集合中实例的 authenticate() 方法。

public class ProviderManager {
  private List<AuthenticationProvider> providers = Collections.emptyList();
  public Authentication authenticate(Authentication authentication) {
      	// 1. 第一步,遍历集合,看是否支持当前Token
        Class<? extends Authentication> toTest = authentication.getClass();
		...
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}
			try {
				result = provider.authenticate(authentication);
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (XXXException e) {
				// 捕获异常操作
			}
		}
		// 2. 第二步,当前情况下,继续走parent
		if (result == null && parent != null) {
			try {
				result = parentResult = parent.authenticate(authentication);
			}
			catch (XXXException e) {
				// 捕获异常操作
			}
		}
		// 3. 第三步,进行简单验证返回Result
		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				((CredentialsContainer) result).eraseCredentials();
			}
			if (parentResult == null) {
				eventPublisher.publishAuthenticationSuccess(result);
			}
			return result;
		}
		...
	}

}

ProviderManagerauthenticate() 方法大致分为三步:

  • 获取当前Token的class,看看provider们能不能支持,支持就调用他们的authenticate()方法,否则跳过。

  • 遍历完集合provider集合之后,如果没有可以认证当前Token的情况(Result = null),看看parent是否有值,有值则调用。

  • 如果Result不为null,在简单处理后就返回Result。

  • 在默认情况下,集合内的provider会有两个,AnonymousAuthenticationProviderDaoAuthenticationProvider,这里进行一次debug会更清晰。

3、认证失败
private void doFilter(HttpServletRequest request, HttpServletResponse response,                                  FilterChain chain)throws IOException, ServletException {
    ...
	unsuccessfulAuthentication(request, response, failed);
	...
}

protected void unsuccessfulAuthentication(HttpServletRequest request,
                                          HttpServletResponse response, 
               AuthenticationException failed)throws IOException, ServletException {
    	// 1. 清空上下文中的数据
		SecurityContextHolder.clearContext();
		// 2. rememberMe
		rememberMeServices.loginFail(request, response);
		// 3. 调用失败处理器
		failureHandler.onAuthenticationFailure(request, response, failed);
	}

failureHandler默认的实现类SimpleUrlAuthenticationFailureHandler,来看下onAuthenticationFailure() 方法,我们可以很容易看明白。

  • 先看下defaultFailureUrl有没有配置,没有直接返回错误,可以通过http.formLogin.failureUrl(…) 来进行设置。
  • 再看forwardToDestination的值,决定是采用重定向还是转发的形式到defaultFailureUrl。
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {	
    ...
	successfulAuthentication(request, response, chain, authResult);
    ...  
}
public class SimpleUrlAuthenticationFailureHandler implements
		AuthenticationFailureHandler {
    private String defaultFailureUrl;
	private boolean forwardToDestination = false;
    ...
	public void onAuthenticationFailure(HttpServletRequest request,
			HttpServletResponse response, AuthenticationException exception)
			throws IOException, ServletException {
		// defaultFailureUrl 配置类可以设置
		if (defaultFailureUrl == null) {
			response.sendError(HttpStatus.UNAUTHORIZED.value(),
				HttpStatus.UNAUTHORIZED.getReasonPhrase());
		}
		else {
			saveException(request, exception);
            // forwardToDestination默认为false
			if (forwardToDestination) {
				request.getRequestDispatcher(defaultFailureUrl)
						.forward(request, response);
			}
			else {
				redirectStrategy.sendRedirect(request, response, defaultFailureUrl);
			}
		}
	}
    ...
}
4、认证成功
	private AuthenticationSuccessHandler successHandler = 
        					new SavedRequestAwareAuthenticationSuccessHandler();

	protected void successfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, Authentication authResult)
			throws IOException, ServletException {
		// 1. 在上下文中保存Token
		SecurityContextHolder.getContext().setAuthentication(authResult);
		// 2. RememberMe操作
		rememberMeServices.loginSuccess(request, response, authResult);
		// 3. 发布事件
		if (this.eventPublisher != null) {
			eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
					authResult, this.getClass()));
		}
		// 4. 调用成功处理器
		successHandler.onAuthenticationSuccess(request, response, authResult);
	}

