Spring Security认证源码准备

最新推荐文章于 2023-07-06 10:25:11 发布
最新推荐文章于 2023-07-06 10:25:11 发布
阅读量260 收藏 2
点赞数
分类专栏: spring security 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/szm1160809039/article/details/108723523
版权

上一篇博客说完了Spring Security是如何构建这样一个安全拦截的体系的,这篇博客就来谈一谈是如何进行认证的。

和之前一样,和官方文档同步讲解,在梳理认证的流程之前,需要把其中的几个重要的角色先理明白了。

首先是SecurityContextHolder

如图,SecurityContextHolder中共有5个角色,SecurityContext,Authentication,Principal,Credentials,Authorities。

SecurityContextHolder就相当于一个存储安全信息的大容器,所有的认证后的信息都存储在SecurityContextHolder中,看代码,

这是SecurityContextHolder的初始化,SecurityContextHolder的实际实现都由SecurityContextHolderStrategy实现,默认情况下是一个使用ThreadLocal线程安全的strategy,如果希望能被子线程共享,可以指定InheritableThreadLocalSecurityContextHolderStrategy,如果是Swing客户端这种只会有一个认证的,那可以指定GlobalSecurityContextHolderStrategy,又或者是什么都不使用,自定义。

更改策略的方式,一个是指定系统参数,一个是通过调用setStrategyName静态方法设置。

private static void initialize() {
		//空的话,就使用 MODE_THREADLOCAL
		if (!StringUtils.hasText(strategyName)) {
			// Set default
			strategyName = MODE_THREADLOCAL;
		}

		//ThreadLocal线程安全
		if (strategyName.equals(MODE_THREADLOCAL)) {
			strategy = new ThreadLocalSecurityContextHolderStrategy();
		}

		//InheritableThreadLocal线程安全,可与子线程共享
		else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
			strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
		}
		//全局共享
		else if (strategyName.equals(MODE_GLOBAL)) {
			strategy = new GlobalSecurityContextHolderStrategy();
		}
		else {
			// Try to load a custom strategy

			//还可以加载自定义的策略
			try {
				Class<?> clazz = Class.forName(strategyName);
				Constructor<?> customStrategy = clazz.getConstructor();
				strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
			}
			catch (Exception ex) {
				ReflectionUtils.handleReflectionException(ex);
			}
		}

		initializeCount++;
	}

SecurityContextHolder是一个面向全局所有认证信息的容器,而SecurityContext就是相当于一个单独认证信息的容器,其中保存了一个认证后的信息。参考SecurityContextImpl

Authentication就是这个所谓的认证后的信息了,其中包括了principal用户信息,credentials密码信息,authorities角色权限信息。

然后是AuthenticationManager,这个类定义了authentication认证的方法,在这里面,Authentication被设置到SecurityContextHolder中,如果没有用Spring MVC的Filter,也可以不通过AuthenticationManager将Authentication设置到SecurityContextHolder中。

而AuthenticationManager是一个接口,其最主要的实现类就是ProviderManager

看图,ProviderManager将具体的认证交给了一个或多个AuthenticationProvider,每个AuthenticationProvider都可以认证并认证成功或者认证失败,或者交给下游的继续认证,认证成功返回一个Authentication,认证失败抛出异常,返回null则表示交给下一个AuthenticationProvider。

而如果所有的AuthenticationProvider都返回null时,还会去尝试parent进行认证,parent同样通常是ProviderManager

parent被多个ProviderManager共享

来看看代码中的实现,根据代码去验证之前说的,看WebSecurityConfigurerAdapter中的逻辑。

protected final HttpSecurity getHttp() throws Exception {
		if (http != null) {
			return http;
		}

         //获取AuthenticationEventPublisher
		AuthenticationEventPublisher eventPublisher = getAuthenticationEventPublisher();
		localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);

       //配置parent的AuthenticationManager,可覆盖实现自定义方法
		AuthenticationManager authenticationManager = authenticationManager();
		authenticationBuilder.parentAuthenticationManager(authenticationManager);

		Map<Class<?>, Object> sharedObjects = createSharedObjects();

