【无标题】

最新推荐文章于 2022-10-08 17:32:53 发布
最新推荐文章于 2022-10-08 17:32:53 发布
阅读量224 收藏
点赞数
分类专栏: 笔记 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44945923/article/details/122948920
版权

formLogin的方式,指定登录接口url以及登陆成功后的handler,handler类把token返回给前端

        http.formLogin()
                .loginProcessingUrl("/api/login")
                .successHandler((httpServletRequest, httpServletResponse, authentication) -> {
                    httpServletResponse.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
                    String username = httpServletRequest.getParameter("username");
                    String password = httpServletRequest.getParameter("password");

                    log.info("登录成功, 用户名:{}, 密码:{}", username, password);

                    //设置cookie 24小时过期
                    HttpSession session = httpServletRequest.getSession();
                    session.setMaxInactiveInterval(60 * 60 * 24);

                    httpServletResponse.getWriter().write(JSONUtil.toJsonStr(ResponseResult.success(session.getId())));
                })

大致流程:

1、先在 AbstractAuthenticationProcessingFilter 中的requiresAuthentication方法判断当前请求是不是登录请求(SecurityConfiguration里面配置的formLogin的路径)

2、是登录请求的话,然后在这个类UsernamePasswordAuthenticationFilter的attemptAuthentication方法里面调用UsernamePasswordAuthenticationToken的二参构造把usernamepassword传到UsernamePasswordAuthenticationToken对象中(principal就是username,credentials就是password),这个时候还是未认证成功的状态,然后调用authenticate方法进行登录认证

UsernamePasswordAuthenticationToken authenticationToken = 
new UsernamePasswordAuthenticationToken(username, password);

this.getAuthenticationManager().authenticate(authRequest);

3、authenticate方法由子类ProviderManager来实现,子类根据传递的参数类型选择对应的provider执行

for (AuthenticationProvider provider : getProviders()) {
    if (!provider.supports(toTest)) {
		continue;
	}
    result = provider.authenticate(authentication);
}

4、自定义一个provider需要继承DaoAuthenticationProvider并且实现supports方法(authenticate方法也可以选择自己实现)

不重写authenticate方法的话,最终是调用AbstractUserDetailsAuthenticationProvider的authenticate方法

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				() -> this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));
		String username = determineUsername(authentication);
		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);
		if (user == null) {
			cacheWasUsed = false;
			try {
				user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException ex) {
				this.logger.debug("Failed to find user '" + username + "'");
				if (!this.hideUserNotFoundExceptions) {
					throw ex;
				}
				throw new BadCredentialsException(this.messages
						.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
			}
			Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
		}
		try {
			this.preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException ex) {
			if (!cacheWasUsed) {
				throw ex;
			}
			// There was a problem, so try again after checking
			// we're using latest data (i.e. not from the cache)
			cacheWasUsed = false;
			user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
			this.preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
		}
		this.postAuthenticationChecks.check(user);
		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}
		Object principalToReturn = user;
		if (this.forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}
		return createSuccessAuthentication(principalToReturn, authentication, user);
	}

5、其中retrieveUser方法调用的是DaoAuthenticationProvider的方法,最终是调用自己实现好的loadUserByUsername方法(实现UserDetailsService接口,重写该方法,根据用户名查询用户信息)

UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);

additionalAuthenticationChecks方法调用的也是DaoAuthenticationProvider的方法,比对密码的逻辑就在这里(也可以自己重写该方法),密码加密方式需要在SecurityConfiguration中指定,不指定的话默认使用的是bcrypt

@Override
protected void additionalAuthenticationChecks(UserDetails userDetails,
		UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
	if (authentication.getCredentials() == null) {
		this.logger.debug("Failed to authenticate since no credentials provided");
		throw new BadCredentialsException(this.messages
				.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
	}
	String presentedPassword = authentication.getCredentials().toString();
	if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
		this.logger.debug("Failed to authenticate since password does not match stored value");
		throw new BadCredentialsException(this.messages
				.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
	}
}

6、密码比对成功后将会调用createSuccessAuthentication方法,最终是调用了UsernamePasswordAuthenticationToken类的三参构造,这时才是认证成功的authentication对象

UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(principal,
      authentication.getCredentials(), this.authoritiesMapper.mapAuthorities(user.getAuthorities()));

7、上面是认证逻辑,认证成功之后在attemptAuthentication方法之后把登陆成功的用户信息写入SecurityContext

this.sessionStrategy.onAuthentication(authenticationResult, request, response);

8、然后在后面的SecurityContextPersistenceFilter中,通过这行SecurityContextRepository.saveContext方法保存session

this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());

