SpringSecurity过滤器UsernamePasswordAuthenticationFilter

最新推荐文章于 2024-09-02 14:18:03 发布
最新推荐文章于 2024-09-02 14:18:03 发布
阅读量5.2k 收藏 11
点赞数 2
分类专栏: Spring Security 文章标签: http 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071876/article/details/122067412
版权
简介

UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份认证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST请求。当我们登录的时候,也就是匹配到loginProcessingUrl,这个过滤器就会委托认证管理器authenticationManager来验证登录

在这里插入图片描述

1、AbstractAuthenticationProcessingFilter

登陆流程入口是AbstractAuthenticationProcessingFilter的doFilter方法

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
		implements ApplicationEventPublisherAware, MessageSourceAware {

	protected ApplicationEventPublisher eventPublisher;
	protected AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource = new WebAuthenticationDetailsSource();
	private AuthenticationManager authenticationManager;
	protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
	private RememberMeServices rememberMeServices = new NullRememberMeServices();

	private RequestMatcher requiresAuthenticationRequestMatcher;

	private boolean continueChainBeforeSuccessfulAuthentication = false;

	private SessionAuthenticationStrategy sessionStrategy = new NullAuthenticatedSessionStrategy();

	private boolean allowSessionCreation = true;

	private AuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();
	private AuthenticationFailureHandler failureHandler = new SimpleUrlAuthenticationFailureHandler();
	
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
        //判断当前路径是否是指定的登陆路径,如果不是,那么跳过此过滤器
        //UsernamePasswordAuthenticationFilter默认登陆路径是/login,post接口
		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);
			return;
		}
		if (logger.isDebugEnabled()) {
			logger.debug("Request is to process authentication");
		}
		Authentication authResult;

		try {
		    //对请求进行权限验证,这是一个抽象方法
		    //其实现 在UsernamePasswordAuthenticationFilter中
			authResult = attemptAuthentication(request, response);
			if (authResult == null) {
				return;
			}
			sessionStrategy.onAuthentication(authResult, request, response);
		}
		catch (InternalAuthenticationServiceException failed) {
		    //身份验证失败的默认行为。			
			unsuccessfulAuthentication(request, response, failed);
			return;
		}
		catch (AuthenticationException failed) {
		    //身份验证失败的默认行为。
			unsuccessfulAuthentication(request, response, failed);
			return;
		}

		// Authentication success
		if (continueChainBeforeSuccessfulAuthentication) {
			chain.doFilter(request, response);
		}
       //身份验证成功的默认行为。	
		successfulAuthentication(request, response, chain, authResult);
	}
}

AbstractAuthenticationProcessingFilter其实没做什么,只是对请求路径进行了过滤,判断是否是登陆路径。对请求认证的代码在其子类UsernamePasswordAuthenticationFilter中

2、UsernamePasswordAuthenticationFilter
public class UsernamePasswordAuthenticationFilter extends
		AbstractAuthenticationProcessingFilter {
	
	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";

	private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
	private boolean postOnly = true;

    //设置默认登陆路径
    public UsernamePasswordAuthenticationFilter() {
		super(new AntPathRequestMatcher("/login", "POST"));
	}

	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
		
		//接口类型判断
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}

		String username = obtainUsername(request);//获取用户名,默认通过request.getParamete方式获取
		String password = obtainPassword(request);//获取密码,默认通过request.getParamete方式获取

		if (username == null) {username = "";}
		if (password == null) {password = "";}
		username = username.trim();

		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);

		// 允许子类设置“details”属性
		setDetails(request, authRequest);
        //调用AuthenticationManager的authenticate进行认证和授权
		return this.getAuthenticationManager().authenticate(authRequest);
	}
}
3、自定义用户名和密码登陆逻辑
public class MyUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {




    //登陆失败返回结果自定义
    public void unsuccessfulAuthentication(HttpServletRequest request,
                                           HttpServletResponse response, AuthenticationException failed)
            throws IOException, ServletException {

        SecurityContextHolder.clearContext();

        response.setContentType("application/json;charset=utf-8");
        PrintWriter out = response.getWriter();
        String msg = "";
        if (failed instanceof LockedException) {
            msg = "账户被锁定,请联系管理员!";
        } else if (failed instanceof CredentialsExpiredException) {
            msg = "密码过期,请联系管理员!";
        } else if (failed instanceof AccountExpiredException) {
            msg = "账户过期,请联系管理员!";
        } else if (failed instanceof DisabledException) {
            msg = "账户被禁用,请联系管理员!";
        } else if (failed instanceof BadCredentialsException) {
            msg = "用户名或者密码输入错误,请重新输入!";
        }else if (failed instanceof AuthenticationServiceException) {
            msg = failed.getMessage();
        }
        out.write(new ObjectMapper().writeValueAsString(JsonResultHelper.JsonResultFail(msg)));
        out.flush();
        out.close();


