SpringSecurity的认证流程源码深入刨析

已于 2023-09-22 10:04:00 修改
阅读量252 收藏
点赞数
分类专栏: SpringSecurity 文章标签: spring springboot springcloud java 安全 安全架构
于 2023-09-22 09:55:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44444470/article/details/133089267
版权

环境

SpringBoot版本:2.7.14

流程图

在这里插入图片描述

默认的Filter

SpringSecurity的默认Filter地址:http://t.csdn.cn/YH838

常见的认证授权技术

1、基于表单的认证(Cookie & Session)
基于表单的认证并不是在 HTTP 协议中定义的,而是服务器自己实现的认证方式,安全程度取决于实现程度。一般用 Cookie 来管理 Session 会话,是最常用的认证方式之一。它的安全程度取决于服务器的实现程度,客户端在Cookie中携带认证信息,服务器解析并返回结果。
2、基于JWT(Json Web Token)的认证
App和服务端常用的认证方式,用户ID和密码传输到服务器上验证,服务器验证通过以后生成加密的JWT Token返回给客户端,客户端再发起请求时携带返回的Token进行认证。(多了个防篡改)
3、Http Basic 认证
最早的 Http 认证方式,用户 ID 和密码以分号连接,经过 Base64 编码后存储到 Authorization 字段,发送到服务端进行认证 ;用户 ID/密码 以明文形式暴露在网络上,安全性较差。(如果没有使用 SSL/TLS 这样的传输层安全的协议,那么以明文传输的密钥和口令很容易被拦截)
4、Http Digest 认证
在 HttpBasic 的基础上,进行了一些安全性的改造,用户ID, 密码 , 服务器/客户端随机数,域,请求信息,经过 MD5 加密后存储到 Authorization 字段,发送到服务端进行认证;密码经过 MD5 加密,安全性比 Basic 略高。
5、其他认证方式(Oauth 认证,单点登陆,HMAC 认证)
通过特定的加密字段和加密流程,对客户端和服务端的信息进行加密生成认证字段,放在 Authorization 或者是消息体里来实现客户信息的认证。

引言

关于SpringSecurity启动是怎么加载、注册进Spring容器的;组件是怎么加载的可以看这两篇
SpringSecurity启动流程源码刨析地址:http://t.csdn.cn/vXbbD
SpringSecurity的请求分发执行流程源码刨析地址:http://t.csdn.cn/Yy1GB

认证流程概述

1、用户登录前,默认生成的Authentication对象处于未认证状态,登录时会交由Authentication Manager负责进行认证。
2、AuthenticationManager会将Authentication中的用户名/密码与UserDetails中的用户名/密码对比,完成认证工作,认证成功后会生成一个已认证状态的Authentication对象;
3、最后把认证通过的Authentication对象写入到SecurityContext中,在用户有后续请求时,可从Authentication中检查权限。

认证流程源码刨析

1、AbstractAuthenticationProcessingFilter
请求过来之后会经过一系列过滤器到这儿,这个过滤器是和认证授权直接相关的,它是个抽象的父类,内部定义了认证处理的过程。可以看到他在doFilter中调了attemptAuthentication方法;这个方法的实现是在UsernamePasswordAuthenticationFilter中。
在这里插入图片描述

2、UsernamePasswordAuthenticationFilter
跟进这个方法可以看到他的具体实现,进行了用户名、密码的校验;封装了UsernamePasswordAuthenticationToken对象;设置了details;
在这里插入图片描述

获取了AuthenticationManager对象,并且调用了authenticate方法进行认证;跟进此方法;
3、可以看到是进入了AuthenticationManager的实现类ProviderManager;调用了此实现类的authenticate方法;
在这里插入图片描述

4、通过循环遍历从providers中找到能支持此AuthenticationToken的AuthenticationProvider;如果找到就调用authenticate方法。如果找不到则调用父类的authenticate方法;
在这里插入图片描述

在这里插入图片描述

5、跟进authenticate方法;可以看到进入了AuthenticationProvider的实现类AbstractUserDetailsAuthenticationProvider;它在authenticate方法中判断了用户名是否在缓存中;如果不在会调用retrieveUser方法进行查询;
在这里插入图片描述

6、跟进retrieveUser方法;可以看到进入了继承自AbstractUserDetailsAuthenticationProvider的DaoAuthenticationProvider,在这个类中实现了retrieveUser方法;
在这里插入图片描述

7、可以看到在这个方法中通过UserDetailsService的loadUserByUsername方法获取了用户信息。后续可以自己实现此方法。
在这里插入图片描述

