超详解(源码)SpringSecurity的认证过程!!

最新推荐文章于 2024-04-29 15:10:45 发布
最新推荐文章于 2024-04-29 15:10:45 发布
阅读量3k 收藏 20
点赞数 6
分类专栏: Spring Security 文章标签: spring boot 安全 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42682745/article/details/120713818
版权

文章目录


最近被SpringSecurity搞傻了,不服气的我决定深入理解

它的整个执行流程需要从,身份认证开始,

纵观整个SpringSecurity,身份认证要从一个叫AbstractAuthenticationProcessingFilter的抽象类说起,好戏开场了。。。。。。。🐤🐤🐤🐤🐤🐤🐤🐤🐤🐤

AbstractAuthenticationProcessingFilter

基于浏览器http的身份验证请求抽象处理器,里面规定了身份认证的过程!

UsernamePasswordAuthenticationFilter是继承了AbstractAuthenticationProcessingFilter

image-20211011075328253

所以要说UsernamePasswordAuthenticationFilter,它两个是分不开的。

1.UsernamePasswordAuthenticationFilter的创建

可以看到UsernamePasswordAuthenticationFilter有两个构造器:

image-20211011075603972

它默认使用的是哪一个呢?

我在AbstractAuthenticationProcessingFilter的构造器上打上了断点:(springboot启动初始化时就会创建这些过滤器)

image-20211011075916511

可以看到执行的是第一个构造,一个参数的:

image-20211011080156655

🏳️‍🌈🏳️‍🌈🏳️‍🌈🏳️‍🌈🏳️‍🌈🏳️‍🌈🏳️‍🌈🏳️‍🌈小结一下:

UsernamePasswordAuthenticationFilter,spring容器初始化时就会创建,并且默认使用的是请求匹配器为"/login"(即Spring Security的登录请求),"post"方式的构造器

2.attemptAuthentication()方法

这个方法是执行真正的身份认证的,在AbstractAuthenticationProcessingFilter中定义,子类必须实现这个方法!

public abstract Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
			throws AuthenticationException, IOException, ServletException;

如果验证成功,应该返回一个验证用户的令牌;否则返回null并抛出AuthenticationException异常

让我们看看UsernamePasswordAuthenticationFilter中是如何实现的:

image-20211011082613971

首先,它验证了请求方法是不是post,(这个postOnly是它设置的一个变量,值是true),不是post就会抛出异常-------认证的方法不被支持

String username = obtainUsername(request); //从请求中拿到用户名

obtainUsername()如下😱,还是看看吧:

image-20211011083117155

可以看到在对用户名密码判断空后,就用用户输入的密码用户名生成要认证的token了

image-20211011083917756

下面我们就去看看这个UsernamePasswordAuthenticationToken是什么妖魔:

它有两个构造器:

image-20211011084148743

image-20211011084305342

可以注意到我们传入的username在security中叫principal

password在security中叫credentials;这是有必要知道的!

还有就是Authentication:它是接口,UsernamePasswordAuthenticationToken就是其实现类之一

第一个构造器,在代码中可以任意使用,因为它被设置为是不可信的

第二个构造函数供AuthenticationManager或者AuthenticationProvider的实现类使用,传入实现类就能生成可信的token

但是我们上面的代码不是调用的第一个构造函数吗?那应该生成的token是不可信的啊?别急,经过我不懈的追,终于找到了答案,它会在一系列判断操作之后,认为你身份没问题时,会重新调一次,而这次使用的就是第二个构造。

不要试图使用UsernamePasswordAuthenticationToken的setAuthenticated方法将它设置为true

image-20211011105237470

可以看到其父类(AbstractAuthenticationToken)的setAuthenticated方法才是真正设置可不可信的,而第一个构造方法使用的是UsernamePasswordAuthenticationToken重写过后的setAuthenticated,本质是调用super.setAuthenticated(false);

整个认证过程梳理:

1. 一号选手UsernamePasswordAuthenticationFilter

登录请求首先会来到这个过滤器,既然是过滤器,当然是执行 doFilter方法嘛。因为其父类AbstractAuthenticationProcessingFilter已经定义好了doFilter方法,只能看父类:(关键处我都打了断点)