		//新建HttpSecurity,并构建一个默认的HttpSecurity
		http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
				sharedObjects);
		if (!disableDefaults) {
			// @formatter:off
			http
				.csrf().and()
				.addFilter(new WebAsyncManagerIntegrationFilter())
				.exceptionHandling().and()
				.headers().and()
				.sessionManagement().and()
				.securityContext().and()
				.requestCache().and()
				.anonymous().and()
				.servletApi().and()
				.apply(new DefaultLoginPageConfigurer<>()).and()
				.logout();
			// @formatter:on
			ClassLoader classLoader = this.context.getClassLoader();
			//spi 加载 AbstractHttpConfigurer的实现类,加入HttpSecurity中
			List<AbstractHttpConfigurer> defaultHttpConfigurers =
					SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
			for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
				http.apply(configurer);
			}
		}
		//配置HttpSecurity,可自定义实现
		configure(http);
		return http;
	}

这里有一个authenticationBuilder,向authenticationBuilder中设置parent,并将authenticationBuilder放入HttpSecurity中。

	public HttpSecurity(ObjectPostProcessor<Object> objectPostProcessor,
			AuthenticationManagerBuilder authenticationBuilder,
			Map<Class<?>, Object> sharedObjects) {
		super(objectPostProcessor);
		Assert.notNull(authenticationBuilder, "authenticationBuilder cannot be null");
		setSharedObject(AuthenticationManagerBuilder.class, authenticationBuilder);
		for (Map.Entry<Class<?>, Object> entry : sharedObjects
				.entrySet()) {
			setSharedObject((Class<Object>) entry.getKey(), entry.getValue());
		}
		ApplicationContext context = (ApplicationContext) sharedObjects
				.get(ApplicationContext.class);
		this.requestMatcherConfigurer = new RequestMatcherConfigurer(context);
	}

而这个authenticationBuilder又是什么?

如下,是一个DefaultPasswordEncoderAuthenticationManagerBuilder

	public void setApplicationContext(ApplicationContext context) {
		this.context = context;

		ObjectPostProcessor<Object> objectPostProcessor = context.getBean(ObjectPostProcessor.class);
		LazyPasswordEncoder passwordEncoder = new LazyPasswordEncoder(context);

		authenticationBuilder = new DefaultPasswordEncoderAuthenticationManagerBuilder(objectPostProcessor, passwordEncoder);
		localConfigureAuthenticationBldr = new DefaultPasswordEncoderAuthenticationManagerBuilder(objectPostProcessor, passwordEncoder) {
			@Override
			public AuthenticationManagerBuilder eraseCredentials(boolean eraseCredentials) {
				authenticationBuilder.eraseCredentials(eraseCredentials);
				return super.eraseCredentials(eraseCredentials);
			}

			@Override
			public AuthenticationManagerBuilder authenticationEventPublisher(AuthenticationEventPublisher eventPublisher) {
				authenticationBuilder.authenticationEventPublisher(eventPublisher);
				return super.authenticationEventPublisher(eventPublisher);
			}
		};
	}

接着去HttpSecurity的beforeConfigure方法中,构建AuthenticationManager

@Override
	protected void beforeConfigure() throws Exception {
		//设置多个SecurityConfigurer之间共享的AuthenticationManager
		setSharedObject(AuthenticationManager.class, getAuthenticationRegistry().build());
	}

这部分逻辑在上一篇博客中都有提到,最后执行的是performBuild

	@Override
	protected ProviderManager performBuild() throws Exception {
		if (!isConfigured()) {
			logger.debug("No authenticationProviders and no parentAuthenticationManager defined. Returning null.");
			return null;
		}
		ProviderManager providerManager = new ProviderManager(authenticationProviders,
				parentAuthenticationManager);
		if (eraseCredentials != null) {
			providerManager.setEraseCredentialsAfterAuthentication(eraseCredentials);
		}
		if (eventPublisher != null) {
			providerManager.setAuthenticationEventPublisher(eventPublisher);
		}
		providerManager = postProcess(providerManager);
		return providerManager;
	}

这里会构建一个ProviderManager,并且将authenticationProviders列表以及parent放入

而在ProviderManager中,认证过程如下,对authenticationProviders列表依次进行认证,如果都返回null,再继续对parent进行认证,认证不通过抛出认证异常

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		boolean debug = logger.isDebugEnabled();

		//获取当前的AuthenticationProvider列表,依次执行具体认证
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				//如果认证成功,返回认证后的Authentication,否则返回null
				result = provider.authenticate(authentication);

				if (result != null) {
					//将authentication中的用户源信息拷贝到result中
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException | InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			} catch (AuthenticationException e) {
				lastException = e;
			}
		}