最终是调用的setAttribute方法保存到数据库(JdbcSession)或者内存(MapSession)中去

httpSession.setAttribute(springSecurityContextKey, context);

9、最后调用登录成功后的处理类,把token返回给前端

10、第二次请求过来时,在请求头携带token,请求头的headerName需要自己指定

@Bean
public HttpSessionIdResolver httpSessionIdResolver() {
    return new HeaderHttpSessionIdResolver("access-token");
}

SecurityContextPersistenceFilter这个过滤器中,调用这行

SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);

HttpSessionSecurityContextRepository.loadContext方法

@Override
public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) {
	HttpServletRequest request = requestResponseHolder.getRequest();
	HttpServletResponse response = requestResponseHolder.getResponse();
	HttpSession httpSession = request.getSession(false);
	SecurityContext context = readSecurityContextFromSession(httpSession);
	if (context == null) {
		context = generateNewContext();
		if (this.logger.isTraceEnabled()) {
			this.logger.trace(LogMessage.format("Created %s", context));
		}
	}
	SaveToSessionResponseWrapper wrappedResponse = new SaveToSessionResponseWrapper(response, request,
			httpSession != null, context);
	requestResponseHolder.setResponse(wrappedResponse);
	requestResponseHolder.setRequest(new SaveToSessionRequestWrapper(request, wrappedResponse));
	return context;
}

