【无标题】

最新推荐文章于 2022-07-16 15:21:50 发布
最新推荐文章于 2022-07-16 15:21:50 发布
阅读量227 收藏
点赞数
分类专栏: 笔记 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44945923/article/details/122948920
版权

formLogin的方式,指定登录接口url以及登陆成功后的handler,handler类把token返回给前端

        http.formLogin()
                .loginProcessingUrl("/api/login")
                .successHandler((httpServletRequest, httpServletResponse, authentication) -> {
                    httpServletResponse.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
                    String username = httpServletRequest.getParameter("username");
                    String password = httpServletRequest.getParameter("password");

                    log.info("登录成功, 用户名:{}, 密码:{}", username, password);

                    //设置cookie 24小时过期
                    HttpSession session = httpServletRequest.getSession();
                    session.setMaxInactiveInterval(60 * 60 * 24);

                    httpServletResponse.getWriter().write(JSONUtil.toJsonStr(ResponseResult.success(session.getId())));
                })

大致流程:

1、先在 AbstractAuthenticationProcessingFilter 中的requiresAuthentication方法判断当前请求是不是登录请求(SecurityConfiguration里面配置的formLogin的路径)

2、是登录请求的话,然后在这个类UsernamePasswordAuthenticationFilter的attemptAuthentication方法里面调用UsernamePasswordAuthenticationToken的二参构造把usernamepassword传到UsernamePasswordAuthenticationToken对象中(principal就是username,credentials就是password),这个时候还是未认证成功的状态,然后调用authenticate方法进行登录认证

UsernamePasswordAuthenticationToken authenticationToken = 
new UsernamePasswordAuthenticationToken(username, password);

this.getAuthenticationManager().authenticate(authRequest);

3、authenticate方法由子类ProviderManager来实现,子类根据传递的参数类型选择对应的provider执行

for (AuthenticationProvider provider : getProviders()) {
    if (!provider.supports(toTest)) {
		continue;
	}
    result = provider.authenticate(authentication);
}

4、自定义一个provider需要继承DaoAuthenticationProvider并且实现supports方法(authenticate方法也可以选择自己实现)

不重写authenticate方法的话,最终是调用AbstractUserDetailsAuthenticationProvider的authenticate方法

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				() -> this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));
		String username = determineUsername(authentication);
		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);
		if (user == null) {
			cacheWasUsed = false;
			try {
				user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException ex) {
				this.logger.debug("Failed to find user '" + username + "'");
				if (!this.hideUserNotFoundExceptions) {
					throw ex;
				}
				throw new BadCredentialsException(this.messages
						.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
			}
			Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
		}
		try {
			this.preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException ex) {
			if (!cacheWasUsed) {
				throw ex;
			}
			// There was a problem, so try again after checking
			// we're using latest data (i.e. not from the cache)
			cacheWasUsed = false;
			user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
			this.preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
		}
		this.postAuthenticationChecks.check(user);
		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}
		Object principalToReturn = user;
		if (this.forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}
		return createSuccessAuthentication(principalToReturn, authentication, user);
	}

5、其中retrieveUser方法调用的是DaoAuthenticationProvider的方法,最终是调用自己实现好的loadUserByUsername方法(实现UserDetailsService接口,重写该方法,根据用户名查询用户信息)

UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);

additionalAuthenticationChecks方法调用的也是DaoAuthenticationProvider的方法,比对密码的逻辑就在这里(也可以自己重写该方法),密码加密方式需要在SecurityConfiguration中指定,不指定的话默认使用的是bcrypt

@Override
protected void additionalAuthenticationChecks(UserDetails userDetails,
		UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
	if (authentication.getCredentials() == null) {
		this.logger.debug("Failed to authenticate since no credentials provided");
		throw new BadCredentialsException(this.messages
				.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
	}
	String presentedPassword = authentication.getCredentials().toString();
	if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
		this.logger.debug("Failed to authenticate since password does not match stored value");
		throw new BadCredentialsException(this.messages
				.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
	}
}

6、密码比对成功后将会调用createSuccessAuthentication方法,最终是调用了UsernamePasswordAuthenticationToken类的三参构造,这时才是认证成功的authentication对象

UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(principal,
      authentication.getCredentials(), this.authoritiesMapper.mapAuthorities(user.getAuthorities()));

7、上面是认证逻辑,认证成功之后在attemptAuthentication方法之后把登陆成功的用户信息写入SecurityContext

this.sessionStrategy.onAuthentication(authenticationResult, request, response);

8、然后在后面的SecurityContextPersistenceFilter中,通过这行SecurityContextRepository.saveContext方法保存session

this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());

