SpringSecurity详细执行流程

最新推荐文章于 2024-04-01 13:14:01 发布
最新推荐文章于 2024-04-01 13:14:01 发布
阅读量1.2k 收藏 20
点赞数 20
文章标签: spring java servlet 后端 开发语言 spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52066082/article/details/135758501
版权
本文详细解析了SpringSecurity中TokenAuthenticationFilter、AbstractAuthenticationProcessingFilter、TokenLoginFilter的工作原理,以及AuthenticationManager和AuthenticationProvider在身份验证中的角色,包括如何获取用户信息、密码验证和成功/失败处理过程。
摘要由CSDN通过智能技术生成

SpringSecurity执行详细步骤:

1.TokenAuthenticationFilter:通过解析请求头中的token获取用户信息实现认证的过滤器

(1)判断是否是登录请求,如果是登录请求,则直接跳过当前过滤器

(2)如果不是登录请求则获取authentication(已认证的authentication)

(3)如果获取不到authentication,则认为该用户没有权限

(4)将已认证的authentication放在上下文对象中

(5)从缓存中获取用户权限数据,将用户权限数据封装到UsernamePasswordAuthenticationToken中 特别需要注意:如果在TokenAuthenticationFilter中创建已认证的UsernamePasswordAuthenticationToken, 后续的用户认证操作将不会执行---UsernamePasswordAuthenticationFilter,如果在TokenAuthenticationFilter中创建的是未 认证的UsernamePasswordAuthenticationToken,SpringSecurity还会继续执行AuthenticationManager.authenticate()这个方法,用于用户认证

 2.AbstractAuthenticationProcessingFilter:UsernamePasswordAuthenticationFilter的父类,doFilter是他的具体实现方法

 (1)判断是否需要认证,如果不需要,则继续执行下一个过滤器--调用 requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。 如果需要验证,则会调用 attemptAuthentication(HttpServletRequest, HttpServletResponse) 方法。 有三种结果:

        1、返回一个 Authentication 对象.配置的 SessionAuthenticationStrategy 将被调用,然后调用 successfulAuthentication(HttpServletRequest,HttpServletResponse,FilterChain,Authentication) 方法。

        2、验证时发生 AuthenticationException。unsuccessfulAuthentication(HttpServletRequest, HttpServletResponse, AuthenticationException) 方法将被调用。

        3、返回Null,表示身份验证不完整。假设子类做了一些必要的工作(如重定向)来继续处理验证,方法将立即返回.假设后一个请求将被这种方法接收,其中返回的Authentication对象不为空。

(2)如果需要认证,则UsernamePasswordAuthenticationFilter会实现父类的attemptAuthentication()方法

  (3)将认证成功的 Authentication 对象保存到 HttpSession 中,以便后续的请求可以获取到用户的认证信息, 更新用户的会话状态,例如将会话标记为已认证、设置会话过期时间等。

  (4)如果发生异常调用登录失败的方法

  (5)如果发生异常调用登录失败的方法

(6)continueChainBeforeSuccessfulAuthentication:认证成功后,判断用户是否需要继续向下执行过滤器,continueChainBeforeSuccessfulAuthentication默认值为false,默认认证成功后,不会继续向下执行过滤器,如需继续向下执行,需自定义过滤器并设置continueChainBeforeSuccessfulAuthentication为true

(7)调用登录成功地方法

3.TokenLoginFilter:UsernamePasswordAuthenticationFilter的实现类,主要实现了认证方法:attemptAuthentication

认证成功地方法:successfulAuthentication 认证失败的方法:unsuccessfulAuthentication

(1)设置认证管理器:是定义 Spring Security 的过滤器如何执行Authentication 身份验证的 API .

(2)设置身份验证过滤器需要处理的请求路径和请求方式,默认情况下,Spring Security 对所有的请求都会进行身份验证,但并不是所有请求都需要进行身份验证,因此我们可以使用 setRequiresAuthenticationRequestMatcher 方法来指定哪些请求需要进行身份验证。如果不设置此参数,程序会进入到路径为 “/admin/system/index/login”的登录方法中,如果设置了这个参数,程序不会进入到路径为“/admin/system/index/login”的方法中, 在springSecurity中就进行了登录校验