通过request.getSession方法,根据请求头中的token获得session

想的太多做的太少
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security 入门学习笔记
qzonemen的专栏
12-06 1235
整个框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain类型是FilterChainProxy核心过滤器里面是过滤器链(列表),过滤器链的每个元素都是一组URL对应一组过滤器WebSecurity用来创建FilterChainProxy过滤器, HttpSecurity用来创建过滤器链的每个元素。关注两个东西:和框架的用法就是通过对进行配置框架用法是写一个自定义配置类,继承,重写几个方法就是的适配器对象 1、SpringSecurity主要配置详解 涉及到需要掌握和了解
Spring Security登录表单配置(3)
weixin_43831002的博客
08-02 2132
接下来,我们在resources/static目录下创建一个login.html页而,这个是我们自定义的登录页面:查看代码这个logmt.html中的核心内容就是一个登录表单,登录表单中有三个需要注意的地方,login.html定义好之后,接下来定义两个测试接口,作为受保护的资源。当用户登录成功 后,就可以访问到受保护的资源。...
SpringSecurity案例之表单认证
凉茶铺的博客
07-16 1211
最重要的是继承这个抽象类,然后实现里面的方法/***Security配置类*//***http请求处理方法**/@Override/*http.httpBasic()//开启httpBasic认证//所有请求都需要认证后才能访问*/http.formLogin()//开启表单认证//所有请求都需要登录认证才能访问;}}问题一localhost将您重定向次数过多/***Security配置类*//***http请求处理方法**/......
Spring Security打造一个简单Login登录页面,实现登录+跳转+注销+角色权限功能,核心代码不到100行!
m0_59562547的博客
10-20 5311
#Spring Security简介 信息安全可以说是任何公司的红线,一般项目都会有严格的认证和授权操作。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,来自于Spring家族,专注于为 Java 应用程序提供身份验证和授权,它是保护基于Spring应用程序的事实上的行业标准。 就我理解和使用而言,Spring Security配置即用、功能强大、非常灵活,能将开发人员从大量安全协议和开发中解脱出来,更加专注于业务。 #Login登录页面设计思路和流程图: 认证和授
spring security loginProcessingUrl无效问题
wzq1915414095的博客
11-24 8831
近几天被一个朋友问道了一个loginProcessingUrl设置后无效的问题。 他的登陆页面的接口是 /loginpage 这个前端页面的登陆按钮请求的url是 /login/doLogin 前端页面代码如下 <form action="/login/doLogin" method="post"> <input type="text" name="username" /> <input type="password" name="password"/>
Qt无标题窗口
05-21
在本文中,我们将深入探讨如何使用Qt框架创建一个无标题窗口,这在界面设计和自定义标题栏美化中非常有用。我们将关注`framelesswidget.cpp`、`main.cpp`、`framelesswidget.h`等核心文件,理解它们在实现无标题窗口...
VC去掉'无标题'字样的方法.zip
11-21
在使用Visual C++进行编程时,我们经常会在创建新的窗口或者对话框时默认看到标题栏显示为“无标题”。这可能会对用户界面的美观性和专业性造成一定的影响。本资料包提供了一种方法来帮助开发者去掉这个“无标题”...
visual c++取掉对话框窗口的 -无标题 字样的方法
08-04
在Visual C++编程环境中,创建窗口应用程序时,默认情况下,窗口标题栏可能会显示“-无标题”字样,这通常是由于没有正确设置窗口类或没有自定义窗口标题所导致的。要解决这个问题,我们需要深入理解Windows API中的...
c#实现无标题栏窗口的拖动
09-05
本篇文章将详细讲解如何在C#中实现这种无标题栏窗口的拖动以及其他基本操作。 首先,为了实现无标题栏窗口的拖动,我们需要处理窗体的鼠标事件。窗体的`FormBorderStyle`属性应设置为`None`,这会去除窗体的边框和...
Android 全屏无标题栏的三种实现方法
09-02
在Android应用开发中,有时我们需要实现全屏无标题栏的效果,以提供更加沉浸式的用户体验。以下将详细介绍三种在Android中实现全屏无标题栏的方法。 ### 方法一:通过Java代码 在Activity的`onCreate()`方法中,在...
springsecurity登录 学习笔记
okludawei的博客
05-02 435
1、http.basic(),这就是一个弹出小窗口登录 2、http.formlogin();这是是弹出一个表单登录页面。 3、filterSecurityInterception,这是最后一个过虑器,检查以什么方式登录。黄色方块。 蓝色方块ExceptionTranslationFilter捕获最后一个过虑器的异常,如果发性异常, 就会导向2图中定义的登录页(http.basic() 或者http.formlogin()). ...
Spring Security的formLogin登录认证模式
DoubleC的博客
12-09 573
1.实现formLogin模式基础配置 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter{ @Override protected void configura(HttpSecurity http)throws Exception{ http.csrf().disable() .formLogin() .loginPage("/login.html")//用户未登录时,访问任何
SpringSecurity(三)个性化用户认证流程
加州暖阳的博客
03-01 506
个性化用户认证流程 一.自定义登录页面 1.创建html文件,(Springboot项目html文件路径在resources/static/imooc-signIn.html),该表单登录请求为post请求,具体url为 /authentication/form <form action="/authentication/form" method="post"> <table> <tr> <td>用户名:<
No4.搭建基本的授权码模式请求token(一):实现授权服务端的授权码模式操作
键上艺术家
10-08 2616
我们要做的是:一个第三方登录端,一个前后端分离的客户端;第三方登录端就相当于提供授权的开放平台,客户端就相当于使用开放平台的第三方应用; (只做前后端分离的后端部分) 前几篇文章我们只是使用OAuth2的密码模式,实现了一个微服务环境(还不算真正的微服务,就是实现不同服务之间的调用而已)下的sso单点登录,现在是要将这个sso单点登录系统作为一个开放平台,去开放授权码认证模式,让其他第三方应用可以通过它授权使用。
form-login属性详解
qq_37906614的博客
01-03 2013
form-login是spring security命名空间配置登录相关信息的标签,它包含如下属性:  1. login-page 自定义登录页url,默认为/login  2. login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action  3. default-target-url 默认登录成功后跳转的url  4. always-use-
spring security起步三:自定义登录配置与form-login属性详解
mark's technic world
09-22 1072
在上一篇博客spring security起步二:自定义登录页中我们实现了如何自定义登录页,但是还存在很多问题:  1.spring security如何对登录请求进行拦截  2.登录成功后如何跳转  3.登录失败后如何跳转 form-login属性详解 form-login是spring security命名空间配置登录相关信息的标签,它包含如下属性:  1. login-p
SpringSecurity前后端分离下对登录认证的管理
热门推荐
Twilight blog
08-26 2万+
&amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;nbsp;本案例基于springboot2.0.4,只说对登录验证的管理,不涉及权限的管理。因为学习新东西一下子太多,很容易乱。(后面还有对登录验证管理的源码分析) &amp;amp;amp;amp;amp;amp;nbsp; &am
'login.html?error' is not a valid redirect URL
程序小酱
11-26 5489
http.formLogin().loginPage("login.html").loginProcessingUrl("login").permitAll(); 修改为: http.formLogin().loginPage("/login.html").loginProcessingUrl("/login").permitAll();
Spring Security学习二 - 自定义Login方法
lee353086的专栏
09-19 1万+
自定义Spring Security的Login方法。
设置无标题 android
最新发布
05-02
在Android应用中,设置无标题是一种简洁和美观的设计方式,可以为用户提供更流畅的使用体验。以下是一些实现设置无标题的方法: 1. 在Android的Manifest文件中,找到对应Activity的标签,并添加”android:theme="@...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值