最终是调用的setAttribute方法保存到数据库(JdbcSession)或者内存(MapSession)中去

httpSession.setAttribute(springSecurityContextKey, context);

9、最后调用登录成功后的处理类,把token返回给前端

10、第二次请求过来时,在请求头携带token,请求头的headerName需要自己指定

@Bean
public HttpSessionIdResolver httpSessionIdResolver() {
    return new HeaderHttpSessionIdResolver("access-token");
}

SecurityContextPersistenceFilter这个过滤器中,调用这行

SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);

HttpSessionSecurityContextRepository.loadContext方法

@Override
public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) {
	HttpServletRequest request = requestResponseHolder.getRequest();
	HttpServletResponse response = requestResponseHolder.getResponse();
	HttpSession httpSession = request.getSession(false);
	SecurityContext context = readSecurityContextFromSession(httpSession);
	if (context == null) {
		context = generateNewContext();
		if (this.logger.isTraceEnabled()) {
			this.logger.trace(LogMessage.format("Created %s", context));
		}
	}
	SaveToSessionResponseWrapper wrappedResponse = new SaveToSessionResponseWrapper(response, request,
			httpSession != null, context);
	requestResponseHolder.setResponse(wrappedResponse);
	requestResponseHolder.setRequest(new SaveToSessionRequestWrapper(request, wrappedResponse));
	return context;
}