(3)从request中取出用户登录信息

(4)将用户登录信息,封装到Usern5amePasswordAuthenticationToken中。

(5)调用AuthenticationManager的authenticate方法进行身份认证 

4.从源码可以看出AuthenticationManager接口只包含一个authenticate()方法,它的实现类主要包括以下5个

ProviderManager是AuthenticationManager最重要的一个实现类, ProviderManager委托给AuthenticationProviders列表。 每个AuthenticationProvider都有机会表明身份验证应该是成功的,失败的,或者表明它不能做出决定,并允许下游的AuthenticationProvider来做出决定。 如果配置的AuthenticationProviders中没有一个可以进行身份验证,那么身份验证将会失败,并会出现一个ProviderNotFoundException异常,这是一个特殊的AuthenticationException,表明ProviderManager没有被配置为支持所传入的身份验证类型。从源码中可以看到 ProviderManager委托给AuthenticationProviders列表,即providers为ProviderManager的一个list集合的成员变量。

NoOpAuthenticationManager 是 Spring Security 提供的一个身份验证管理器实现,它的作用是不进行任何身份验证操作。 在某些情况下,我们可能希望跳过身份验证过程,直接将用户认为是已经通过身份验证的。这可能是因为我们信任请求中携带的身份信息,或者我们已经在其他地方对用户进行了身份验证。 NoOpAuthenticationManager 提供了一种简单的方式来实现这一点。它会接受任何传入的 Authentication 对象,并假设该对象已经经过身份验证。它不会对凭证进行验证,也不会与任何用户存储或认证服务进行交互。

4.1 AuthenticationProvider的14个实现类,多个AuthenticationProviders可以被注入到ProviderManager中。

每个AuthenticationProvider执行特定类型的身份验证。 例如,DaoAuthenticationProvider支持基于用户名/密码的身份验证,而JwtAuthenticationProvider支持验证JWT令牌。

5.ProviderManager委托给AuthenticationProvider列表,AuthenticationProvider是一个接口,根据AuthenticationProvider列表(providers)循环调用authenticate方法,进行检测;
6.AbstractUserDetailsAuthenticationProvider:AbstractUserDetailsAuthenticationProvider 是 AuthenticationProvider 接口的一个常见实现。

它提供了一些通用的功能和模板方法,方便我们实现自定义的身份验证逻辑。

6.1 在该方法中首先从缓存中查询,如果没有通过username调用我们实现的接口UserDetailsService,获取数据库中的用户信息;然后进行数据库用户和输入用户数据的passwrod的比较
6.1.1 DaoAuthenticationProvider的retrieveUser() 方法:获取用户信息,一般需要我们自定义DaoAuthenticationProvider下的loadUserByUsername()方法
6.1.1.1:UserDetialsServiceImpl:UserDetailsService的实现类,实现loadUserByUsername()方法

(1)根据用户名去数据库中查询用户信息

(2)根据用户id去查询该用户的按钮权限

 6.2 校验密码是否正确

additionalAuthenticationChecks:DaoAuthenticationProvider的一个方法

presentedPasseord:前端传过来的用户密码

userDetails.getPassword():数据库中查出来的用户密码

如果两者密码不匹配,则抛出异常,如果密码相同,则执行下一步流程

6.2.1:CustomMd5PasswordEncoder:自定义的MD5加密算法
7.创建一个成功的Authentication:AbstractUserDetailsAuthenticationProvider下的authenticate方法
8.此时TokenLoginFilter的attemptAuthentication()方法,返回一个已认证的Authentication

9.此时AbstractAuthenticationProcessingFilter的doFilter()方法:authResult!=null,程序继续向下执行,最终调用认证成功的方法successfulAuthentication()

