Spring Security中的DaoAuthenticationProvider

最新推荐文章于 2024-05-07 14:36:03 发布
最新推荐文章于 2024-05-07 14:36:03 发布
阅读量4.2k 收藏 8
点赞数 4
分类专栏: spring security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/szm1160809039/article/details/108990431
版权

上一篇博客中已经了解了,认证的核心是各种AuthenticationProvider,这篇博客就来了解一下其中使用的最多的一个DaoAuthenticationProvider。

在此之前,先来了解一下三个类。UserDetails、UserDetailsService以及PasswordEncoder。

通俗的说,UserDetails是用户信息的实体类,UserDetailsService自定义实现,根据用户名密码加载UserDetails,PasswordEncoder就是密码的加密类。

看图,DaoAuthenticationProvider通过UserDetailsService以及PasswordEncoder,将用户名密码替换成UserDetails和Authorities。

接着看一看这个DaoAuthenticationProvider是从哪里配置来的,这个得从WebSecurityConfigurerAdapter说起。

在WebSecurityConfigurerAdapter中,以下代码之前都看过,AuthenticationManager 的由来也都说明过,其中有一个parent被所有的子AuthenticationManager共享,而这个DaoAuthenticationProvider就是包括在parent中。

protected final HttpSecurity getHttp() throws Exception {
		if (http != null) {
			return http;
		}

         //获取AuthenticationEventPublisher
		AuthenticationEventPublisher eventPublisher = getAuthenticationEventPublisher();
		localConfigureAuthenticationBldr.authenticationEventPublisher(eventPublisher);

        //配置parent的AuthenticationManager,可覆盖实现自定义方法
		AuthenticationManager authenticationManager = authenticationManager();
		authenticationBuilder.parentAuthenticationManager(authenticationManager);

		Map<Class<?>, Object> sharedObjects = createSharedObjects();

		//新建HttpSecurity,并构建一个默认的HttpSecurity
		http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
				sharedObjects);
		if (!disableDefaults) {
			// @formatter:off
			http
				.csrf().and()
				.addFilter(new WebAsyncManagerIntegrationFilter())
				.exceptionHandling().and()
				.headers().and()
				.sessionManagement().and()
				.securityContext().and()
				.requestCache().and()
				.anonymous().and()
				.servletApi().and()
				.apply(new DefaultLoginPageConfigurer<>()).and()
				.logout();
			// @formatter:on
			ClassLoader classLoader = this.context.getClassLoader();
			//spi 加载 AbstractHttpConfigurer的实现类,加入HttpSecurity中
			List<AbstractHttpConfigurer> defaultHttpConfigurers =
					SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);
			for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
				http.apply(configurer);
			}
		}
		//配置HttpSecurity,可自定义实现
		configure(http);
		return http;
	}
	protected AuthenticationManager authenticationManager() throws Exception {
		//如果没有初始化过,执行方法
		if (!authenticationManagerInitialized) {

			//configure(AuthenticationManagerBuilder auth)
			//交给子类自定义
			configure(localConfigureAuthenticationBldr);

			//如果没有自定义过
			if (disableLocalConfigureAuthenticationBldr) {
				//使用默认的
				authenticationManager = authenticationConfiguration
						.getAuthenticationManager();
			}
			else {
				//否则使用自定义过的进行构建
				authenticationManager = localConfigureAuthenticationBldr.build();
			}
			authenticationManagerInitialized = true;
		}
		return authenticationManager;
	}

以上代码可以看出,这个parent如果不自定义的话,会使用默认的authenticationConfiguration,而这个如下是spring注入进来的

	@Autowired
	public void setAuthenticationConfiguration(
			AuthenticationConfiguration authenticationConfiguration) {
		this.authenticationConfiguration = authenticationConfiguration;
	}

接下来再看AuthenticationConfiguration 是怎么加到spring容器中的。

还是@EnableWebSecurity注解,注解了一个@EnableGlobalAuthentication,这个注解import了一个AuthenticationConfiguration。