successHandler默认实现为SavedRequestAwareAuthenticationSuccessHandler

public class SavedRequestAwareAuthenticationSuccessHandler {
	...
	public void onAuthenticationSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication authentication)
			throws ServletException, IOException {
        // 1. 取出存储的request
		SavedRequest savedRequest = requestCache.getRequest(request, response);
		...    
		// 2. 取出路径并重定向
		String targetUrl = savedRequest.getRedirectUrl();
		getRedirectStrategy().sendRedirect(request, response, targetUrl);
	}
    ...
}
oldGarlic
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring boot 使用restful风格的spring security login
iverson2010112228的专栏
10-17 6572
Spring boot 使用restful风格的spring security login第一步,获取基本springboot项目 从 spring官网获取security+session+redis依赖的springboot项目 安装配置redis,修改配置文件,启动项目,拿到登录密码,用户名为user. 根据官方文档,配置demo项目,理解spring security的机制 第
Spring Security学习(一):自定义登录认证
weixin_43980425的博客
01-29 945
一、前言 本篇博客主要记录Spring Security自定义登录认证,以及在前后端分离的情况下认证成功或失败返回json数据的流程。开始之前,要记住:使用Spring Security做登录认证,不需要自己写contorller类实现,全部实现都是在一系列的过滤器链中完成的。 二、Spring Security 自定义登录认证处理 1.创建一个用户实体类user public class User { private String username; private String pass
SpringSecurity登陆接口
Leon_Jinhai_Sun的博客
06-05 4554
SpringSecurity
Spring Security 认证流程分析及多方式登录认证实践
最新发布
07-22 948
在项目开发过程中,会涉及到安全框架的配置。其中常用的就是shiro和, 在本文中将介绍的工作流程和实践应用,并基于此总结其使用心得和项目配置关键。本文主要介绍了登录相关的核心配置,以及验证码方式登录的实践,作为系统开发中常用的权限认证框架,在此基础上拓展了项目的多种登录方式,即手机验证码和邮箱验证码的方式,同时也介绍了前后端分离与不分离情况下的差异。本文总结了常用的使用方式,可以很好的为后续开发提供借鉴。所涉及的代码已经上传至gitee项目gitee地址。
Spring boot + spring security 实现 Rest 登录 ( json )
李昊轩的博客
02-17 1989
第一步,获取基本springboot项目 从 spring官网获取security+session+redis依赖的springboot项目 安装配置redis,修改配置文件,启动项目,拿到登录密码,用户名为user. 根据官方文档,配置demo项目,理解spring security的机制 第二步,添加自己的登录验证方式 添加session策略,让权限验证从session里获取token,而不是...
Spring Security Web 5.1.2 源码解析 -- SimpleUrlAuthenticationFailureHandler
Details Inside Spring
12-24 5661
概述 AuthenticationFailureHandler接口定义了Spring Security Web在遇到认证错误时所使用的处理策略。 典型做法一般是将用户重定向到认证页面(比如认证机制是用户名表单认证的情况)让用户再次认证。当然具体实现类可以根据需求实现更复杂的逻辑,比如根据异常做不同的处理等等。举个例子,如果遇到CredentialsExpiredException异常(Authen...
Spring Security用户认证流程
qq_36316125的博客
11-15 219
用户认证流程 在这里使用用户名密码的登录方式。 登录流程 通过UsernamePasswordAuthenticationFilter获取用户名和密码,并封装成UsernamePasswordAuthenticationToken。如下图: 再通过getAuthenticationManager()方法获取AuthenticationManager进行验证。如下图: authenticate()...
第2章 Spring Security登录认证流程
Shiro框架02
10-10 220
Spring Security登录认证流程 在上一章节,我们看到未登录时,请求被拦截然后重定向到登录页面。那Spring Security登录认证流程是怎样的呢?现在,来分析一下。 认证流程图 这幅图大致描述登录认证流程: 首先访问未被授权的请求 /private 资源 FilterSecurityInterceptor 过滤器拒绝这个请求并抛出 AccessDeniedException 的异常。 因为请求没有被认证,ExceptionTranslationFilter 将开始认证并且重定向到一个地址