8、跟进此方法,可以看到获取成功之后会封装成User对象;如果没有获取到会抛出异常
在这里插入图片描述

9、继续回到AbstractUserDetailsAuthenticationProvider中执行preAuthenticationChecks.check方法;会在此方法中进行账号是否锁定、是否可用、是否过期等验证;
在这里插入图片描述

10、接下来会在additionalAuthenticationChecks方法中进行密码匹配;如果匹配失败会抛出异常
在这里插入图片描述

11、然后在createSuccessAuthentication方法中进行Authentication的重新封装;
在这里插入图片描述

12、回到ProviderManager通过eventPublisher.publishAuthenticationSuccess进行认证成功事件的发布。
在这里插入图片描述

13、然后回到AbstractAuthenticationProcessingFilter,通过successfulAuthentication方法设置SecurityContext
在这里插入图片描述

在这里插入图片描述

户伟伟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity源码解析认证授权流程
qq_45900875的博客
03-29 528
查找retrieveUser方法的实现,是在AbstractUserDetailsAuthenticationProvider的DaoAuthenticationProvider类中实现。(2))该框架在发现你在操作某个内容的时候,就会把你当前的权限拿出来和你操作的内容需要的权限进行对比一下,如果存在就可以操作,如果不存在就不能操作。权限控制(授权):说白了一点,就是你认证这个用户有这个权限或者有这个角色,就可以操作内容,如果没有这个权限或者没有这个角色,就不能操作内容。
SpringSecurity框架源码解读登录认证流程
coder1998的博客
07-23 360
很多小伙伴 对于SpringSecurity框架 只是知道 用的来,但是面试的时候,叫他或者她说一下 认证或者授权的原理或者流程是怎样的,突然,大部分人一下就开不了口,这样就导致面试的时候,被削减工资 。今天就给大家说说 SpringSecurity认证原理。 看一下认证流程流程图 : 其实 你把这个流程图看懂,基本认证源码你就知道了。 下面就来分析一下认证的原理 : 小伙伴 还记到 我在类上 配置的 @EnableWebSecurity这个注解吧,点击进去看 有个@EnableGlobalAu.
SpringSecurity教程】认证 1.Basic认证
terrybg
06-10 1万+
Basic 认证是在请求接口之前要输入账号密码,是简单的Http验证模式。本章主要描述:SpringBoot如何整合Basic认证、后端Okhttp和前端Vue Axios如何请求Basic认证的接口。pom.xml 启动类 控制层 Basic基本验证配置类。 测试 浏览器访问:http://localhost:8080/test输入用户名:terry,密码:terry123,即可访问接口。以Okhttp为例默认情况下请求会报错401无权限,如下: OkHttpTest整合Basic如下: 打印如下:...
Spring Security(九)-- 理解HTTP Basic 和基于表单的登陆身份验证
学习不止境的博客
10-21 3259
如果在身份验证失败的情况下,系统的客户期望响应中有特定的内容,就需要这样做。我们可能需要添加或删除一个或多个头信息。或者可以使用一些逻辑来过滤主体信息,以确保应用程序不会向客户端公开任何敏感数据。为了自定义失败身份验证的响应,可以实现AuthenticationEntryPoint。它的commence()方法会接收HttpServletRequest\HttpServletResponse和导致身份验证失败的AuthenticationException。
Spring SecuritySpring Security框架详解
DreamSun的博客
05-11 1221
Spring Security是一款基于Spring框架的认证和授权框架,提供了一系列控制访问和保护应用程序的功能,同时也支持基于角色和权限的访问控制,加密密码,CSRF防范,会话管理等多种功能。Spring Security可以轻松地与其他Spring框架,如Spring Boot和Spring MVC进行集成使用。
SpringSecurity 认证流程源码详细解读
m0_51431003的博客
05-09 1709
如果这些校验都通过,就会将 result 返回。没错,他就是在套娃!点进入去之后,我们来到了 AuthenticationManager 接口,但这只是一个接口,显然不是我们要的,具体的实现代码应该在实现类中,所以我们继续选择 ProviderManager ,他是 AuthenticationManager 接口的一个实现类。点进去,发现这是 AbstractUserDetailsAuthenticationProvider 接口中的方法,而且只有一个实现,那我们继续进入实现类实现的方法。
Spring全家桶-Spring Security之HTTP认证
HQ DevJ的专栏
05-31 1169
Spring全家桶-Spring Security之HTTP认证 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security之HTTP认证前言一、HTTP
SpringSecurity专题从入门到源码剖析(四) 核心配置
Crazy_liyang的博客
11-04 240
视频教程地址: https://www.bilibili.com/video/BV1kT4y1F7Tc 代码地址: https://gitee.com/crazyliyang/video-teaching 1. 核心配置类 WebSecurityConfigurerAdapter @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) // 注意 public class WebSecurityConfigure...