先看部分:

image-20211011111943413

首先要执行的就是requiresAuthentication(request, response)方法,它有什么作用呢?点开看看

image-20211011112300836

原来就是匹配你是不是我要的登录请求,前面我们说过,UsernamePasswordAuthenticationFilter默认使用的构造器就是把一个请求匹配器(姑且这么叫吧)😆,只匹配"/login"的post请求

匹配完成之后,就该执行attemptAuthentication(request, response)方法了

image-20211011112834258

前面我们说过,这个方法必须被子类实现,它的作用就是完成身份验证,点进去看看:

image-20211011123309958

getAuthenticationManager()是获取AuthenticationManager的实现类ProviderManager

2.二号选手ProviderManager

authenticate(authRequest)方法就是验证身份的入口方法,需要将生成的验证令牌传进去,一系列验证之后,如果验证成功会把令牌中的Authenticated属性设置为true,前面我们说过,它被设置为false。

最后那行代码就很简单了:::执行ProviderManager的authenticate方法,点进去看看:(代码有点长)

@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		int currentPosition = 0;
		int size = this.providers.size();
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}
			if (logger.isTraceEnabled()) {
				logger.trace(LogMessage.format("Authenticating request with %s (%d/%d)",
						provider.getClass().getSimpleName(), ++currentPosition, size));
			}
			try {
				result = provider.authenticate(authentication);
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException | InternalAuthenticationServiceException ex) {
				prepareException(ex, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw ex;
			}
			catch (AuthenticationException ex) {
				lastException = ex;
			}
		}
		if (result == null && this.parent != null) {
			// Allow the parent to try.
			try {
				parentResult = this.parent.authenticate(authentication);
				result = parentResult;
			}
			catch (ProviderNotFoundException ex) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException ex) {
				parentException = ex;
				lastException = ex;
			}
		}
		if (result != null) {
			if (this.eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}
			// If the parent AuthenticationManager was attempted and successful then it
			// will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent
			// AuthenticationManager already published it
			if (parentResult == null) {
				this.eventPublisher.publishAuthenticationSuccess(result);
			}

			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).
		if (lastException == null) {
			lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound",
					new Object[] { toTest.getName() }, "No AuthenticationProvider found for {0}"));
		}
		// If the parent AuthenticationManager was attempted and failed then it will
		// publish an AbstractAuthenticationFailureEvent
		// This check prevents a duplicate AbstractAuthenticationFailureEvent if the
		// parent AuthenticationManager already published it
		if (parentException == null) {
			prepareException(lastException, authentication);
		}
		throw lastException;
	}

没事,看我这,

image-20211011130141201

首先,我们看看providers是个啥

image-20211011130304806

是一个元素类型为AuthenticationProvider的列表,并且默认是个空列表,是在实例化ProviderManager是给其赋值的,

接下来我们再看看AuthenticationProvider(顾名思义,验证的提供者),它是一个接口,下面是它的实现类:

image-20211011130652796

下面这行代码就是在匹配那个验证提供类可以验证toTest:

image-20211011131157534

上上上张图,toTest已经标注了,就是传进来的令牌类型,这里是UsernamePassworduthenticationToken,

好了,我们还需要弄明白一个东西,supports方法是干嘛的?

我就直接说了吧,supports方法是用来判断该对象表示的类或接口是否与指定的类参数表示的类或接口相同,或者是其超类或超接口(一个叫isAssignableFrom的本地方法判断的)。如果是,则返回true;否则返回false

所以这个循环的作用就很明显了,匹配到能够验证令牌的验证提供类:

其原文翻译如下:

尝试对传递的身份验证对象进行身份验证。

将连续尝试AuthenticationProvider列表,直到AuthenticationProvider指示它能够验证传递的身份验证对象的类型。然后将尝试使用该AuthenticationProvider进行身份验证。

如果多个AuthenticationProvider支持传递的身份验证对象,则第一个能够成功身份验证该身份验证对象的身份验证提供程序将确定结果,并覆盖早期支持AuthenticationProviders引发的任何可能的AuthenticationException。成功验证后,将不会尝试后续的AuthenticationProviders。如果任何支持AuthenticationProvider的身份验证均未成功,则最后引发的AuthenticationException将被重试。

经过循环得到:DaoAuthenticationProvider能够验证UsernamePassworduthenticationToken类型的验证信息token,

3.三号选手DaoAuthenticationProvider(主力部队)

说明: >>>不同的自定义配置会可能会使用不同的验证提供类,用户名密码验证是使用的DaoAuthenticationProvider,如果你使用的是其它验证方式请应变一下。。。

DaoAuthenticationProvider会做很多的验证,可以说它是真正的验证执行者!

