SpringSecurity重写DaoAuthenticationProvider问题

已于 2022-09-03 22:24:40 修改
阅读量2k 收藏 1
点赞数
文章标签: java spring
于 2022-09-03 22:20:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tang_mu_yi/article/details/126682829
版权

SpringSecurity重写DaoAuthenticationProvider问题

问题描述

MyDaoAuthenticationProvider重写DaoAuthenticationProvider中additionalAuthenticationChecks方法后,自定义验证密码错误后,抛出BadCredentialsException异常,代码会继续执行,会执行DaoAuthenticationProvider中的additionalAuthenticationChecks发放,导致自定义抛出的BadCredentialsException的异常无用。

public class MyDaoAuthenticationProvider extends DaoAuthenticationProvider {

    private static final Logger log = LoggerFactory.getLogger(MyDaoAuthenticationProvider.class);

    @SneakyThrows
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            logger.debug("Authentication failed: no credentials provided");

            throw new BadCredentialsException(messages.getMessage(
                    "AbstractUserDetailsAuthenticationProvider.badCredentials",
                    "Bad credentials"));
        }

        String presentedPassword = authentication.getCredentials().toString();

        if (!iscLoginJsoupReq(userDetails.getUsername(), presentedPassword)) {
            this.logger.debug("Failed to authenticate since password does not match stored value");
            throw new BadCredentialsException(this.messages
                    .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
    }
}

问题发现

在debug中,发现ProviderManager类中authenticate方法中,出现以下代码片段:

for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}
			if (logger.isTraceEnabled()) {
				logger.trace(LogMessage.format("Authenticating request with %s (%d/%d)",
						provider.getClass().getSimpleName(), ++currentPosition, size));
			}
			try {
				result = provider.authenticate(authentication);
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException | InternalAuthenticationServiceException ex) {
				prepareException(ex, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw ex;
			}
			catch (AuthenticationException ex) {
				lastException = ex;
			}
		}

在getProviders()方法中,会获取到两个AuthenticationProvider,一个是自定义的MyDaoAuthenticationProvider,一个是默认的DaoAuthenticationProvider,在执行DaoAuthenticationProvider中的additionalAuthenticationChecks方法时,就会验证密码成功。

问题解决

在继承WebSecurityConfigurerAdapter的配置类中,在以下方法中:

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        ApplicationContext applicationContext = getApplicationContext();
        ConfigurableEnvironment environment = (ConfigurableEnvironment) applicationContext.getEnvironment();
        String name = environment.getProperty("spring.profiles.active");
        if (ACTIVE.equals(name)) {
            auth.authenticationProvider(myProvider());
        } else {
            auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
        }
    }

auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());

这句代码会生成一个DaoAuthenticationProvider在容器中供使用,且容器中定义了几个Provider,在getProviders()方法中就会获取到几个,并循环执行。所以在使用自定义的DaoAuthenticationProvider是,需要注释auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());此代码片段。在不使用自定义的Provider时,需放开此代码片段。

遗留问题:重写DaoAuthenticationProvider,抛出的BadCredentialsException为什么会被屏蔽

自己的理解

DaoAuthenticationProvider和MyDaoAuthenticationProvider其实是功能一模一样的两个列,除了重写的additionalAuthenticationChecks()的实现类不一样,在执行DaoAuthenticationProvider中的additionalAuthenticationChecks时,会得到正确的result进行返回,在代码中,只要得到验证通过,得到正确的result,就会进行返回,代码如下:

@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		int currentPosition = 0;
		int size = this.providers.size();
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}
			if (logger.isTraceEnabled()) {
				logger.trace(LogMessage.format("Authenticating request with %s (%d/%d)",
						provider.getClass().getSimpleName(), ++currentPosition, size));
			}
			try {
				result = provider.authenticate(authentication);
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException | InternalAuthenticationServiceException ex) {
				prepareException(ex, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw ex;
			}
			catch (AuthenticationException ex) {
				lastException = ex;
			}
		}
		if (result == null && this.parent != null) {
			// Allow the parent to try.
			try {
				parentResult = this.parent.authenticate(authentication);
				result = parentResult;
			}
			catch (ProviderNotFoundException ex) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException ex) {
				parentException = ex;
				lastException = ex;
			}
		}
		if (result != null) {
			if (this.eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}
			// If the parent AuthenticationManager was attempted and successful then it
			// will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent
			// AuthenticationManager already published it
			if (parentResult == null) {
				this.eventPublisher.publishAuthenticationSuccess(result);
			}