    }

    //登陆成功返回结果自定义
    public void successfulAuthentication(HttpServletRequest request,
                                         HttpServletResponse response, FilterChain chain, Authentication authResult)
            throws IOException, ServletException {

        SecurityContextHolder.getContext().setAuthentication(authResult);

        // Fire event
        if (this.eventPublisher != null) {
            eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
                    authResult, this.getClass()));
        }

        response.setContentType("application/json;charset=utf-8");
        PrintWriter out = response.getWriter();
        out.write(new ObjectMapper().writeValueAsString(JsonResultHelper.JsonResultSuccess(authResult)));
        out.flush();
        out.close();


    }

}

MyUsernamePasswordAuthenticationFilter的注册

@Configuration
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        ExceptionTranslationFilter w;
        return NoOpPasswordEncoder.getInstance();
    }

    @Bean
    public MyUserDetailsService myUserDetailsService(){
        return new MyUserDetailsService();
    }


    @Bean
    public MyUsernamePasswordAuthenticationFilter myUsernamePasswordAuthenticationFilter() throws Exception {
        MyUsernamePasswordAuthenticationFilter myUsernamePasswordAuthenticationFilter = new MyUsernamePasswordAuthenticationFilter();
        myUsernamePasswordAuthenticationFilter.setAuthenticationManager(authenticationManager());
        return myUsernamePasswordAuthenticationFilter;
    }