下面就会进入到DaoAuthenticationProvider的authenticate方法(这里就是真正的验证了),由于这个方法在父类AbstractUserDetailsAuthenticationProvider中已被实现,它只是继承,所以我们就在父类中查看:

@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				() -> this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));
		String username = determineUsername(authentication);
		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);
		if (user == null) {
			cacheWasUsed = false;
			try {
				user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException ex) {
				this.logger.debug("Failed to find user '" + username + "'");
				if (!this.hideUserNotFoundExceptions) {
					throw ex;
				}
				throw new BadCredentialsException(this.messages
						.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
			}
			Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
		}
		try {
			this.preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException ex) {
			if (!cacheWasUsed) {
				throw ex;
			}
			// There was a problem, so try again after checking
			// we're using latest data (i.e. not from the cache)
			cacheWasUsed = false;
			user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
			this.preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
		}
		this.postAuthenticationChecks.check(user);
		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}
		Object principalToReturn = user;
		if (this.forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}
		return createSuccessAuthentication(principalToReturn, authentication, user);
	}

这里我们就略看,重点:

image-20211011142549325

点开retrieveUser:

image-20211011143214474

image-20211011143242746

到这里用户就已经查到了,接下来就是检查:

image-20211011143443205

顾名思义:额外的检查,这个类用户可自定义,其代码如下:

image-20211011194900612

注意:passwordEncoder,是在创建DaoAuthenticationProvider时设置的,其默认使用的是BCryptPasswordEncoder(就不贴源码了,有兴趣的同学可以追一追),这是可以自定义的配置类中配置即可,比如我这里是使用的这个NoOpPasswordEncoder,是直接比较字符串:如下图

image-20211011195859588

接着往下走,这两个检查对应:

image-20211011143709328

image-20211011143813800

先看看DefaultPreAuthenticationChecks类要验证什么内容:

image-20211011144110391

再看看DefaultPostAuthenticationChecks

image-20211011144251707

如果验证都通过了会把这个用户的验证信息保存到缓存

image-20211011144526624

最后,执行身份验证成功的方法:

image-20211011144611373

image-20211011191441575

这个令牌构造器,是会将Authenticated设置为true的

再往下其实也没什么了:

image-20211011201849141

后续成功或者失败的操作好像大都和配置相关了,比如remberMe啊、成功处理啊、包括上图的sessionStrategy,大家有兴趣可以自行研究一下,在此不做深追了👵头发没了都

image-20211011202211096

4.四号选手SecurityContextPersistenceFilter

差点忘了。。。。

其主要代码:

image-20211011205732710

其大概意思,在我的理解:先从security上下文持有者(SecurityContextHolder)那里拿到内容,然后清空持有者的内容,并将取出的内容保存到security上下文仓库中(SecurityContextRepository)。

在请求之前从配置的SecurityContextRepository获得的信息填充SecurityContextHolder,并在请求完成并清除上下文持有者后将其存储回存储库。(官方解释)

总结:我画了个图,希望能帮助理解

image-20211011221014047

这是比较粗略的(很多比较重要的类都没有写到),下面我把这个过程中主要的调用关系以图的形式展示出来:

image-20211011223208803

因为好几个重要的方法都是在其父类就写好了的,比如AbstractAuthenticationProcessingFilter里就定义了整个认证的流程,它是认证的总管!!