			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).
		if (lastException == null) {
			lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound",
					new Object[] { toTest.getName() }, "No AuthenticationProvider found for {0}"));
		}
		// If the parent AuthenticationManager was attempted and failed then it will
		// publish an AbstractAuthenticationFailureEvent
		// This check prevents a duplicate AbstractAuthenticationFailureEvent if the
		// parent AuthenticationManager already published it
		if (parentException == null) {
			prepareException(lastException, authentication);
		}
		throw lastException;
	}

在执行DaoAuthenticationProvider中的result = provider.authenticate(authentication);时,会得到验证通过的result,在下面代码会返回result:

	if (result != null) {
			if (this.eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}
			// If the parent AuthenticationManager was attempted and successful then it
			// will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent
			// AuthenticationManager already published it
			if (parentResult == null) {
				this.eventPublisher.publishAuthenticationSuccess(result);
			}

			return result;
		}

所以不会再代码最后一行,执行抛出throw lastException;这一行代码。

tang_mu_yi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
自定义JAVA上下文,如何将自定义的DaoAuthenticationProvider加载到Spring上下文中?
weixin_32016817的博客
03-13 606
我有一个SecurityConfig类的java-config实现,它扩展了WebSecurityConfigurerAdapter。在这个类我想覆盖的方法“配置()”@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, proxyTarge...
SpringBoot Security 自定义 DaoAuthenticationProvider重写additionalAuthenticationChecks方法
myGinger的专栏
03-22 1万+
开发遇到一件很尴尬的事情,springboot里面使用security做登录验证,但是默认的就是验证username和password,现在的第三方或者短信登录非常流行。我现在的需求是做账号+短信登录(ps:后面还不知道要加啥… so:旧的不能废,只能扩展),接rongcloud sdk post:/login params:{ username:mobile, sessionid:rongclo...
Spring Security 3.1 自定义 authentication provider
xyzroundo的专栏
07-26 1267
来源:http://www.xeclipse.com/?p=1359 前言 在使用Spring Security的时候,遇到一个比较特殊的情况,需要根据用户名、邮箱等多个条件去验证用户或者使用第三方的验证服务来进行用户名和密码的判断,这样SS(Spring Security,一下简称SS)内置的authentication provider和user detail se
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
spring security 重写密码比对类DaoAuthenticationProvider
半夏_2021的博客
05-09 3087
spring security 重写密码比对类DaoAuthenticationProvider
DaoAuthenticationProvider详解
小汤圆
08-11 2487
DaoAuthenticationProvider
SpringSecurity重写DaoAuthenticationProvider,自定义密码对比类
化名三爷
03-27 2623
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题
Spring Security中的DaoAuthenticationProvider
szm1160809039的博客
10-12 4439
看一看这个DaoAuthenticationProvider是从哪里配置来的,这个得从WebSecurityConfigurerAdapter说起。 在WebSecurityConfigurerAdapter中,以下代码之前都看过,AuthenticationManager 的由来也都说明过,其中有一个parent被所有的子AuthenticationManager共享,而这个DaoAuthenticationProvider就是包括在parent中,AnonymousAuthenticationProv
Spring Security跳转页面失败问题解决
08-25
Spring Security 跳转页面失败问题解决 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证、授权和加密功能。然而,在使用 Spring Security 时,可能会遇到跳转页面失败的问题。本文将详细介绍 ...
深入浅析 Spring Security 缓存请求问题
08-26