    @Override
    protected void configure(HttpSecurity auth) throws Exception               
        auth.addFilterAt(myUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
        auth.csrf().disable()
                .authorizeRequests()
                .antMatchers("/login").permitAll()
                .anyRequest().authenticated()
                .and()
                .httpBasic();
    }
}
这是一条海鱼
关注
专栏目录
SpringSecurity 自定义UsernamePasswordAuthenticationFilter
荡的博客
09-17 7814
#UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST...
spring-security(二十一)核心Filter-UsernamePasswordAuthenticationFilter
高枫的博客
03-04 619
一、UsernamePasswordAuthenticationFilter功能和属性 到目前为止,我们已经探讨了三个主要的filter,当采用默认配置时spring security会自动给我们追加这三个filter,现在我们的filter中还差一个处理用户认证的filter,下面我们就主要讨论下最常用的认证filter-UsernamePasswordAuthenticationFilter...
Spring Security学习笔记(二)Spring Security认证和鉴权
飞!!!的博客
07-24 1456
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
Spring Security】重写 UsernamePasswordAuthenticationFilter 支持登录校验 JSON 数据
healer_ai的博客
05-24 1264
Spring Security 5.7 及更高版本中,`WebSecurityConfigurerAdapter` 已被弃用。取而代之的是配置类和 `SecurityFilterChain` Bean 的方式
Spring Security 过滤器 `OncePerRequestFilter` 和 `UsernamePasswordAuthenticationFilter`区别介绍
最新发布
qq_42631788的博客
09-02 908
适合用于需要在每个请求中执行自定义逻辑的情况,比如令牌验证和请求修改。适用于表单登录认证,它自动处理用户名和密码的验证。根据你的具体需求来选择合适的过滤器,能让你的 Spring Boot 应用更加安全和高效。希望这个文档能帮助你更好地理解这两个过滤器,并在开发中做出明智的选择。如果还有其他问题,欢迎提问!
SpringSecurity默认过滤器链之UsernamePasswordAuthenticationFilter
欢谷悠扬
07-12 1746
1.作用 这个Filter是通过用户名和密码进行认证(登录)的。系统默认有三种认证Filter。 ClientCredentialsTokenEndpointFilter: 基于oauth2 token的认证入口 Oauth2ClientAuthenticationProcessingFilter:oauth2 客户端用于从授权服务器获取accessToken进行认证 2.认证统一流程AbstractAuthenticationProcessingFilter public void doFilte
UsernamePasswordAuthenticationFilter
xiaomin1991222的专栏
04-18 252
springSecurity的登录验证是由org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter这个过滤器来完成的,在该类的父类AbstractAuthenticationProcessingFilter中有一个AuthenticationManager接口属性,验证工作主如果经由...
Spring Security3源码分析-UsernamePasswordAuthenticationFilter分析
Dead_Knight的专栏
05-06 332
UsernamePasswordAuthenticationFilter过滤器对应的类路径为 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 实际上这个Filter类的doFilter是父类AbstractAuthenticationProcessingFilter的 ...
Spring Security小教程 Vol 4. 使用用户名和密码验证身份-UsernamePasswordAuthenticationFilter
03-11 1215
https://www.jianshu.com/p/e98cdf23b991 前言 上一期我们分享了Spring Security是如何通过AbstractAuthenticationProcessingFilter向Web应用向基于HTTP、浏览器的请求提供身份验证服务的。 这一次我们针对最常用,也是Spring Security默认在HTTP上使用的验证过滤器转存失败重新上传取消即基于用户...
SpringSecurity自定义UsernamePasswordAuthenticationFilter
weixin_30448603的博客
09-17 1016
UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且...
Spring Security源码解析一:UsernamePasswordAuthenticationFilter之登录流程
www_xuhss_com的博客
01-20 2286
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一.前言 spring security安全框架作为spring系列组件中的一个,被广泛的运用在各项目中,那么spring security在程序中的工作流程是个什么样的呢,它是如何进行一系列的鉴权和认证呢,下面让我们走进源码,从源码的角度来从头走一遍spr
Spring Security常用过滤器实例解析
08-24
Spring Security 常用过滤器实例解析 Spring Security 是一个功能强大且灵活的安全框架,提供了许多实用的过滤器来帮助我们实现身份验证、授权和保护我们的应用程序。下面我们将介绍 15 个常用的 Spring Security ...
Spring Security过滤器就该这么配置
欢迎来到我的博客
02-18 726
CaptchaAuthenticationFilter这个验证码过滤器是通过模仿UsernamePasswordAuthenticationFilter实现的。同样的道理,由于UsernamePasswordAuthenticationFilter的配置是由FormLoginConfigurer来完成的,应该也能模仿一下FormLoginConfigurer,写一个配置类CaptchaAuthenticationFilterConfigurer去配置CaptchaAuthenticationFilter
Spring Security Web 5.1.2 源码解析 -- UsernamePasswordAuthenticationFilter
Details Inside Spring
12-02 1865
概述 源代码解析 package org.springframework.security.web.authentication; import org.springframework.security.authentication.AuthenticationServiceException; import org.springframework.security.authentication...
史上最简单的Spring Security教程(二十五):UsernamePasswordAuthenFilter详解
银河架构师的博客
08-28 3743
​在Spring Security框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。 下面我们就来一起详细了解一下这个 Filter 的具体功用。 首先,既然是Filter,势必要实现 Filter 接口吧,不过,确实实现了 Filter 接口。 从上图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系,也确实实现了 Filter 接口。 那么,我们便从..
SpringSecurity-UsernamePasswordAuthenticationFilter的作用
weixin_30821731的博客
12-17 676
UsernamePasswordAuthenticationFilter应该是我们最关注的Filter,因为它实现了我们最常用的基于用户名和密码的认证逻辑。 先看一下一个常用的form-login配置: 1 <form-login login-page="/login" 2 username-parameter="ssoId" 3 ...
springsecurity过滤器详解
09-20
Spring Security是一个用于保护Java应用程序的框架,它提供了一系列过滤器来处理安全相关的任务。在Spring Security中,过滤器被组织成一个过滤器链(Filter Chain),它根据配置的顺序依次执行。以下是一些常用的Spring Security过滤器及其功能: 1. SecurityContextPersistenceFilter:用于在请求处理期间存储和检索SecurityContext,即当前用户的安全上下文。 2. LogoutFilter:处理用户注销请求,并清除当前用户的认证信息。 3. UsernamePasswordAuthenticationFilter:用于处理基于用户名和密码的认证请求。 4. ConcurrentSessionFilter:用于处理并发会话控制,限制同一用户的同时登录数。 5. BasicAuthenticationFilter:用于处理基于HTTP基本身份验证的认证请求。 6. RequestCacheAwareFilter:用于缓存请求,以便在重定向后重新发送请求。 7. SecurityContextHolderAwareRequestFilter:用于包装请求,使其能够识别特定的安全上下文。 8. AnonymousAuthenticationFilter:用于在请求上下文中添加匿名用户的认证信息。 9. SessionManagementFilter:用于处理会话管理,例如过期检查、并发控制等。 10. ExceptionTranslationFilter:用于捕获并处理异常,将其转换为合适的响应。 11. FilterSecurityInterceptor:用于实施访问控制,检查用户是否具有访问资源的权限。 这些过滤器可以根据具体的安全需求进行配置和组合,以提供所需的安全功能。通过指定不同的过滤器顺序、添加自定义过滤器或替换默认过滤器,您可以灵活地定制Spring Security过滤器链。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值