Spring Security认证过程源码分析

最新推荐文章于 2024-07-08 16:53:33 发布
最新推荐文章于 2024-07-08 16:53:33 发布
阅读量355 收藏 2
点赞数
分类专栏: spring 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sililiu/article/details/121866516
版权

Spring Security 认证

Spring Security 是一个基于过滤器链来提供认证和授权功能的框架,本文主要分析其中的认证过程

过滤器链

过滤器链如下图所示,过滤器链中主要是第二部分用于进行认证。本文分析 UsernamePasswordAuthenticationFilter,它用于处理表单提交的登录请求。SecurityContextPersistenceFilter 主要用于从请求读取或向响应装入认证信息 securityContext
oow6Jg.png

认证处理流程

oItEuT.png

认证用户名和密码

UsernamePasswordAuthenticationFilter 的 attemptAuthentication 方法处理认证

@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
      throws AuthenticationException {
   
   if (this.postOnly && !request.getMethod().equals("POST")) {
   
      throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
   }
   String username = obtainUsername(request);
   username = (username != null) ? username : "";
   username = username.trim();
   String password = obtainPassword(request);
   password = (password != null) ? password : "";
   UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
   // 向token中添加一些详细信息
   setDetails(request, authRequest);
   return this.getAuthenticationManager().authenticate(authRequest);
}
  1. 当用户在登录页面输入用户名和密码后,进入 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 类的 attemptAuthentication 方法。这个方法会读取请求中的用户名和密码,并生成 UsernamePasswordAuthenticationToken 这个用于认证的 token
  2. 调用 setDetails 方法,向 token 中添加一些详细信息,具体就是请求的 ip、session 的信息
  3. 调用 ProviderManager 中的 authenticate 进行认证工作
ProviderManager 的 authenticate 方法进行认证工作
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
   
   Class<? extends Authentication> toTest = authentication.getClass();
   AuthenticationException lastException = null;
   AuthenticationException parentException = null;
   Authentication result = null;
   Authentication parentResult = null;
   int currentPosition = 0;
   int size = this.providers.size();
   // 遍历所有的providers
   for (AuthenticationProvider provider : getProviders()) {
   
