Spring Security学习(七)——父子AuthenticationManager(ProviderManager)

最新推荐文章于 2024-05-14 14:36:38 发布
最新推荐文章于 2024-05-14 14:36:38 发布
阅读量1.4k 收藏 12
点赞数 25
分类专栏: Spring Security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sadoshi/article/details/136221885
版权
本文分析了SpringSecurity中父子AuthenticationManager的工作原理,展示了如何在不添加DaoAuthenticationProvider的情况下实现认证,以及如何自定义父ProviderManager,结合Redis进行用户验证。重点在于理解其内部机制和应用场景。
摘要由CSDN通过智能技术生成

前言

Spring Security学习(六)——配置多个Provider》有个很奇怪的现象,如果我们不添加DaoAuthenticationProvider到HttpSecurity中,似乎也能够达到类似的效果。那我们为什么要多此一举呢?从文章的效果来看确实是多此一举,但其实这里面暗藏玄机。也引出了本文的父子AuthenticationManager(ProviderManager)的话题。

探究父子AuthenticationManager(ProviderManager)体系

我们在Spring Security源码的ProviderManager(在org.springframework.security.authentication包中)中,在authenticate方法的以下位置断点调试:

 然后查看断点的变量:

目前程序准备处理MyProvider的authenticate方法,目前providers列表中有三个provider,分别是我们添加的MyProvider和DaoAuthenticationProvider,还有一个AnonymousAuthenticationProvider是Spring Security在HttpSecurity初始化时加进去的(参考HttpSecurityConfiguration的httpSecurity方法)。

重点来了,我们还看到parent,里面有个DaoAuthenticationProvider。parent的ProviderManager和里面的DaoAuthenticationProvider又是什么时候加进去的?这个源码上有点复杂,我也不准备大段大段的粘出来(大概率读者一下子很难看懂),提示一下读者,在HttpSecurityConfiguration的httpSecurity方法的这一行:

在蓝色标出的位置设置的父ProviderManager。这个父ProviderManager是AuthenticationConfiguration配置中创建InitializeUserDetailsBeanManagerConfigurer到Spring容器中,然后在Spring Security初始化时调用InitializeUserDetailsBeanManagerConfigurer的configue方法获取并设置ProviderManager,在父ProviderManager中设置DaoAuthenticationProvider也是类似的原理。

读者可以尝试删掉《Spring Securi习(六)——配置多个Provider》WebSecurityConfig中添加DaoAuthenticationProvider到HttpSecurity的代码,再断点调试一下。

父AuthenticationManager的作用

父子AuthenticationManager的机制是这样的:先对子AuthenticationManager中的AuthenticationProvider列表进行逐个匹配,若都无法匹配,则会对父AuthenticationManager中的AuthenticationProvider列表进行逐个匹配。

下面两张图是来自Spring Security官网文档的:

通过第二张图的多个子ProviderManager,我认为父AuthenticationManager的作用就是给多个子ProviderManager一个公共的匹配方式。

多个ProviderManager又是用在什么场景呢?根据Spring Security官网描述,是存在多个SecurityFilterChain,并且存在不同的登陆认证机制时使用。

自定义父ProviderManager

Spring Security学习(六)——配置多个Provider》中直接调用http.authenticationProvider是把Provider加入子ProviderManager中。如果想加入到父ProviderManager中要怎么做呢?

查看过源码后,往父ProviderManager加Provider是比较复杂(当然也不是做不到),所以本次我们的目标是自定义父ProviderManager,加入需要的Provider,然后覆盖原父ProviderManager。

自定义一个新的Provider,从redis中取出账号密码进行比对,新建MyRedisProvider:

@Data
public class MyRedisProvider extends AbstractUserDetailsAuthenticationProvider{

	private UserDetailsServiceImpl userDetailsServiceImpl;
	
	private PasswordEncoder passwordEncoder;
	
	private static final String USER_NOT_FOUND_PASSWORD = "userNotFoundPassword";
	
	private volatile String userNotFoundEncodedPassword;

	@Override
	protected UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			UserDetails loadedUser = userDetailsServiceImpl.loadUserByRedis(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}

	@Override
	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			this.logger.debug("Failed to authenticate since no credentials provided");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			this.logger.debug("Failed to authenticate since password does not match stored value");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}
	
	private void prepareTimingAttackProtection() {
		if (this.userNotFoundEncodedPassword == null) {
			this.userNotFoundEncodedPassword = this.passwordEncoder.encode(USER_NOT_FOUND_PASSWORD);
		}
	}

	private void mitigateAgainstTimingAttack(UsernamePasswordAuthenticationToken authentication) {
		if (authentication.getCredentials() != null) {
			String presentedPassword = authentication.getCredentials().toString();
			this.passwordEncoder.matches(presentedPassword, this.userNotFoundEncodedPassword);
		}
	}
}