深入浅析 Spring Security 缓存请求问题 Spring Security 是一个功能强大且灵活的安全框架,提供了许多功能来保护 Web 应用程序的安全。其中一个非常重要的功能是缓存请求问题的解决方案。在本文中,我们将深入浅析...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring SecurityJava应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
学习笔记七-AuthenticationProvider
热门推荐
云智禅师的专栏
12-13 3万+
AuthenticationProvider 认证是由 AuthenticationManager 来管理的,但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProviderAuthenticationManager 中可以定义有多个 AuthenticationProvider。当我们使用 authentication-provid
Spring Security(03)登录认证源码分析
愤怒的菜鸟博客
03-02 333
Spring Security在内部维护一个过滤器链,其中每个过滤器都有特定的责任; 比如: ChannelProcessingFilter,因为它可能需要重定向到不同的协议 SecurityContextPersistenceFilter,因此可以在web请求开头的SecurityContextHolder中设置SecurityContext,并且SecurityContext的任何更改都可以复制到HttpSession当web请求结束时(准备好与下一个web请求一起使用) 等等… 登录流程解
Spring Security学习(五)——账号密码的存取(UserDetailService、PasswordEncoder、DaoAuthenticationProvider
sadoshi的专栏
02-15 509
本文是常见Java Web应用中使用Spring Security的核心。一个Web应用管理系统在用户登陆上最核心的问题就是解决两个问题:1、用户提交的账号密码如何与数据库中保存的账号密码匹配上;2、如何保持会话。本文就是解决第一个问题的。
Spring Security重写验证密码-前端传入加密过后的密码
Java_Scholar0的博客
07-25 2368
SpringSecurity重写验证密码-前端传入加密过后的密码。
spring security @EnableWebSecurity自动配置DaoAuthenticationProvider流程
路过君的博客
01-15 560
满足下列情况时,spring-security会自动配置DaoAuthenticationProvider
SpringBoot快速入门(手动创建)
最新发布
m0_74124657的博客
08-11 420
代码如下//引导类项目的入口//注解添加导入进来你可以浏览器中查看自己编写的代码,看是否正确localhost:你命名的端口号(默认是8080。后面你也可以在配置文件修改)
SpringSecurity 重写cookie
05-27
可以通过实现`CookieSerializer`接口来重写Spring Security中的cookie。具体步骤如下: 1. 创建一个类并实现`CookieSerializer`接口。 2. 在实现的`serializeCookie()`方法中,可以自定义cookie的name、value、domain、path、max-age等属性。 3. 在Spring Security配置中使用`cookieSerializer()`方法来指定自定义的`CookieSerializer`实现类。 下面是一个简单的示例代码,供您参考: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public CookieSerializer cookieSerializer() { return new MyCookieSerializer(); } @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .and() .logout() .logoutSuccessUrl("/") .and() .rememberMe() .key("remember-me-key") .rememberMeCookieName("my-remember-me-cookie") .rememberMeCookieDomain("example.com") .rememberMeCookiePath("/my-app") .tokenValiditySeconds(86400); } } public class MyCookieSerializer implements CookieSerializer { private final DefaultCookieSerializer delegate = new DefaultCookieSerializer(); @Override public String readCookieValue(HttpServletRequest request, HttpServletResponse response) { return delegate.readCookieValue(request, response); } @Override public void writeCookieValue(CookieValue cookieValue) { delegate.writeCookieValue(cookieValue); } @Override public void setDomainName(String domainName) { delegate.setDomainName(domainName); } @Override public void setCookieName(String cookieName) { delegate.setCookieName(cookieName); } @Override public void setCookiePath(String cookiePath) { delegate.setCookiePath(cookiePath); } @Override public void setCookieMaxAge(Integer cookieMaxAge) { delegate.setCookieMaxAge(cookieMaxAge); } @Override public void setUseSecureCookie(boolean useSecureCookie) { delegate.setUseSecureCookie(useSecureCookie); } @Override public void setUseHttpOnlyCookie(boolean useHttpOnlyCookie) { delegate.setUseHttpOnlyCookie(useHttpOnlyCookie); } } ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值