基于spring boot和spring security的媒资编目系统源码.zip
06-10
深入剖析基于Spring Boot与Spring Security的媒资编目系统》 在当今信息化时代,媒资管理系统对于媒体行业的运营至关重要。而Spring Boot和Spring Security作为Java领域的两大热门框架,为构建高效、安全的媒资...
Spring_Security3_源码分析
06-22
本文将深入剖析Spring Security 3的核心概念、架构以及源码实现,帮助读者理解其工作原理,提升在实际开发中的应用能力。 一、Spring Security概述 1.1 框架目标 Spring Security旨在为Java应用提供全面的安全管理...
详解Spring Security中的HttpBasic登录验证模式
08-25
HttpBasic登录验证模式是Spring Security实现登录验证最简单的一种方式,也可以说是最简陋的一种方式,这篇文章主要介绍了Spring Security的HttpBasic登录验证模式,需要的朋友可以参考下
spring security source code
03-02
深入剖析Spring Security源码Spring Boot集成》 在当今的Web开发中,安全问题始终是不可忽视的重要环节。Spring Security作为Spring生态系统中的一个强大安全框架,为开发者提供了丰富的功能来保护应用程序。...
爆破专栏丨Spring Security系列教程之Spring Security认证授权流程
关注我!带你一路 "狂飙" 到底!
10-22 498
前言 在上一章节中,一一哥带大家认识了Spring Security内部关于认证授权的几个核心API,以及这几个核心API之间的引用关系,掌握了这些之后,我们就能进一步研究分析认证授权的内部实现原理了。这样才真正的达到了"知其所以然"! 本篇文章中,壹哥带各位小伙伴进一步分析认证授权的源码实现,请各位再坚持一下吧...... 需要更多教程,微信扫码即可 ???????????? 别忘了扫码领资料哦【高清Java学习路线图】 和【全套学习视频及配套资料】 一. Spring Securi
SpringCloud学习(三)--Eureka开启Spring Security基于Http Basic安全认证
ShangHai0123的博客
08-20 2123
Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证. 如果EurekaServer(服务的发现与注册中心)无任何认证方式,那么任何客户端都可以进行注册并获取其他微服务的元数据. 所以给EurekaServer添加安全认证机制是有必要的. 本springcloud-demo项目中,eureka项目作为EurekaServer,provider项目和consumer项目均为EurekaClient. 所以在eureka配置好secu
Spring SecurityHTTP认证
大后生大大大的博客
12-05 602
HTTP Basic
Spring-security流程讲解01:basic模式
justleavel的博客
11-03 1093
【代码】Spring-security流程讲解01:basic模式。
Spring Security httpbasic的三种密码认证方式
jiangguochen2的博客
05-25 819
Spring Security 中,可以通过多种方式指定密码。
Spring Security 的 HttpBasic模式 活该被放弃
码猿技术专栏
07-05 706
今天来聊一聊spring security中的一种经典认证模式HttpBasic,在5.x版本之前作为Spring Security默认认证模式,但是在5.x版本中被放弃了,默认的是form login认证模式 HttpBasic模式的应用场景 HttpBasic登录验证模式是Spring Security实现登录验证最简单的一种方式,也可以说是最简陋的一种方式。 为什么是最简陋的?这种模式用来糊弄普通用户可以,但是稍微懂点技术的用户分分钟就可以将其破解,因为底层并未做任何的安全的设置,仅仅是将用户名:密码
spring security 5 (9)-httpBasic基本认证
热门推荐
JAVA博客
04-07 1万+
httpBasic是由http协议定义的最基础的认证方式。每次请求时,在请求头Authorization参数中附带用户/密码的base64编码,参考base64。这个方式并不安全,不适合在web项目中使用。但它是一些现代主流认证的基础,而且在spring security的oauth中,内部认证默认就是用的httpBasic。 httpBasic基本配置 注意,这里没有配formLogin,也...
java重点学习-spring
最新发布
qq_40453972的博客
09-03 613
AOP称为面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取并封装为一个可重用的模块,这个模块被命名为“切面”(Aspect),减少系统中的重复代码,降低了模块间的耦合度,同时提高了系统的可维护性。常见的AOP使用场景记录操作日志、●缓存处理Spring中内置的事务处理什么是AOP面向切面编程,用于将那些与业务无关,但却对多个对象产生影响的公共行为和逻辑,抽取公共模块复用,降低耦合你们项目中有没有使用到AOP。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

户伟伟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值