和之前的MyProvider相比,仅仅是更改了第17行userDetailsServiceImpl.loadUserByRedis,从redis读取用户信息。当然在UserDetailsServiceImpl中我们也要加上loadUserByRedis方法:

@Component
public class UserDetailsServiceImpl implements UserDetailsService, InitializingBean{

	@Autowired
	private SysUserService userService;
	
	@Autowired
	private RedisTemplate redisTemplate;
	
	private static Map<String, SysUserEntity> userMap = new HashMap<String, SysUserEntity>();
	
	@Override
	public void afterPropertiesSet() throws Exception {
		SysUserEntity memorySysUser = new SysUserEntity();
		memorySysUser.setUsername("test");
		memorySysUser.setPassword("test###");
		userMap.put("test", memorySysUser);
		
		SysUserEntity redisSysUser = new SysUserEntity();
		redisSysUser.setUsername("admin");
		redisSysUser.setPassword("admin123###");
		redisTemplate.opsForValue().set("admin", redisSysUser);
	}
	
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		QueryWrapper<SysUserEntity> queryWrapper = new QueryWrapper<SysUserEntity>();
		queryWrapper.eq("username", username);
		queryWrapper.last("limit 1");
		SysUserEntity user = userService.getOne(queryWrapper);
		if(user == null) {
			throw new UsernameNotFoundException("username not found");
		}
		return (new LoginUser(user));
	}
	
	public UserDetails loadUserByMemory(String username) throws UsernameNotFoundException {
		if(StrUtil.isNotEmpty(username)) {
			SysUserEntity user = userMap.get(username);
			if(user == null) {
				throw new UsernameNotFoundException("username not found");
			}
			return (new LoginUser(user));
		}
		return null;
	}
	
	public UserDetails loadUserByRedis(String username) throws UsernameNotFoundException {
		if(StrUtil.isNotEmpty(username)) {
			SysUserEntity user = (SysUserEntity)redisTemplate.opsForValue().get(username);
			if(user == null) {
				throw new UsernameNotFoundException("username not found");
			}
			return (new LoginUser(user));
		}
		return null;
	}
}

上述代码除了增加loadUserByRedis方法,为了在初始化时设置数据,还实现了InitializingBean接口的afterPropertiesSet方法,当然这只是测试使用。

为了使用redis,我们在pom.xml中引入相关依赖:

		<dependency>
		    <groupId>org.springframework.boot</groupId>
		    <artifactId>spring-boot-starter-data-redis</artifactId>
		</dependency>
		<dependency>
			<groupId>org.apache.commons</groupId>
			<artifactId>commons-pool2</artifactId>
		</dependency>

另外要在application.yml文件增加redis配置:

spring:
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    driverClassName: com.mysql.cj.jdbc.Driver
    druid:
        url: jdbc:mysql://127.0.0.1:3306/security_test?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false&serverTimezone=Asia/Shanghai
        username: root
        password: 
  thymeleaf:
    prefix: classpath:/templates/
  redis:
    host: 127.0.0.1
    port: 6379
    password:
    lettuce:
      pool:
        max-active: 500
        max-idle: 300
        max-wait: 1000
        min-idle: 0
    database: 8

增加一个配置类RedisConfig:

@Configuration
public class RedisConfig {

	@Bean
	public RedisTemplate<String, Serializable> redisTemplate(LettuceConnectionFactory connectionFactory){
		RedisTemplate<String, Serializable> redisTemplate = new RedisTemplate<String, Serializable>();
		redisTemplate.setKeySerializer(new StringRedisSerializer());
		redisTemplate.setValueSerializer(new GenericJackson2JsonRedisSerializer());
		redisTemplate.setConnectionFactory(connectionFactory);
		return redisTemplate;
	}
}

这样就可以使用RedisTemplate处理序列化的内容。

最后修改一下WebSecurityConfig:

@EnableWebSecurity
public class WebSecurityConfig{
	
	@Bean
	public MyPasswordEncoder PasswordEncoder() {
		return new MyPasswordEncoder();
	}
	
