【无标题】AuthenticationManager初始化流程

最新推荐文章于 2024-04-18 07:32:03 发布
最新推荐文章于 2024-04-18 07:32:03 发布
阅读量432 收藏
点赞数
文章标签: java spring mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44414610/article/details/129790022
版权

前言

记录一次开发中遇到的问题,自定义了多个AuthenticationProvider,调试过程中居然找不到,发现ProviderManager的providers属性值中没有注入。经过排查,最终找到了原因,问题就出在AuthenticationManager的初始化上。自定义了多个AuthenticationProvider后,AuthenticationManager初始化出现了问题。

  1. 在Spring Security中认证功能主要由AuthenticationManager完成,但是这是一个接口,主要由其实现类ProviderManager认证完成,接下来主要介绍AuthenticationManager的创建初始化流程。
public interface AuthenticationManager {
    Authentication authenticate(Authentication var1) throws AuthenticationException;
}
  1. @EnableWebSecurity 注解, 主要看@EnableGlobalAuthentication注解
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE})
@Documented
@Import({WebSecurityConfiguration.class, SpringWebMvcImportSelector.class})
@EnableGlobalAuthentication
@Configuration
public @interface EnableWebSecurity {
    boolean debug() default false;
}
  1. @EnableGlobalAuthentication,主要导入AuthenticationConfiguration这个类,重要看着一点
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.TYPE})
@Documented
@Import({AuthenticationConfiguration.class})
@Configuration
public @interface EnableGlobalAuthentication {
}
  1. 接下来分析AuthenticationConfiguration,首先简单的了解一下过程
    AuthenticationConfiguration中收集所有GlobalAuthenticationConfigurerAdapter类型的Bean并保存到globalAuthConfigurers中;
    AuthenticationConfiguration中创建AuthenticationManagerBuilder类型的实例对象DefaultPasswordEncoderAuthenticationManagerBuilder;
    将globalAuthConfigurers里面的对象传递给AuthenticationManagerBuilder;
    执行AuthenticationManagerBuilder的build()方法完成AuthenticationManager的构建;
    WebSecurityConfigurerAdapter中调用AuthenticationConfiguration的getAuthenticationManager()方法得到构建的AuthenticationManager类似对象;
@Configuration
@Import({ObjectPostProcessorConfiguration.class})
public class AuthenticationConfiguration {
    private AtomicBoolean buildingAuthenticationManager = new AtomicBoolean();
    private ApplicationContext applicationContext;
    private AuthenticationManager authenticationManager;
    private boolean authenticationManagerInitialized;
    private List<GlobalAuthenticationConfigurerAdapter> globalAuthConfigurers = Collections.emptyList();
    private ObjectPostProcessor<Object> objectPostProcessor;

    public AuthenticationConfiguration() {
    }

    @Bean
    public AuthenticationManagerBuilder authenticationManagerBuilder(ObjectPostProcessor<Object> objectPostProcessor) {
        //构建AuthenticationManagerBuilder Bean对象
        return new AuthenticationManagerBuilder(objectPostProcessor);
    }

    @Bean
    public static GlobalAuthenticationConfigurerAdapter enableGlobalAuthenticationAutowiredConfigurer(ApplicationContext context) {
        return new EnableGlobalAuthenticationAutowiredConfigurer(context);
    }

    //初始化DaoAuthenticationProvider,UserDetailsService和PasswordEncoder(后面会详细讲)
    @Bean
    public static InitializeUserDetailsBeanManagerConfigurer initializeUserDetailsBeanManagerConfigurer(ApplicationContext context) {
        return new InitializeUserDetailsBeanManagerConfigurer(context);
    }

    //初始化AuthenticationProvider(后面会详细讲)
    @Bean
    public static InitializeAuthenticationProviderBeanManagerConfigurer initializeAuthenticationProviderBeanManagerConfigurer(ApplicationContext context) {
        return new InitializeAuthenticationProviderBeanManagerConfigurer(context);
    }

