【Spring Security OAuth2】- spring security - 认证流程源码级详解

于 2024-10-10 07:45:32 发布
阅读量280 收藏 9
点赞数 14
分类专栏: Spring Security OAuth2专题 文章标签: spring OAuth2 spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smart_an/article/details/142805016
版权

作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO

联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬

学习必须往深处挖,挖的越深,基础越扎实!

阶段1、深入多线程

阶段2、深入多线程设计模式

阶段3、深入juc源码解析


阶段4、深入jdk其余源码解析


阶段5、深入jvm源码解析

码哥源码部分

码哥讲源码-原理源码篇【2024年最新大厂关于线程池使用的场景题】

码哥讲源码【炸雷啦!炸雷啦!黄光头他终于跑路啦!】

码哥讲源码-【jvm课程前置知识及c/c++调试环境搭建】

​​​​​​码哥讲源码-原理源码篇【揭秘join方法的唤醒本质上决定于jvm的底层析构函数】

码哥源码-原理源码篇【Doug Lea为什么要将成员变量赋值给局部变量后再操作?】

码哥讲源码【你水不是你的错,但是你胡说八道就是你不对了!】

码哥讲源码【谁再说Spring不支持多线程事务,你给我抽他!】

终结B站没人能讲清楚红黑树的历史,不服等你来踢馆!

打脸系列【020-3小时讲解MESI协议和volatile之间的关系,那些将x86下的验证结果当作最终结果的水货们请闭嘴】

认证流程源码级详解

之前的课程都是实现spring给出的扩展钩子。比如:自定义登录页,自定义登录成功处理等;

但是是很碎片化的,在脑海中链接不起来,只知道该这样做;

本章节讲述源码。

  • 认证处理流程说明
  • 认证结果如何在多个请求之间共享
  • 获取认证用户信息

认证处理流程说明

202306181907237701.png

跟着这个流程和之前配置的地方,去一步一步的看源码;这个很重要!!

  • AuthenticationManager 管理所有的Provider,并选择适合的进行验证
  • AuthenticationProvider 验证提供者,可以自己写provider处理自己的业务场景逻辑

认证结果如何在多个请求之间共享

在认证成功的情况下,

    org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#successfulAuthentication
    
    SecurityContextHolder.getContext().setAuthentication(authResult);
    
    
    SecurityContext 默策略是一个 org.springframework.security.core.context.ThreadLocalSecurityContextHolderStrategy  对象,
    内部使用`ThreadLocal<SecurityContext>`来存储;

202306181907272582.png


上面的源码也就是上图右边部分; SecurityContext会
在同一个线程中可以通过这个context来获取到的。SecurityContextPersistenceFilter来获取;

202306181907308563.png

SecurityContextPersistenceFilter 所在的位置如下图

202306181907341524.png

网络编程模型好复杂啊。发起一个请求,有好几个请求进行,不只是要请的某一个地址。调试也很难调试出来。

获取认证用户信息

UserController中写api;

在前面分析了源码。所以这里可以使用SecurityContextHolder获取到当前的认证用户信息

    @GetMapping("/me")
    public Authentication getCurrentUser() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        return authentication;
    }
    
    // 这样写 spring 会注入
    @GetMapping("/me")
    public Authentication getCurrentUser(Authentication authentication) {
        return authentication;
    }

输出;

    {
        "authorities": [
            {
                "authority": "admin"
            }
        ],
        "details": {
            "remoteAddress": "0:0:0:0:0:0:0:1",
            "sessionId": "CB434B240B0B1810ED922C9D877F5842"
        },
        "authenticated": true,
        "principal": {
            "password": null,
            "username": "test001",
            "authorities": [
                {
                    "authority": "admin"
                }
            ],
            "accountNonExpired": true,
            "accountNonLocked": true,
            "credentialsNonExpired": true,
            "enabled": true
        },
        "credentials": null,
        "name": "test001"
    }

注意看,password是不会返回来的;
如果上面的信息太多了,也可以使用参数注解@AuthenticationPrincipal UserDetails userDetails 获取User的信息

spring默认的SavedRequestAwareAuthenticationSuccessHandler类很强悍;
在这里测试的时候发现了。 由于之前写的访问api会返回json串提示,而不是登录页面;

  1. 访问/user/me
  2. 被拦截301跳转到自定义处理认证请求/authentication/require
  3. 输出了json串
  4. 手动输入 imocc-signIn.html 登录页面
  5. 登录成功后自定义认证成功处cn.mrcode.imooc.springsecurity.securitybrowser.MyAuthenticationSuccessHandler#onAuthenticationSuccess
  6. 根据配置为跳转,再跳转会引发认证跳转的 /user/me

看上面的流程,中间经历了手动输入。但是还能正确的拿到 引发认证前的地址。这个是怎么做到的?(在一个请求下会发起好多不相干的获取请求,感觉好难)