	@Bean
	public AuthenticationManager createParentAuthenticationManager() {
		List<AuthenticationProvider> providerList = new ArrayList<AuthenticationProvider>();
		MyRedisProvider myRedisProvider = new MyRedisProvider();
		myRedisProvider.setPasswordEncoder(PasswordEncoder());
		UserDetailsServiceImpl UserDetailsServiceImpl = SpringUtils.getBean(UserDetailsServiceImpl.class);
		myRedisProvider.setUserDetailsServiceImpl(UserDetailsServiceImpl);
		providerList.add(myRedisProvider);
		AuthenticationManager parentAuthenticationManager = new ProviderManager(providerList);
		return parentAuthenticationManager;
	}

	@Bean
	public SecurityFilterChain formLoginFilterChain(HttpSecurity http) throws Exception {
		http
			.authorizeHttpRequests(authorize -> authorize
				.anyRequest().authenticated()
			)
			.formLogin(Customizer.withDefaults());
		MyProvider myProvider = new MyProvider();
		myProvider.setPasswordEncoder(PasswordEncoder());
		UserDetailsServiceImpl UserDetailsServiceImpl = SpringUtils.getBean(UserDetailsServiceImpl.class);
		myProvider.setUserDetailsServiceImpl(UserDetailsServiceImpl);
		http.authenticationProvider(myProvider);
		
		DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
		daoAuthenticationProvider.setPasswordEncoder(PasswordEncoder());
		daoAuthenticationProvider.setUserDetailsService(UserDetailsServiceImpl);
		http.authenticationProvider(daoAuthenticationProvider);
		
		AuthenticationManagerBuilder authenticationManagerBuilder = http.getSharedObject(AuthenticationManagerBuilder.class);
		ApplicationContext applicationContext = http.getSharedObject(ApplicationContext.class);
		AuthenticationManager parentAuthenticationManager = applicationContext.getBean(AuthenticationManager.class);
		authenticationManagerBuilder.parentAuthenticationManager(parentAuthenticationManager);
		return http.build();
	}
}

9-19行创建自定义的myRedisProvider,配置好加密器、userDetailsService、然后放到新建的ProviderManager中,通过@Bean注解注入到Spring容器中。39-42行从Spring Security上下文中获取9-19行注入Spring容器的ProviderManager并设置为父AuthenticationManager。 

注:之前看过有的文章说直接通过@Bean注入容器就可以了。但是我自己调试过不行,查看了源码父AuthenticationManager默认是new创建的,并没有从容器中获取的逻辑。如果读者有相关的逻辑和实现方式也请进行指正。

之后启动应用,访问/hello路径,然后尝试输入jake/123、test/test、admin/admin123,应该都能通过。

小结

本文主要讲述了父子AuthenticationManager的机制,并且实现了如何自定义父ProviderManager。其实对于一般的应用是没必要这么搞的,如Spring Security官网所说,主要用在多种不同认证体系下。所以本文主要目的还是学习其内部机制为主。