     //创建AuthenticationManager,该方法在WebSecurityConfigurerAdapter中被调用
    public AuthenticationManager getAuthenticationManager() throws Exception {
        if (this.authenticationManagerInitialized) {
            return this.authenticationManager;
        } else {
            AuthenticationManagerBuilder authBuilder = this.authenticationManagerBuilder(this.objectPostProcessor);
            if (this.buildingAuthenticationManager.getAndSet(true)) {
                return new AuthenticationManagerDelegator(authBuilder);
            } else {
                Iterator var2 = this.globalAuthConfigurers.iterator();

                while(var2.hasNext()) {
                    GlobalAuthenticationConfigurerAdapter config = (GlobalAuthenticationConfigurerAdapter)var2.next();
                    authBuilder.apply(config);
                }

                this.authenticationManager = (AuthenticationManager)authBuilder.build();
                if (this.authenticationManager == null) {
                    this.authenticationManager = this.getAuthenticationManagerBean();
                }

                this.authenticationManagerInitialized = true;
                return this.authenticationManager;
            }
        }
    }
     ==//获取GlobalAuthenticationConfigurerAdapter配置对象,后面AuthenticationManager初始化会使用到==
    @Autowired(required = false)
    public void setGlobalAuthenticationConfigurers(List<GlobalAuthenticationConfigurerAdapter> configurers) throws Exception {
        Collections.sort(configurers, AnnotationAwareOrderComparator.INSTANCE);
        this.globalAuthConfigurers = configurers;
    }
}

org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter#getHttp

    protected final HttpSecurity getHttp() throws Exception {
        if (this.http != null) {
            return this.http;
        } else {
            DefaultAuthenticationEventPublisher eventPublisher = (DefaultAuthenticationEventPublisher)this.objectPostProcessor.postProcess(new DefaultAuthenticationEventPublisher());
            this.localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);
            //创建AuthenticationManager,就是上面讲的在WebSecurityConfigurerAdapter中被调用
            AuthenticationManager authenticationManager = this.authenticationManager();
           this.authenticationBuilder.parentAuthenticationManager(authenticationManager);
            Map<Class<? extends Object>, Object> sharedObjects = this.createSharedObjects();
            this.http = new HttpSecurity(this.objectPostProcessor, this.authenticationBuilder, sharedObjects);
            if (!this.disableDefaults) {
                ((HttpSecurity)((DefaultLoginPageConfigurer)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)((HttpSecurity)this.http.csrf().and()).addFilter(new WebAsyncManagerIntegrationFilter()).exceptionHandling().and()).headers().and()).sessionManagement().and()).securityContext().and()).requestCache().and()).anonymous().and()).servletApi().and()).apply(new DefaultLoginPageConfigurer())).and()).logout();
                ClassLoader classLoader = this.context.getClassLoader();
                List<AbstractHttpConfigurer> defaultHttpConfigurers = SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
                Iterator var6 = defaultHttpConfigurers.iterator();

                while(var6.hasNext()) {
                    AbstractHttpConfigurer configurer = (AbstractHttpConfigurer)var6.next();
                    this.http.apply(configurer);
                }
            }