		//如果所有的AuthenticationProvider都没有认证成功,执行parent中的认证
		if (result == null && parent != null) {
			// Allow the parent to try.
			try {
				result = parentResult = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = parentException = e;
			}
		}

		//如果认证成功,删除其中的密钥等信息,发布成功事件并返回
		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			// If the parent AuthenticationManager was attempted and successful then it will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
			if (parentResult == null) {
				eventPublisher.publishAuthenticationSuccess(result);
			}
			return result;
		}

接着是AuthenticationEntryPoint,这个角色的功能就是当用户没有执行登录认证就来访问受保护的功能时,跳转到登录页面

public void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException {

		String redirectUrl = null;

		if (useForward) {

			if (forceHttps && "http".equals(request.getScheme())) {
				// First redirect the current request to HTTPS.
				// When that request is received, the forward to the login page will be
				// used.
				redirectUrl = buildHttpsRedirectUrlForRequest(request);
			}

			if (redirectUrl == null) {
				String loginForm = determineUrlToUseForThisRequest(request, response,
						authException);

				if (logger.isDebugEnabled()) {
					logger.debug("Server side forward to: " + loginForm);
				}

				RequestDispatcher dispatcher = request.getRequestDispatcher(loginForm);

				dispatcher.forward(request, response);

				return;
			}
		}
		else {
			// redirect to login page. Use https if forceHttps true

			redirectUrl = buildRedirectUrlToLoginPage(request, response, authException);

		}

		redirectStrategy.sendRedirect(request, response, redirectUrl);
	}

以上角色都弄明白之后,再接着就可以看AbstractAuthenticationProcessingFilter

当AuthenticationEntryPoint重定向之后,用户输入用户名密码,发起登录请求

AbstractAuthenticationProcessingFilter会对请求进行认证

认证的流程如图

首先会根据HttpServletRequest请求创建一个Authentication对象,接着将Authentication传入AuthenticationManager中进行认证。

如果认证失败SecurityContextHolder被清除,执行rememberMeServices.loginFail,调用failureHandler。

如果成功

sessionStrategy被调用,用于更新session,将Authentication放入SecurityContextHolder中,rememberMeServices.loginSuccess被调用,发布一个登录成功事件,最后调用successHandler。

不过AbstractAuthenticationProcessingFilter是一个抽象类,具体的实现还是需要子类去完成,下一篇博客就来说这个具体的认证过程。

 