image-20211011223541107

,子类只是继承有,并且父类中是只读的,大概是安全起见。

这样调试就比较麻烦了,跳来跳去的。。。。。。。。。。。

好了,以上就是SpringSecurity的认证过程详解了,希望对你有帮助。

作者对其理解不是很深,也是气不过没学懂它才写下这篇博客。难免会出现错误,希望您能指正!!!🌂🌂🌂🌂🌂🌂🌂🌂🌂🌂🌂🌂🌂,终于写完了。

为了我的架构师
关注
  • 6
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
学习Spring Boot:(二十八)Spring Security 权限认证
追光者的博客
05-07 1万+
前言 主要实现 Spring Security安全认证,结合 RESTful API 的风格,使用无状态的环境。 主要实现是通过请求的 URL ,通过过滤器来做不同的授权策略操作,为该请求提供某个认证的方法,然后进行认证,授权成功返回授权实例信息,供服务调用。 基于Token的身份验证的过程如下: 用户通过用户名和密码发送请求。 程序验证。 程序返回一个签名的token 给客户端。 ...
SpringSecurity-身份认证原理
陈海龙的格物之路
09-14 867
如果你对SpringSecurity-身份认证原理还不了解,这篇文章可以满足你哦。
Spring Security(一)用户认证
最新发布
m0_74232531的博客
04-29 1595
Spring Security
Spring Security 源码解析(一)AbstractAuthenticationProcessingFilter
weixin_33881041的博客
03-21 891
# 前言 最近在做 Spring OAuth2 登录,并在登录之后保存 Cookies。具体而言就是 Spring OAuth2 和 Spring Security 集成。Google一下竟然没有发现一种能满足我的要求。最终只有研究源码了。 有时间会画个 UML 图。 # 一些基础知识 Spring Security 验证身份的方式是利用 Filter,再加上 Htt...
SpringSecurity AbstractAuthenticationProcessingFilter
Claroja
03-22 782
1.AbstractAuthenticationProcessingFilter从HttpServletRequest中创建Authentication Authentication的类型根据AbstractAuthenticationProcessingFilter的子类决定,比如: 1)UsernamePasswordAuthenticationFilter 创建一个UsernamePasswordAuthenticationToken 所以如果遇到不能认证的Token就会抛出异常 2.Authent.
Spring Security API: AbstractAuthenticationProcessingFilter
dengdeying的博客
12-22 873
文章目录AbstractAuthenticationProcessingFilterDeclaredClass Jdoc认证过程认证成功认证失败事件发布Session认证Method doFilterDeclaredMethod JdocMethod CodeMethod requiresAuthenticationDeclaredMethod JdocMethod CodeMethod atte...
spring security oauth2——AbstractAuthenticationProcessingFilter
疯子也是猖狂
01-13 740
AbstractAuthenticationProcessingFilter的作用 abstractAuthenticationProcessingFilter的职责也就非常明确——处理所有HTTP Request和Response对象,并将其封装成AuthenticationMananger可以处理的Authentication。并且在身份验证成功或失败之后将对应的行为转换为HTTP的Response。同时还要处理一些Web特有的资源比如Session和Cookie。总结成一句话,就是替Authent
话说Spring Security权限管理(源码详解
08-31
`AccessDecisionManager`是Spring Security授权流程的核心接口,它负责决定一个认证的用户是否被允许访问特定的受保护资源。`AccessDecisionManager`的`decide()`方法是授权过程的关键,它接收三个参数:`...
详解Spring Security进阶身份认证之UserDetailsService(附源码)-附件资源
03-02
详解Spring Security进阶身份认证之UserDetailsService(附源码)-附件资源
Spring Security 3多用户登录实现一
04-13
**Spring Security 3 多用户登录实现详解** Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java EE平台上的安全解决方案。在本文中,我们将深入探讨如何在Spring Security 3中实现...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue人事管理系统源码
08-12
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue人事管理系统详解》 在当前的互联网开发环境中,高效、稳定且易于维护的系统架构是至关重要的。本篇文章将详细解析一个基于SpringBoot2、MybatisPlus、...
SpringSecurity系列 - 07 认证入口:AbstractAuthenticationProcessingFilter 过滤器
你今天真好看呀
09-14 2225
UsernamePasswordAuthenticationFilter 过滤器:SpringSecurity 中默认的是表单登录格式,即用户在表单中输入用户名和密码进行登录,登录参数的提取在 UsernamePasswordAuthenticationFilter 过滤器中完成,UsernamePasswordAuthenticationFilter 是AbstractAuthenticationProcessingFilter 针对使用用户名和密码进行身份认证而定制化的一个过滤器。