            this.configure(this.http);
            return this.http;
        }
    }
稳重的赵先生
关注
SpringBoot+Spring Security 自定义AuthenticationManager初始化源码分析
weixin_45114101的博客
02-22 4954
SpringBoot+Spring Security 自定义AuthenticationManager初始化源码分析
spring security Ⅲ—— authenticationManager.authenticate()验证流程
qq_45947664的博客
10-14 9954
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
SpringSecurity--权限管理架构介绍
qq_53868937的博客
07-13 1990
也有很多公司选择⾃定义权限,即⾃⼰开发权限管理。但是⼀个系统的安全,不仅 仅是登录和权限控制这么简单,我们还要考虑种各样可能存在的⽹络政击以及防彻 策略,从这个⻆度来说,开发者自己实现安全管理也并⾮是⼀件容易的事情,只有 ⼤公司才有⾜够的⼈⼒物⼒去⽀持这件事情。
避坑指南(三):Spring Security Oauth2框架如何初始化AuthenticationManager
银河架构师的博客
01-13 8072
说明 顾名思义,即为“身份认证管理器”, 说白了,就是各种类型登录方式、或者Authentication(*AuthenticationToken)辅助认证Provider的管理对象。 比如,如果只是采用表单登录认证,那么完全可以使用默认的AuthenticationManager,认证用户势必要提供UserDetailsService、PasswordEncoder,如此一来,系统会根...
Spring Security配置AuthenticationManager
qq_44113347的博客
05-22 1847
Override总结一旦通过 configure 方法自定义 AuthenticationManager 实现 就回将工厂中自动配置 AuthenticationManager 进行覆盖一旦通过 configure 方法自定义 AuthenticationManager 实现 需要在实现中指定认证数据源对象 UserDetaiService 实例。
Security自定义全局AuthenticationManager
程序三两行
07-20 3276
security 自定义全局AuthenticationManager
Spring Security配置全局 AuthenticationManager
Leon_Jinhai_Sun的博客
05-06 6678
Topical Guide | Spring Security Architecture 默认的全局 AuthenticationManager @Configuration public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Autowired public void initialize(AuthenticationManagerBuilder builder) { //buil
Spring Security通过AuthenticationManager的逻辑实现多种认证方式.docx
07-04
Spring Security框架中,`AuthenticationManager`扮演着至关重要的角色,它是整个认证流程的核心组件。在上述描述中,提到了`AbstractAuthenticationProcessingFilter`,这是一个基础的Servlet Filter,专门用于...
AuthenticationManager
04-05
AuthenticationManager is a class in Spring Security framework that provides central authentication processing for Spring Security. It acts as an entry point to the Spring Security authentication ...
Spring Security 解析(二) —— 认证过程
hopelgl的博客
04-20 492
Spring Security 解析(二) —— 认证过程 在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring Security 、Spring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 项目环境: JDK1.8 Spr...
SpringSecurity用户密码验证过程
caijibaindashen的博客
04-27 5166
SpringSecurity过滤链当中的UsernamePasswordAuthenticationFilter负责登陆密码验证 AbstractAuthenticationProcessingFilter是UsernamePasswordAuthenticationFilter的父接口,接口当中就有一个this.getAuthenticationManager()方法,获取AuthenticationManager对象。 AuthenticationManager对象当中有一个方法:Authentica
微服务BUG集合
qq_61407171的博客
11-22 452
目录 一、公共工程设计及实现中常见BUG 二、Nacos注册中心实践中常见的BUG 三、基于Nacos实现服务发现与调用 四、 基于Feign方式的服务调用实践 五、Nacos配置中心应用实践 六、Sentinel 限流应用实践 一、公共工程设计及实现中常见BUG 1.项目单元测试失败,提示找不到@SpringBootConfiguration,例如: ...
Spring Security源码解析(五)
qq_40577332的博客
06-03 1163
Spring Security用户登录验证是如何实现的
Spring Security
kkkkk777的博客
10-13 170
Spring Security Spring Security是一个提供身份验证、授权和防止常见攻击的框架。 启动过程 以与Spring Boot整合来介绍 SecurityAutoConfiguration自动配置类 classpath路径中存在DefaultAuthenticationEventPublisher类时才加载,加载了一个DefaultAuthenticationEventPublisher类到容器中 导入SpringBootWebSecurityConfiguration(提供默认配
Spring Security账号密码认证源码解析(1)
最新发布
2401_84011132的博客
04-18 735
大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享,把Kafka的实现脉络展示在读者面前,帮助读者更好地研读Kafka代码。麻烦帮忙转发一下这篇文章+关注我《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。
Spring Security 中重要对象汇总
BASK2311的博客
11-30 1240
翻译为:抽象身份验证处理过滤器,这是一个抽象类,定义了认证处理的过程。是一个模板类。默认的实现为,根据用户名、密码进行身份验证,如果需要自定义身份验证,比如手机验证码登录,就需要继承该类。根据注释翻译了一下:为安全对象实现安全拦截的抽象类,干的事情说白点就是对未放行的资源,根据用户的权限来控制是否能访问的拦截器。由于这是一个抽象类,所以只定义了一些逻辑方法,具体执行都是子类去调用的。
security中配置多个AuthenticationManager
面朝大海,春暖花开
06-05 1万+
security中配置多个AuthenticationManager 基于spring-security4.2.x和security-oauth2.3.x 在使用Security配置Oauth2.0的时候需要多个authenticationManager来管理来自不同方向的认证管理,比如一个clientAuthenticationManager用来认证client_id和client_secr...
Spring Security之AuthenticationManager、ProviderManagerAuthenticationProvider用户认证源码分析
OceanSky的专栏
08-07 6270
Spring Security之AuthenticationManager、ProviderManagerAuthenticationProvider用户认证源码分析 AuthenticationManager类源码解析 public interface AuthenticationManager { Authentication authenticate(Authentication aut...
spring security 登录、权限管理配置
热门推荐
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值