奋斗的菜鸡
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring ...
新版Spring Security6.2案例 - Authentication用户名密码
最新发布
喝醉的鱼博客
12-12 2819
新版Spring Security6.2案例 - Authentication用户名密码表单登录
Spring Security源码学习——建造者之AuthenticationManagerBuilder
clyu的博客
09-18 697
前言 AuthenticationManager 规范了 Spring Security 的过滤器要如何执行身份认证器,并在身份认证器成功后返回一个经过认证的 Authentication 对象。AuthenticationManager 是一个接口,我们可以自定义它的实现,但是通常我们使用更多的是系统提供的 ProviderManager。 ...
Spring Security 过滤器链基础组件
Littlemotor
08-09 1931
Spring Security中的所有功能都是通过过滤器来实现的,这些过滤器组成一个完整的过滤器链。
Spring Security 解析(二) —— 认证过程
qq_22178703的博客
08-22 862
Spring Security 解析(二) —— 认证过程   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 项目环境: ...
Spring Security登录流程
记录,记录,记录
02-12 543
1、Authentication 存放用户信息类的顶层接口为Authentication,我们从这个类往下找,发现常用的实现类有UsernamePasswordAuthenticationToken。 我们对与之关联的5个类进行观察: Authentication AbstractAuthenticationToken UsernamePasswordAuthenticationToken GrantedAuthority SimpleGrantedAuthority 我们可以发现,
Spring Security源码(八):登录认证源码流程
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
05-05 2345
前两篇提到如何使用Spring Security去实现登录授权和接口认证,但是程序是怎么做到这些类之间的流程控制的呢,一起来了解下吧
SpringSecurity(十二)过滤器链分析(上)
陈橙橙
03-16 1917
前言 说到Spring Security的实现原理,大部分都知道是通过过滤器链。因为Spring Security中的所有功能都是通过过滤器链来实现的,这些过滤器组成一个完整的过滤器链。那么这些过滤器链是如何初始化的?我们之前说的AuthenticationManager又是如何初始化的?前面我们对Spring Security的一些核心过滤器以及组件有了一定的了解。由于初始化流程相对复杂,因此我们并没有一开始从这一块分析。 初始化流程分析 Spring Security初始化流程整体上来说还是很好理解的,
Spring security oauth源码
10-28
从官网下载的oauth2实例sparklr2与tonr2
spring security 项目配置源码
01-13
spring security 项目配置源码,项目是在eclipse启动的jdk1.8 tomcat1.8能正常运行,有助于学习.zip
Spring Security 认证处理流程源码
11-27
Spring Security 认证处理流程源码,Spring Security开发安全的REST服务视频源码,包含了rbac模块的页面, Spring Security开发安全的REST服务视频源码,包含了rbac模块的页面
SpringSecurity源码
05-29
SpringSecurity教程配套源码 专栏地址:http://blog.csdn.net/column/details/springsecurity.html
深入理解SpringSecurity中的Authentication信息与登录流程和过滤器的配置:addFilterBefore
m0_71777195的博客
07-06 2071
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。
Spring Security:身份验证处理AuthenticationManager介绍与Debug分析
kaven
01-21 4265
AuthenticationManager 处理Authentication请求,上一篇博客已经介绍了Authentication,Spring Security在进行身份验证时,会创建身份验证令牌,即Authentication实例,提供给AuthenticationManager接口的实现进行处理。 Spring Security:身份验证令牌Authentication介绍与Debug分析 public interface AuthenticationManager { /** * 尝试对传
spring security 源码分析
Jesse_cool的博客
10-17 337
表单登录 UsernamePasswordAuthenticationFilter /login Post 请求 会被这个过滤器拦截   如果为/login时 会经过 if (!this.requiresAuthentication(request, response)) 判断是否和设置的loginProcessingUrl一致 此时 由相应的Authenticati...
ccs船级社认证费用多少_如何办理msds认证/MSDS认证费用是多少
weixin_33967069的博客
12-15 2023
 MSDS亦可译为化学品安全技术说明书或化学品安全数据说明书。是化学品生产商和进口商用来阐明化学品的理化特性(如PH值,闪点,易燃度,反应活性等)以及对使用者的健康(如癌,致畸等)可能产生的危害等。不只危品,一些普货也要提供MSDS报告。承运人或货代看了MSDS后,决定是否接受托运。  一、哪些产品需要申请MSDS认证?  ? 金属合金、塑料品、化学品  ? 石油、燃料、汽油  ? 玩具、家具、化...
NGFW的protal认证实验
qq_62449917的博客
04-23 573
实验topo用到工具:ensp,kali,cloud云的网段是192.168.43.0;实验说明:建议不在真机上面配置直接用,因为真机不稳定。这里用kali当真机,ensp配置:这里我用的自建的网卡v8;
一文搞定 Spring Security 异常处理机制!
m0_71777195的博客
07-08 2491
今天来和小伙伴们聊一聊 Spring Security 中的异常处理机制。在 Spring Security 的过滤器链中,ExceptionTranslationFilter 过滤器专门用来处理异常,在 ExceptionTranslationFilter 中,我们可以看到,异常被分为了两大类:认证异常和授权异常,两种异常分别由不同的回调函数来处理,今天就来和大家分享一下这里的条条框框。Spring Security 中的异常可以分为两大类,一种是认证异常,一种是授权异常。认证异常就是 Authentic
Spring Security中的DaoAuthenticationProvider
szm1160809039的博客
10-12 4047
看一看这个DaoAuthenticationProvider是从哪里配置来的,这个得从WebSecurityConfigurerAdapter说起。 在WebSecurityConfigurerAdapter中,以下代码之前都看过,AuthenticationManager 的由来也都说明过,其中有一个parent被所有的子AuthenticationManager共享,而这个DaoAuthenticationProvider就是包括在parent中,AnonymousAuthenticationProv
springsecurity 源码
09-13
Spring Security 是一个用于身份验证和授权的框架,它的源码中包含了很多关于过滤器链和认证流程的实现。 在 Spring Boot 启动时,会加载 spring.factories 文件,该文件中包含了对 Spring Security 过滤器链的配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值