Spring Security小教程 Vol 3. 身份验证的入口-AbstractAuthenticationProcessingFilter
weixin_34352005的博客
03-25 3061
前言 结合上一期我们介绍的AuthenticationManager为入口的身份验证的核心模块,我们这次讨论的是为了使SpringSecuritySpring Web项目提供支持,作为验证请求入口的。 第三期 Authentication核心简介 本期的任务清单 AbstractAuthenticationProcessingFilter的依赖组件; AbstractAuthenticatio...
Spring Security 之 AbstractAuthenticationProcessingFilter 源码解析
weixin_38982591的博客
05-27 5542
SpringSecuritySpring Web项目提供支持,AbstractAuthenticationProcessingFilte 作为验证请求入口的。 AbstractAuthenticationProcessingFilter 继承自 GenericFilterBean,而 GenericFilterBean 是 spring 框架中的过滤器类,实现了接口 javax.servlet.Filter。 public abstract class AbstractAuthentication.
spring security防止恶意登录
neweastsun的专栏
04-05 4610
spring security防止恶意登录 本文我们使用spring security提供一个基本的解决方案防止恶意登录。 简单地说,我们记录来自同一IP的登录失败次数,如果过设定的数量,在24小时内被阻止登录。 AuthenticationFailureEventListener 我们定义AuthenticationFailureEventListener,监听Authentica...
Spring Security 关键的几个Filter(上)
chitiguan0536的博客
12-05 452
虽然Spring Security有很多的拦截器,但是关键的拦截器其实并不多,本人通过查看源码和参照网上其他人的研究成功,大概总结出核心的Filter有如下几个(由于现在流行jwt格式的token认证,所以就不介绍session那块了)。 SecurityContextPersist...
Spring Security认证之登录用户数据获取
大后生大大大的博客
11-17 3208
AuthenticationSecurityContext、SecurityContextHolder
SpringBoot集成SpringSecurity(七)简单分析认证流程
xinshengdelei的专栏
03-31 849
认证流程 用户提交后,默认走用户密码认证过滤器UsernamePasswordAuthenticationFilter,其继承了一个抽象的认证过滤器AbstractAuthenticationProcessingFilter。 AbstractAuthenticationProcessingFilter的doFilter方法负责认证流程,其关键过程包括: UsernamePasswordAuthenticationFilter.attemptAuthentication方法,认证过程。 succ
Spring Security3源码分析(7)-UsernamePasswordAuthenticationFilter分析
Benjamin
09-11 1962
UsernamePasswordAuthenticationFilter过滤器对应的类路径为  org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter  实际上这个Filter类的doFilter是父类AbstractAuthenticationProcessingFilter的 
Spring Security 认证授权详解
09-16
Spring Security是一个在Java应用程序中提供身份验证和授权的框架。它通过使用各种身份验证和授权技术,帮助开发人员实现应用程序的安全性。 在Spring Security中,身份验证包括验证用户的身份以确保其是合法的,并且授权包括确定用户是否有权访问特定功能或资源。以下是Spring Security中的一些关键概念和用法: 1. 身份验证:Spring Security提供了许多身份验证机制,例如基于表单的身份验证、基于HTTP基本身份验证、基于LDAP的身份验证等。开发人员可以选择适合他们应用程序需求的身份验证机制。 2. 授权:Spring Security使用许可(Permission)和角色(Role)的概念来控制访问权限。可以使用特定的注解或编程方式将这些权限和角色应用到方法或URL上。 3. 认证和授权流程:Spring Security认证和授权过程中使用了一系列的过滤器和提供者。它们分别负责处理身份验证和授权的不同方面。开发人员可以根据需要定制这些组件来满足自己的应用程序需求。 4. AccessDecisionManager:这是Spring Security中的一个重要组件,用于决定用户是否有权限访问特定的资源或功能。开发人员可以实现自己的AccessDecisionManager来根据自己的逻辑进行权限决策。 5. UserDetails:在Spring Security中,用户信息通过UserDetails接口进行封装。开发人员可以根据自己的需求实现自定义的UserDetails接口,并提供用户的身份验证和授权信息。 6. 匿名认证Spring Security支持为匿名用户建立一个匿名Authentication对象。这样,无需再对匿名用户进行额外的验证,可以直接将其当作正常的Authentication对象来使用。 综上所述,Spring Security提供了全面的身份验证和授权机制来保护应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

为了我的架构师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值