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springboot+ spring security实现登录认证
05-04
本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 SpringBoot是Spring框架的一个简化版本,它通过自动配置和嵌入式服务器简化了Java应用程序的开发过程。Spring Security则是一个...
解析SpringSecurity+JWT认证流程实现
08-18
首先,我们需要配置SpringSecurity来使用JWT认证方式,然后在认证流程中,我们使用JWT token来验证用户的身份。在认证完成后,我们将生成一个JWT token,并将其传递给客户端,以便客户端在每次请求时都可以带上这个...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
本文将深入探讨如何使用这些技术来构建用户登录和权限认证系统。 首先,让我们了解这三个关键组件: 1. **Spring Boot**:这是一个基于Spring框架的快速开发工具,它简化了设置和配置,让开发者可以更快地启动新...
SpringSecurity实现自定义登录页面
初栀的博客
09-11 2447
接着自定义用户名与密码后:https://blog.csdn.net/hjjjjjjj_/article/details/120235512 一、先创建登录页面 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>登录页面</title> </head> <body> <form action="/
权限框架SpringSecurity(一)——自定义登录
m0_67402564的博客
07-31 1818
提供的默认表单登录页面有点简单,如果想使用自己的登录页该怎么办?继续关注类,继续重写它的和@Override}@Override.and().and()}用来配置忽略掉的URL地址,一般对于静态文件采用此操作and方法表示结束当前标签,上下文回到,开启新一轮的配置formLogin表示开启表单登录loginPage指定自定义登录页面permitAll表示登录相关的页面/接口不要被拦截关闭csrf当自定义了登录页面为时,也会自动注册一个接口,这个接口是POST项目的时,POST为。...
SpringSecurity使用
LD_HH的博客
09-02 1194
①、解决默认进入login页面的方法 当我们在创建springboot的时候选择了springsecurity maven就会发现一直跳转在springsecurity自带的login页面 1、直接将maven去除 2、加上(exclude = {SecurityAutoConfiguration.class}) //取消登录验证 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) 3、可以设置login的账号和
Spring-Security实现登录接口
niulinbiao的博客
02-04 9484
SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。具体介绍和入门看springSecurity入门。
HTTP的识别,认证与安全
WilsonLiu's Blog
04-27 6152
识别,认证与安全第三部分的4章提供了一系列的技术和机器,可用来跟踪身份,进行安全性检测,控制对内容的访问。客户端识别与cookie机制 第十一章HTTP最初是一个匿名,无状态的请求/响应协议。服务器处理来自客户端的请求,然后向客户端回送一条响应。web服务器几乎没有什么信息可以用来判定是哪个用户发送的请求,也无法记录来访用户的请求序列。用户识别机制 承载用户身份信息的HTTP首部 客户端IP地址跟踪
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2614
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
springsecurity登录认证流程
08-10
Spring Security的登录认证流程如下: 1. 用户输入用户名和密码,生成一个AuthenticationToken对象。 2. 这个Token对象被传递给一个实现了AuthenticationManager接口的对象进行验证。 3. AuthenticationManager对Token对象进行验证,验证成功后返回一个Authentication对象。 4. 在验证成功后,可以调用AuthenticationSuccessHandler成功处理器进行跳转。 5. 在createSuccessAuthentication方法中,会重新创建一个UsernamePasswordAuthenticationToken对象,并将已认证状态标志注明。 6. 在认证流程中,我们会执行authenticationManager的authenticate方法,该方法实际上是一个接口,里面只有一个空方法。 总结一下,Spring Security的登录认证流程包括用户输入凭证信息,验证凭证信息,并返回认证结果的过程。123 #### 引用[.reference_title] - *1* [spring-security-用户登陆验证流程](https://blog.csdn.net/a1396537376/article/details/90706729)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *2* *3* [SpringSecurity登录认证流程](https://blog.csdn.net/weixin_52353216/article/details/127359420)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值