//默认的情况获取AuthenticationManager
	public AuthenticationManager getAuthenticationManager() throws Exception {
		if (this.authenticationManagerInitialized) {
			return this.authenticationManager;
		}
		AuthenticationManagerBuilder authBuilder = this.applicationContext.getBean(AuthenticationManagerBuilder.class);
		if (this.buildingAuthenticationManager.getAndSet(true)) {
			return new AuthenticationManagerDelegator(authBuilder);
		}
         //放入三个configure,都在当前类中生成,GlobalAuthenticationConfigurerAdapter
		// InitializeUserDetailsBeanManagerConfigurer、InitializeAuthenticationProviderBeanManagerConfigurer
		for (GlobalAuthenticationConfigurerAdapter config : globalAuthConfigurers) {
			authBuilder.apply(config);
		}

		authenticationManager = authBuilder.build();

		if (authenticationManager == null) {
			authenticationManager = getAuthenticationManagerBean();
		}

		this.authenticationManagerInitialized = true;
		return authenticationManager;
	}

 而在这个AuthenticationConfiguration中,会生成如上的AuthenticationManager,这个就是parent。

而在这个AuthenticationManager种,设置了多个globalAuthConfigurers

	@Bean
	public static GlobalAuthenticationConfigurerAdapter enableGlobalAuthenticationAutowiredConfigurer(
			ApplicationContext context) {
		return new EnableGlobalAuthenticationAutowiredConfigurer(context);
	}

	@Bean
	public static InitializeUserDetailsBeanManagerConfigurer initializeUserDetailsBeanManagerConfigurer(ApplicationContext context) {
		return new InitializeUserDetailsBeanManagerConfigurer(context);
	}

	@Bean
	public static InitializeAuthenticationProviderBeanManagerConfigurer initializeAuthenticationProviderBeanManagerConfigurer(ApplicationContext context) {
		return new InitializeAuthenticationProviderBeanManagerConfigurer(context);
	}

可以看到,当前类中有这么三个Configurer,其中InitializeUserDetailsBeanManagerConfigurer中会生成DaoAuthenticationProvider,要注意的是,这里并不是在这个类中直接生成的,而是如下,先注入了一个InitializeUserDetailsManagerConfigurer,在InitializeUserDetailsManagerConfigurer中创建的。

Configurer的逻辑前几篇博客已经说明过了

@Override
	public void init(AuthenticationManagerBuilder auth) throws Exception {
		auth.apply(new InitializeUserDetailsManagerConfigurer());
	}
public void configure(AuthenticationManagerBuilder auth) throws Exception {
			if (auth.isConfigured()) {
				return;
			}
			//从spring中获取UserDetailsService,如果没有,直接返回
			//所以要执行下面的代码,必须要有UserDetailsService
			UserDetailsService userDetailsService = getBeanOrNull(
					UserDetailsService.class);
			if (userDetailsService == null) {
				return;
			}
           //从spring中获取PasswordEncoder
			PasswordEncoder passwordEncoder = getBeanOrNull(PasswordEncoder.class);
			
			UserDetailsPasswordService passwordManager = getBeanOrNull(UserDetailsPasswordService.class);

			//构建DaoAuthenticationProvider
			DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
			provider.setUserDetailsService(userDetailsService);
			if (passwordEncoder != null) {
				provider.setPasswordEncoder(passwordEncoder);
			}
			if (passwordManager != null) {
				provider.setUserDetailsPasswordService(passwordManager);
			}
			provider.afterPropertiesSet();

           //将provider放入AuthenticationManagerBuilder中
			auth.authenticationProvider(provider);
		}

到此,DaoAuthenticationProvider的由来就已经清晰了。

再看看逻辑,如下代码,逻辑和之前描述一致。

	protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			
			//调用UserDetailsService的loadUserByUsername方法,方法需要自定义
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}

结束!