至此,SpringSecurity源码全部执行完毕。

IT老姚
关注
  • 20
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
浅析Spring Security登录验证流程
08-25
Spring Security登录验证流程是Spring Security框架中最核心的部分之一,本文将详细介绍Spring Security登录验证流程的源码解析,通过源码讲解登录验证流程,具有很高的参考价值。 一、登录认证基于过滤器链 ...
SpringSecurity原理和机制
weixin_45984552的博客
07-24 2137
以后每当有请求到来时,SpringSecurity就会先从Session中取出⽤户登录数据,保存到SecurityContextHolder中,⽅便在该请求的后续处理过程中使⽤,同时在请求结束时将SecurityContextHolder中的数据拿出来保存到Session中,然后将SecuritySecurityContextHolder中的数据清空。身份认证,就是判断⼀个⽤户是否为合法⽤户的处理过程。在的架构设计中,认证和授权是分开的,⽆论使⽤什么样的认证⽅式。...
SpringSecurity认证流程详解【深入源码】
最新发布
m0_74221471的博客
04-01 870
SpringSecurity认证流程详解
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 1933
Spring Security配置流程剖析
spring security执行流程
m0_38105216的博客
01-25 4346
启动的时候把userRespository注入进来 执行流程 首先我们配置SecurityConfiguration它继承WebSecurityConfiguraterAdpter 并且实现 configure是释放静态资源 还实现了configure(HttpSecurity http)主要是对于url请求资源的拦截处理 主要是通过UsernamePasswordAuthe...
SpringSecurity-入门(1)执行流程
weixin_45723088的博客
05-02 472
了解Security安全框架,首先要了解它的执行流程(过滤链) 在不引入Security依赖的情况下 下面这个接口就是一个没有任何限制的接口,可以任意的访问。 @RestController @RequestMapping(value = "/admi") public class AdminDemoController { @RequestMapping(value = "/demo") public String run() { return "successfu
spring-security的过滤器执行
如切如磋,如琢如磨,臻于至善。
01-25 1603
spring-security安全架构过滤器链执行过程
Spring SecuritySpring Security 过滤器链执行顺序(FilterOrderRegistration类)
杜小舟的博客
01-03 1416
我相信有很多同学都对 Spring Security 过滤器链的执行顺序表示疑惑,在框架中 FilterOrderRegistration 担任声明控制过滤器的执行顺序,有时候我们可能会自定义一些过滤器链插入到我们想要的位置,那么这时候就需要明白过滤器链的执行顺序,废话不多说,直接上表格。
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
spring security ouath2获取token(认证)流程图.pdf
08-26
Spring Security OAuth2 是一个强大的授权框架,用于保护Java应用程序的安全。在这个流程中,我们主要关注...这个过程是Spring Security OAuth2框架的核心部分,理解这个流程对于开发和维护安全的Web应用程序至关重要。
Spring Security 3应用的11个步骤.doc
08-30
1. Spring Security 11个步骤为应用程序添加安全防护 2. 历史与现状 自2003年出现的Spring扩展插件Acegi Security发展而来。 目前最新 版本为3.x,已成为Spring的一部分。 为J2EE企业应用程序提供可靠的安全性服务。
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Spring Security常用过滤器实例解析
08-24
下面我们将介绍 15 个常用的 Spring Security 过滤器实例,并对每个过滤器的作用和使用方法进行详细的解释。 1. org.springframework.security.web.context.SecurityContextPersistenceFilter ...
Spring Boot:一文搞懂 Spring Security 是如何工作的?
Java技术攻略的博客
03-02 307
Nullable@Nullable这里的 delegate 就是前面架构图中的 Bean Filter0。那 Spring 为什么要设计这样一层代理呢?从前面的分析过程中我们知道,向 ServletContext 中注册 Filter 的时间发生的其实非常早,甚至这个时候 ApplicationContext 都还没有实例化完毕,更别说其中的 Filter Bean了。
springSecurity 认证流程
yuzheh521的博客
01-01 523
认证流程是在UsernamePasswordAuthenticationFilter过滤器中处理的,具体流程如下所示: UsernamePasswordAuthenticationFilter源码 当前端提交的是一个 POST 方式的登录表单请求,就会被该过滤器拦截,并进行身份认证。该过滤器的 doFilter() 方法实现在其抽象父类 AbstractAuthenticationProcessingFilter中,查看相关源码: *** 上述的 第二 过程调用了UsernamePassword
springsecurity详解
热门推荐
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
SpringSecurity原理分析
Feverasa的博客
12-05 6437
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity的原理,SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity的基本原理 1、基本流程 ​ SpringSecurity的基本原理就是应用了Tomcat容
Spring security的运行流程图
ronny12345的专栏
04-22 1158
http://blog.csdn.net/u011511684/article/details/31394493
SpringSecurity实现流程
07-10
Spring Security执行流程大致如下: 1. 用户请求访问受保护的资源 2. Spring Security 拦截该请求,根据配置的认证和授权策略进行身份验证和授权。 3. 身份验证通过后,根据配置的安全策略对请求进行过滤,以确保请求的安全性。 4. 如果请求通过安全过滤,则允许请求访问受保护的资源。 5. 如果请求未通过安全过滤,则拒绝访问并可能返回错误信息。 希望对您有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值