这里还有一个问题:是存储在什么地方的呢?上面的过滤器只是会在登录的时候引发,登录认证成功之后,后续还可以拿到信息; 稍微跟了下源码,在认证之后再次访问的时候,会有好多过滤器,去拿认证信息。具体是怎么的流程没有看懂

smart哥
关注
专栏目录
Spring底层原理高进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 8092
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
Spring-Security(二)OAuth2认证详解(持续更新)
lbmydream的博客
06-06 1727
深入了解Spring Oauth2.0 认证流程及自定义扩展
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 946
Spring Security是解决安全访问控制的问题,就是认证和授权。Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
认证服务-SpringSecurityOauth2介绍
dreamsofa的专栏
11-09 553
OAuth2LoginAuthenticationFilter 和 OAuth2AuthorizationCodeGrantFilter区别在前者是针对登录,是 Spirng Security 认证的一个步骤,需要保存登录用户到回话中,而OAuth2AuthorizationCodeGrantFilter是一个独立功能的过滤器, 用于帮助完成AccessToken的获取, 两者都依赖于Spring SecurityOauth2功能支持的类。它与认证服务器,可以是同一台服务器,也可以是不同的服务器。
Spring Security Oauth2认证源码解析
alan_liuyue的博客
08-17 2509
本文开始从源码的层面,讲解一些Spring Security Oauth2的认证流程。本文较长,适合在空余时间段观看。且涉及了较多的源码,非关键性代码以…代替。 准备工作 首先开启debug信息: logging: level: org.springframework: DEBUG 可以完整的看到内部的运转流程。 client模式稍微简单一些,使用client模式获取tokenhttp://localhost:808...
微服务安全Spring Security Oauth2实战_spring-security-oauth2-authorization-server
baimao__Ch的博客
09-20 1468
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
搭建新版security-oauth2协议,流程代码详解源码分析
zzztimes的博客
07-05 1039
最近在学习搭建oauth2协议的开放平台,把搭建框架时的思路以及遇到的问题记录下来。
Spring Security Oauth2 授权服务器搭建及源码分析
山巅
10-12 982
理解OAuth 2.0 1、阮一峰:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html BEARER_TYPE
spring security OAuth2 客户端接入gitee
冬阳
09-12 1365
OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),并且在这个过程中无须将用户名和密码提供给第三方应用。通过令牌(token)可以实现这一功能,每一个令牌授权一个特定的网站在特定的时段内允许可特定的资源。0Auth让用户可以授权第三方网站灵活访问它们存储在另外一些资源服务器上的特定信息,而非所有内容。
spring-security-oauth2
03-17
Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
spring security oauth2 单点登录
08-12
**Spring Security OAuth2 单点登录详解** Spring Security OAuth2 是一个强大的安全框架,用于构建安全的、基于授权的Web应用程序。它提供了多种安全机制,包括认证、授权、单点登录(Single Sign-On, SSO)等。在...
Spring Cloud整合SpringSecurity OAuth2(全网最强)
热门推荐
web15185420056的博客
06-12 1万+
本文是梳理整合SpringCloud和SpringSecurity OAuth2的搭建流程!好久没撸SpringSecurity OAuth2这系列代码了,都快忘了,特写此文章梳理脉络!开干!!!微服务版本 SpringSecurity OAuth2版本 通过微服务版本限定后spring-security-oauth2-autoconfigure的最终版本自动适配为2.1.2刚开始我这里就不一次性把一大堆配置放上来,需要什么就写什么,不然到时候都搞不清那个配置是干嘛,有什么用的!这也是我写这个文章的缘由!授
RabbitTemplate与AmqpTemplate:Spring AMQP中的消息传递模板
qq_51321722的博客
10-05 597
Spring AMQP框架的核心接口,它定义了一套标准的AMQP操作,如发送和接收消息、声明队列和交换机等。这个接口是对AMQP协议的抽象,提供了一种面向对象的方式来操作AMQP协议。它基于RabbitMQ的Java客户端库实现,使得开发者可以通过Spring框架的依赖注入和配置机制来简化与AMQP消息队列系统的交互。而则是Spring AMQP为RabbitMQ提供的一个高消息操作模板。它实现了接口,并添加了一些针对RabbitMQ的特性和优化。不仅提供了与。
Spring Security】基于SpringBoot3.3.4版本②如何配置免鉴权Path
Java技术栈,分享不断学习、不断超越、不断积累的历程!
10-03 1290
[【Spring Security】基于SpringBoot3.3.4版本①整合JWT的使用教程](https://blog.csdn.net/friendlytkyj/article/details/142679120) 在这篇文章中,详细演示了使用最新版`Spring Boot`,完成一个微服务开发,并使用`Spring Security`组件完成登录认证,同时整合了`JWT`,使用的`RSA`公私钥签名、验签。 接下来继续讲解下一个业务场景:一个真实场景的微服务,难免会有一些请求`Path`不需要任
springboot实战学习(12)(优化更新用户基本信息接口)(Validation实体参数校验)
岁岁岁平安的博客
10-09 655
本篇博客主要是对用户模块的更新用户基本信息接口的代码的一个小优化(实体参数校验)。其中用到了Spring Validation参数校验框架提供的一些注解(如@NotNull、@NotEmpty、@Email、@Validated)去完成实体类对象的参数校验以及完成了功能的测试...
springboot 整合 rabbitMQ(2)
最新发布
WYH1233211234567的博客
10-09 780
解决重复消费问题,实现订阅者模式
Springboot3+druid+jasypt+application.yml配置文件数据库密码加密技术
没刮胡子的程序员专栏
10-09 116
开发环境我们经常把数据库密码直接明文暴露在配置文件中,但是在生产环境,出于安全考虑,必须对数据库密码进行加密。Jasypt是一个简单易用的Java加密工具库。
Spring
m0_74728220的博客
10-02 1229
不直接创建对象,而是由容器创建,并设定一个或多个标识,需要的时候通过Bean名字从容器中获取,这看上去是类似于EJB的服务查找,但是Spring真正的核心是对于依赖的处理,使用配置的方式注入依赖。以A、B、C三个类为例,B、C都是单例模式的类,A需要调用B、C类的方法,这样A就和B、C形成了依赖,如果B、C交由容器管理,A虽然和容器产生依赖,但是依赖程度降低了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值