奋斗的菜鸡
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自定义JAVA上下文,如何将自定义的DaoAuthenticationProvider加载到Spring上下文
weixin_32016817的博客
03-13 594
我有一个SecurityConfig类的java-config实现,它扩展了WebSecurityConfigurerAdapter。在这个类我想覆盖的方法“配置()”@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, proxyTarge...
Spring security登录过程逻辑详解
08-19
本文将详细介绍 Spring Security 登录过程的逻辑,通过示例代码对登录过程进行了详细的讲解,对学习或工作遇到的问题具有一定的参考价值。 一、Spring Security 登录过程概述 Spring Security 登录过程主要涉及...
Spring Security学习(七)——父子AuthenticationManager(ProviderManager)
sadoshi的专栏
02-24 1449
Spring Security学习(六)——配置多个Provider》有个很奇怪的现象,如果我们不添加DaoAuthenticationProvider到HttpSecurity,似乎也能够达到类似的效果。那我们为什么要多此一举呢?从文章的效果来看确实是多此一举,但其实这里面暗藏玄机。也引出了本文的父子AuthenticationManager(ProviderManager)的话题。Spring Security学习(六)——配置多个Provider
Spring Security账号密码认证源码解析
最新发布
H1767410的博客
05-07 805
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Spring-security-oauth2之DaoAuthenticationProvider
weixin_33881140的博客
03-13 1290
2019独角兽企业重金招聘Python工程师标准>>> ...
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
热门推荐
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security获取用户信息并进行密码校验,有在相关的Filter获取的,也有在默认的DaoAuthenticationProvider判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
Spring Security# Multiple DaoAuthenticationProvider
来啊 快活啊
09-08 3782
正文有三种情况我们需要配置多个AuthenticationProvider,甚至是自定义AuthenticationProvider: 1. 用户认证信息存储在多个地方 2. 在同一个地方但是需要多种授权方式,比如说手机号+密码可以登录,邮箱+密码也可以登录 3. 以上两种情况都有 配置AuthenticationProvider,可以通过AuthenticationManagerBuild
Spring Security API: DaoAuthenticationProvider
dengdeying的博客
12-24 1054
文章目录DaoAuthenticationProviderDeclaredJdocretrieveUserDeclaredMethod CodeadditionalAuthenticationChecksDeclaredMethod CodecreateSuccessAuthenticationDeclaredMethod Code DaoAuthenticationProvider Declar...
SpringSecurity重写DaoAuthenticationProvider,自定义密码对比类
化名三爷
03-27 2396
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题。
详解spring security 配置多个AuthenticationProvider
08-30
在上面的代码,我们使用 Spring SecurityJava 配置方式,注册了我们的自定义 AuthenticationProviderSpring Security 。 最后,我们可以在应用程序使用我们的自定义 AuthenticationProvider 进行身份...
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
详解Spring Security认证流程
08-25
Spring SecurityJava世界最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的认证流程。 一、过滤器链和认证...
Spring Security 文教程.pdf
12-06
5.5. Spring Security的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
DaoAuthenticationProvider详解
小汤圆
08-11 2385
DaoAuthenticationProvider
SpringSecurity重写DaoAuthenticationProvider问题
tang_mu_yi的博客
09-03 1980
SpringSecurity重写DaoAuthenticationProvider问题
Security 自定义DaoAuthenticationProvider 实现手动验证
爱情的错的博客
12-19 5838
首先在WebSecurityConfiguration 加上 protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(new LoginAuthenticationProvider(loginService)); ...
spring security 重写密码比对类DaoAuthenticationProvider
半夏_2021的博客
05-09 2987
spring security 重写密码比对类DaoAuthenticationProvider
spring security @EnableWebSecurity自动配置DaoAuthenticationProvider流程
路过君的博客
01-15 537
满足下列情况时,spring-security会自动配置DaoAuthenticationProvider
SpringBoot Security 自定义 DaoAuthenticationProvider,重写additionalAuthenticationChecks方法
myGinger的专栏
03-22 1万+
开发遇到一件很尴尬的事情,springboot里面使用security做登录验证,但是默认的就是验证username和password,现在的第三方或者短信登录非常流行。我现在的需求是做账号+短信登录(ps:后面还不知道要加啥… so:旧的不能废,只能扩展),接rongcloud sdk post:/login params:{ username:mobile, sessionid:rongclo...
spring security底层原理
05-16
Spring Security 是一个基于 Spring 框架的安全性框架,它提供了一系列的安全性服务和特性,例如身份验证、授权、攻击防护等。底层原理主要包括以下几个方面: 1. 核心架构 - Spring Security 的核心架构是基于 Filter Chain 的,它是一系列的 Filter 组成的链,每个 Filter 都处理一种特定的安全性问题,例如身份验证、授权等。 2. 安全性过滤器 - Spring Security 的安全性过滤器是 Filter Chain 的关键组件,它负责处理身份验证、授权等安全性相关的问题。Spring Security 提供了多种过滤器,例如 UsernamePasswordAuthenticationFilter 用于处理用户名密码身份验证,BasicAuthenticationFilter 用于处理基本身份验证等。 3. Spring Security 上下文 - Spring Security 上下文是一个 SecurityContext 对象,它包含了当前访问用户的身份验证和授权信息,例如用户名、密码、角色等。Spring Security 使用 ThreadLocal 存储上下文信息,并通过 SecurityContextHolder 对象提供了一系列的访问方法。 4. 认证管理器 - 认证管理器是 Spring Security 的核心组件,它负责处理身份验证的全部逻辑。Spring Security 提供了多种认证管理器,例如 ProviderManager 用于处理多个身份验证器的情况,DaoAuthenticationProvider 用于处理数据库身份验证等。 5. 安全性注解 - Spring Security 还提供了多种安全性注解,例如 @Secured、@PreAuthorize、@PostAuthorize 等,它们可以用于控制方法的访问权限,实现基于注解的访问控制。 总之,Spring Security 是一个功能强大、灵活、易扩展的安全性框架,它提供了多种安全性特性和服务,可以帮助开发人员轻松实现安全性功能,保障应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值