通过request.getSession方法,根据请求头中的token获得session

想的太多做的太少
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security 入门学习笔记
qzonemen的专栏
12-06 1243
整个框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain类型是FilterChainProxy核心过滤器里面是过滤器链(列表),过滤器链的每个元素都是一组URL对应一组过滤器WebSecurity用来创建FilterChainProxy过滤器, HttpSecurity用来创建过滤器链的每个元素。关注两个东西:和框架的用法就是通过对进行配置框架用法是写一个自定义配置类,继承,重写几个方法就是的适配器对象 1、SpringSecurity主要配置详解 涉及到需要掌握和了解
Spring Security登录表单配置(3)
weixin_43831002的博客
08-02 2142
接下来,我们在resources/static目录下创建一个login.html页而,这个是我们自定义的登录页面:查看代码这个logmt.html中的核心内容就是一个登录表单,登录表单中有三个需要注意的地方,login.html定义好之后,接下来定义两个测试接口,作为受保护的资源。当用户登录成功 后,就可以访问到受保护的资源。...
SpringSecurity案例之表单认证
凉茶铺的博客
07-16 1216
最重要的是继承这个抽象类,然后实现里面的方法/***Security配置类*//***http请求处理方法**/@Override/*http.httpBasic()//开启httpBasic认证//所有请求都需要认证后才能访问*/http.formLogin()//开启表单认证//所有请求都需要登录认证才能访问;}}问题一localhost将您重定向次数过多/***Security配置类*//***http请求处理方法**/......
Spring Security打造一个简单Login登录页面,实现登录+跳转+注销+角色权限功能,核心代码不到100行!
m0_59562547的博客
10-20 5321
#Spring Security简介 信息安全可以说是任何公司的红线,一般项目都会有严格的认证和授权操作。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,来自于Spring家族,专注于为 Java 应用程序提供身份验证和授权,它是保护基于Spring应用程序的事实上的行业标准。 就我理解和使用而言,Spring Security配置即用、功能强大、非常灵活,能将开发人员从大量安全协议和开发中解脱出来,更加专注于业务。 #Login登录页面设计思路和流程图: 认证和授
spring security loginProcessingUrl无效问题
wzq1915414095的博客
11-24 8837
近几天被一个朋友问道了一个loginProcessingUrl设置后无效的问题。 他的登陆页面的接口是 /loginpage 这个前端页面的登陆按钮请求的url是 /login/doLogin 前端页面代码如下 <form action="/login/doLogin" method="post"> <input type="text" name="username" /> <input type="password" name="password"/>
Qt无标题窗口
05-21
在本文中,我们将深入探讨如何使用Qt框架创建一个无标题窗口,这在界面设计和自定义标题栏美化中非常有用。我们将关注`framelesswidget.cpp`、`main.cpp`、`framelesswidget.h`等核心文件,理解它们在实现无标题窗口...
VC去掉'无标题'字样的方法.zip
11-21
在使用Visual C++进行编程时,我们经常会在创建新的窗口或者对话框时默认看到标题栏显示为“无标题”。这可能会对用户界面的美观性和专业性造成一定的影响。本资料包提供了一种方法来帮助开发者去掉这个“无标题”...
visual c++取掉对话框窗口的 -无标题 字样的方法
08-04
在Visual C++编程环境中,创建窗口应用程序时,默认情况下,窗口标题栏可能会显示“-无标题”字样,这通常是由于没有正确设置窗口类或没有自定义窗口标题所导致的。要解决这个问题,我们需要深入理解Windows API中的...
c#实现无标题栏窗口的拖动
09-05
本篇文章将详细讲解如何在C#中实现这种无标题栏窗口的拖动以及其他基本操作。 首先,为了实现无标题栏窗口的拖动,我们需要处理窗体的鼠标事件。窗体的`FormBorderStyle`属性应设置为`None`,这会去除窗体的边框和...
Android 全屏无标题栏的三种实现方法
09-02
在Android应用开发中,有时我们需要实现全屏无标题栏的效果,以提供更加沉浸式的用户体验。以下将详细介绍三种在Android中实现全屏无标题栏的方法。 ### 方法一:通过Java代码 在Activity的`onCreate()`方法中,在...
Spring Security HttpSecurity.formLogin
Claroja
03-19 1094
http .formLogin() // .usernameParameter("username123")//自定义入参,需要和前端保持一致,默认是username // .passwordParameter("password123")//自定义入参,需要和前端保持一致,默认是password .loginPage("/login.html") .loginProcessi...
springsecurity登录 学习笔记
okludawei的博客
05-02 437
1、http.basic(),这就是一个弹出小窗口登录 2、http.formlogin();这是是弹出一个表单登录页面。 3、filterSecurityInterception,这是最后一个过虑器,检查以什么方式登录。黄色方块。 蓝色方块ExceptionTranslationFilter捕获最后一个过虑器的异常,如果发性异常, 就会导向2图中定义的登录页(http.basic() 或者http.formlogin()). ...
【Spring Security】入门篇-formLogin登录认证模式
qq_42980244的博客
08-14 3277
1.概述 spring security是能够在Web请求级别和方法调用级别处理身份验证(认证who are you?)和授权(批准what can you do?)的安全框架 spring security从两个角度解决安全问题 1.使用Servlet规范中的Filter保护Web请求并限制URL级别的访问; 2.使用spring Aop保护方法调用,借用动态代理和使用通知确保只有在具有相应权限的用户才能访问被保护的方法 今天先来明白一下身份验证,spring security身份验证有两种,H
SpringSecurity(三)个性化用户认证流程
加州暖阳的博客
03-01 506
个性化用户认证流程 一.自定义登录页面 1.创建html文件,(Springboot项目html文件路径在resources/static/imooc-signIn.html),该表单登录请求为post请求,具体url为 /authentication/form <form action="/authentication/form" method="post"> <table> <tr> <td>用户名:<
loginProcessingUrl()方法的含义
热门推荐
m0_37609060的博客
03-28 1万+
loginProcessingUrl()这个方法可以看作一个中转站,前台界面提交表单之后跳转到这个路径进行User DetailsService的验证,如果成功, defaultSuccessUrl()如果失败,那么转向failureUrl("/error.html"),我们需要注意的就是 <form action="/user/login" method="post"> //这里的action现需要和loginProcessingUrl()中的参数保持一致 同户名 <input
详解Spring Security的formLogin登录认证模式
字母哥博客
11-16 6949
一、formLogin的应用场景 在本专栏之前的文章中,已经给大家介绍过Spring Security的HttpBasic模式,该模式比较简单,只是进行了通过携带Http的Header进行简单的登录验证,而且没有定制的登录页面,所以使用场景比较窄。对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要Spring Security支持我们自己定制登录...
SpringSecurity+JWT自定义用户认证服务
遭不住啊
08-23 783
一、导入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> <dependency> <groupId>org.springframework.boot&lt
设置无标题 android
最新发布
05-02
在Android应用中,设置无标题是一种简洁和美观的设计方式,可以为用户提供更流畅的使用体验。以下是一些实现设置无标题的方法: 1. 在Android的Manifest文件中,找到对应Activity的标签,并添加”android:theme="@android:style/Theme.NoTitleBar"“属性。这样可以通过Android自带的主题去掉标题栏。 2. 使用自定义的主题,可以在样式表中添加以下代码: <style name="AppTheme" parent="Theme.AppCompat.NoActionBar"> <!-- ...其他样式... --> </style> 这种方式可以通过设置主题去除ActionBar和标题栏,同时保留其他布局元素。 3. 去掉代码中的setTitle()方法,这是一种最简单的方法,通过不设置Activity的标题来实现无标题。 以上就是三种常见的实现Android无标题的方式,开发者可以根据实际需求进行选择。值得注意的是,去除标题栏可能会影响用户的导航体验,因此在设计上需要考虑周全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值