      if (!provider.supports(toTest)) {
   
         // 如果provider不支持认证此请求,跳过
         continue;
      }
      try {
   
         // 此provider进行认证
         result = provider.authenticate(authentication
最低0.47元/天 解锁文章
sililiu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity安全认证流程源码分析
aaa_bbb_ccc_123_456的博客
11-05 2321
基于SpringSecurity表单登陆进行源码分析 项目基础搭建略过 SpringSecurity安全认证基于一系列过滤器,表单提交,请求进入后端AbstractAuthenticationProcessingFilter过滤器doFilter方法 根据请求不同选择不同过滤器,表单提交选择UsernamePasswordAuthenticationFilter,之后具体流程为: 一步步分析,...
使用SpringSecurity3用户验证几点体会(异常信息,验证码)
EternalSnow
04-03 314
1. 自定义user-service后,封装自定义异常信息返回   通常情况下,抛UsernameNotFoundException异常信息是捕捉不了,跟踪源码后发现     try { user = retrieveUser(username, (UsernamePasswordAuthenticationToken) auth...
【已解决】authentication method 10 not supported
wufaqidong1的博客
07-20 4906
这个主要原因是认证方式使用的是scram-sha-256或md5,而客户端的Navicat的libpq.dll并不支持scram-sha-256和md5。在确保参数listen_addresses = ‘*’,并且pg_hba.conf支持远程连接的条件下,执行pg_ctl reload后,还是报错。编辑/var/lib/pgsql/13/data/postgresql.conf。编辑/var/lib/pgsql/13/data/pg_hba.conf。解决方案二:(navicat认证版本低)
Navicat连接PostgresSQL的时候报authentication method 10 not supported
咩嘢的博客
01-13 1万+
错误提示:authentication method 10 not supported的解决办法
PostgreSQL使用Navicat连接pgsql时出现authentication method 10 not supported的解决办法
热门推荐
qq_37746855的博客
08-09 2万+
解决办法 修改pgsql的安装目录下的pg_hba.conf文件 # TYPE DATABASE USER ADDRESS METHOD # "local" is for Unix domain socket connections only # local all all scram-sha-256 # IPv4 local co.
使用 Navicat连接 postgresql 时报错authentication method 10 not supported(配置conf仍无法解决)
一起来摸鱼
06-17 1万+
navicat连接 postgresql 报错 配置仍无法连接
spring security 项目配置源码
01-13
- 通过源码分析,了解Spring Security的拦截器如何工作,以及如何自定义安全规则。 - 查看`SecurityConfig`类,这是Spring Security的核心配置,它扩展了`WebSecurityConfigurerAdapter`并覆盖了一些关键方法。 -...
Spring Security 3 源码分析文档
11-02
通过阅读《Spring Security3.pdf》和《spring security3 源码分析.pdf》这两份文档,你可以对Spring Security 3的内部工作机制有更深入的理解,从而更好地在项目中运用这个强大的安全框架。同时,这也会帮助你在面临...
springsecurity源码(鉴权有缺陷)
05-20
Spring Security 是一个强大的安全框架,用于为 Java 应用程序提供认证和授权功能。然而,正如标题所提及的,Spring Security源码可能存在鉴权缺陷。这个话题涉及到多个知识点,包括Spring Security的基本架构、...
Spring security oauth源码
10-28
通过分析这些源码,我们可以深入理解OAuth的工作原理,以及Spring Security OAuth如何支持这些功能。同时,Sparklr2和Tonr2示例能帮助我们直观地看到OAuth流程的每个步骤,包括授权、令牌交换和资源访问。 在实际...
Spring_Security3_源码分析
06-22
总结,Spring Security 3的源码分析是一个深度学习的过程,涵盖了安全领域的多个方面。通过理解其内部工作机制,开发者可以更好地利用这一强大的框架,为应用程序提供安全的保障。同时,源码分析也能帮助开发者解决...
java bad credentials_javaSpring-security甚至在提交表单之前显示“Bad Credentials”
weixin_35062801的博客
02-13 303
我有以下弹簧安全代码,但它不起作用.当我打开登录页面并输入用户名/密码admin @myproject.com / secret时,将显示以下错误消息.输入用户名/密码后,添加到地址?error = 1,即使我手动删除它并刷新页面消息也不行.控制台中没有显示任何内容.Your login attempt was not successful due toBad credentials.弹簧secu...
Spring Security 认证流程(源码分析)
qianhuan_的博客
07-15 341
一、认证处理流程说明 (1) 前端输入完用户名密码之后,会进入UsernamePasswordAuthenticationFilter类中去获取用户名和密码,然后去构建一个UsernamePasswordAuthenticationToken对象。 这个对象实现了Authentication接口,Authentication接口封装了验证信息,在调用UsernamePasswordAuthenticationToken的构造函数的时候先调用父类AbstractAuthenticationTok
通过Security设置白名单
weixin_51722520的博客
10-11 2229
请问请问
9.Spring security漏洞保护
EdSheeran的博客
03-21 8216
文章目录*漏洞保护**9.1CSRF攻击与防御**9.1.1CSRF简介**9.1.2CSRF攻击演示**9.1.3CSRF防御**令牌同步模式**`SameSite`**需要注意的问题**9.1.4源码分析**`CsrfToken`**`CsrfTokenRepository`**`CsrfFilter`**`CsrfAuthenticationStrategy`**9.2HTTP响应头处理**9.2.1缓存控制**`Cache-Control`**`Pragma`**`Expires`**9.2.2`X
基于Security+Redis+jjwt的登录流程
Fmy_fu的博客
06-20 194
基于Security,Redis,jwt的登录认证流程
最简单易懂的 Spring Security 身份认证流程讲解
weixin_33881050的博客
03-30 628
最简单易懂的Spring Security 身份认证流程讲解 导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确实非常繁琐,繁琐到让人生厌。讨厌也木有办法呀,作为JavaEE的工程师们还是要面对的,在开始之前,先打一下比方(比方好可怜): Spring Security 就像一个行政服务中心,如果我们去里面办...
Spring Security的Filter
最新发布
weixin_44263023的博客
07-08 695
如果你需要实现一些 Spring Security 没有提供的特定安全功能,你可以通过实现 javax.servlet.Filter 接口来创建自定义的过滤器,并使用 Spring Security 的 FilterRegistrationBean 或通过 Spring Security 的配置类将其添加到过滤器链中。
springsecurity源码分析
03-16
Spring Security 是一个基于 Spring 框架的安全框架,它提供了一系列的安全服务,包括身份认证、授权、攻击防护等。Spring Security源码分析可以帮助我们深入了解其实现原理,从而更好地使用和定制 Spring Security。在源码分析过程中,我们可以学习到 Spring Security 的核心组件、流程和设计思想,以及如何扩展和定制 Spring Security

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值