sadoshi
关注
  • 25
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
spring security 学习使用的静态文件
05-10
这个“spring security 学习使用的静态文件”可能包含了一些示例代码、配置文件、教程文档等资源,帮助初学者更好地理解并实践Spring Security。 首先,我们要明白Spring Security的基础架构。它基于过滤器链工作,...
Spring Security : 概念模型 ProviderManager 认证提供者管理器
Details Inside Spring
05-14 3989
ProviderManagerSpring Security提供的AuthenticationManager实现。其主要目的,也就是实现AuthenticationManager接口所定义的方法Authentication authenticate(Authentication authentication) throws AuthenticationException。 ProviderMan...
SpringSecurity6 多种登录方式配置自定义Provider不生效问题
最新发布
zzc23333的博客
05-14 254
这里面会判断是否AuthenticationManager是否已经存在,没有的话会去 Ioc容器里读取并且读取全局配置等,这里面authBuilder.build()里会默认提供一个DaoAuthenrizationProvider,但是没有读取到我们自己定义的Provirder。注: 上面在过滤器链中使用,http.authenticationProvider()的方式,在论坛中也有很多人使用这种方式,但是我不知道为啥我是失效的,待我研究debug会。因为以前也没有配置过多种验证方式,就一直这么配置了。
Spring Security API: ProviderManager
dengdeying的博客
12-23 369
文章目录ProviderManagerDeclaredClass JDOC事件发布Method authenticateDeclaredMethod JDOCMethod Code ProviderManager Declared package org.springframework.security.authentication; public class ProviderManager im...
AuthenticationManagerProviderManager
dianlin1577的博客
09-03 355
本篇主要讲述以下几点: 1、AuthenticationManagerProviderManagerAuthenticationProvider三者之间的关系 2、以UsernamePasswordAuthenticationFilter为例,如何使用AuthenticationProvider的子类AbstractUserDetailsAuthenticationProvide...
SpringSecurityProviderManager是如何产生的,如何与UsernamePasswordAuthenticationFilter光联在一起
a19900727的博客
03-24 2496
本文主要探讨ProviderManager是如何被创建的,并且如何和UserNamePasswordAuthenticationFilter过滤器关联在一起的。
Spring Security AuthenticationManagerBuilder
Claroja
03-19 343
参考: https://blog.csdn.net/u012702547/article/details/107530246 https://www.e-learn.cn/content/qita/2340647
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
Spring Security学习之路
02-06
在"Spring Security学习之路"这个主题中,我们将深入探讨如何使用这个框架来实现登录界面和其他安全相关的功能。 首先,Spring Security的核心是为应用程序提供认证(Authentication)和授权(Authorization)服务...
spring security oauth2.0 (讲义+代码)
03-10
总而言之,通过学习Spring Security OAuth2.0,开发者能够掌握一套完整的认证授权解决方案,从而为Web应用和API提供安全的访问控制。这个讲义结合代码的实践学习将帮助你深入理解并熟练运用这些概念。
spring security学习-3. 自定义数据库表结构.doc
06-03
在本篇关于“Spring Security学习-3. 自定义数据库表结构”的文档中,我们将探讨如何根据企业特定的需求来定制Spring Security的数据库表结构,并且如何初始化数据以及获取自定义的用户权限信息。Spring Security...
SpringSecurity 连载一
rizhaozhongtian的博客
10-05 411
关于 Spring Security学习连载。
Spring Boot学习(二十三)中使用Spring Security进行安全控制
筱进GG
02-03 393
我们在开发中会常常使用到安全配置,针对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现(如:Apache Shiro、Spring Security)。 我们介绍一下Spring Boot中如何使用Spring Security进行安全控制。 准备工作 首先,构建一个简单的Web工程 Web层实现请求映射 @Controller...
Spring Security】—— AuthenticationManagerBuilder
qq_33471737的博客
06-27 3426
官网地址 Spring Security Reference 版本:Version 5.5.0 AuthenticationManagerBuilder 的继承关系图 在前面了解过 WebSecurity、HttpSecurityAuthenticationManagerBuilder 这三个重要构建者公共的部分: |- SecurityBuilder |- AbstractSecurityBuilder |- AbstractConfiguredSecurityBuilder 公共的这部
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3308
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
spring security 系列 之 AuthenticationProvider
tian830937的专栏
08-13 4166
我们在使用spring sec的时候,一般会继承WebSecurityConfigurerAdapter类,然后选择覆盖protected void configure(AuthenticationManagerBuilder auth)和protected void configure(HttpSecurity http)方法 @Autowired private AuthenticationProviderService authenticationProvider; @Bean
Spring Security学习(六)——配置多个Provider(存在两种认证规则)
sadoshi的专栏
02-21 1934
Spring Security学习(五)——账号密码的存取》一文已经能满足一般应用的情况。但实际商业应用也会存在如下的情况:用户提交的账号密码,能在本地的保存的账号密码匹配上,或者能在远端服务认证中匹配上,就算认证通过。这种通常类似于单点登录,或者认证中心之类的。本文不去探索这种架构,只是单纯讨论如果存在两种认证规则下如何处理。多种认证方式使用Spring Security时有好几种处理方式。根据不同的情况,架构师考虑不同的解决方案。本文先从比较简单的方案说起。
Springboot笔记(17):集成SpringSecurity/狂神说
mingyuli的博客
03-12 2041
·
新版本springsecurity自定义AuthenticationManager
07-28
新版本的Spring Security中,可以通过继承WebSecurityConfigurerAdapter类来自定义AuthenticationManager。在自定义的WebSecurityConfigurer类中,可以重写configure(AuthenticationManagerBuilder builder)方法来配置AuthenticationManager。\[2\]这个方法可以用来设置自定义的UserDetailsService,以提供用户认证的逻辑。另外,可以通过重写authenticationManagerBean()方法来将自定义的AuthenticationManager在工厂中进行暴露,以便在其他地方进行注入使用。\[2\]这样,我们就可以在应用程序中使用自定义的AuthenticationManager来进行用户认证和授权操作。 #### 引用[.reference_title] - *1* *2* *3* [Spring Security配置全局 AuthenticationManager](https://blog.csdn.net/Leon_Jinhai_Sun/article/details/124598340)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值