springsecurity认证源码跟踪

最新推荐文章于 2024-05-06 13:44:04 发布
最新推荐文章于 2024-05-06 13:44:04 发布
阅读量405 收藏
点赞数
分类专栏: springboot 认证 文章标签: springsecurity 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010879420/article/details/84568255
版权

springsecurity认证源码跟踪

时序图(出自大神之手,借用一下,备忘一下)

在这里插入图片描述

源码跟踪

0.发送登陆请求
1.org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter过滤器拦截,进入该类的doFilter方法
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        if (!this.requiresAuthentication(request, response)) {
            chain.doFilter(request, response);
        } else {
            Authentication authResult;
            try {
                //开始认证
                authResult = this.attemptAuthentication(request, response);
                if (authResult == null) {
                    return;
                }
                this.sessionStrategy.onAuthentication(authResult, request, response);
            } catch (InternalAuthenticationServiceException var8) {
                //认证失败调用
                this.unsuccessfulAuthentication(request, response, var8);
                return;
            } catch (AuthenticationException var9) {
                //认证失败调用
                this.unsuccessfulAuthentication(request, response, var9);
                return;
            }
            if (this.continueChainBeforeSuccessfulAuthentication) {
                chain.doFilter(request, response);
            }
            //认证成功调用
            this.successfulAuthentication(request, response, chain, authResult);
        }
}


//认证成功调用
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        SecurityContextHolder.getContext().setAuthentication(authResult);
        this.rememberMeServices.loginSuccess(request, response, authResult);
        if (this.eventPublisher != null) {
            this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
        }
        this.successHandler.onAuthenticationSuccess(request, response, authResult);
}

//认证失败调用
protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        SecurityContextHolder.clearContext();
        this.rememberMeServices.loginFail(request, response);
}
2.执行this.attemptAuthentication(request, response)

由于org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter继承了AbstractAuthenticationProcessingFilter,并且重写了attemptAuthentication方法,如下:

1)判断请求方式
2)组装UsernamePasswordAuthenticationToken,再组装的构造函数在中this.setAuthenticated(false); 设置未认证。
3)getAuthenticationManager() 获取AuthenticationManager(接口)
public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }
            if (password == null) {
                password = "";
            }
            username = username.trim();
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }
}
4)org.springframework.security.authentication.ProviderManager实现了AuthenticationManager,实现了authenticate()方法

上一步this.getAuthenticationManager().authenticate(authRequest);直接调用ProviderManager类中的authenticate()方法,如下:

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
    private List<AuthenticationProvider> providers;
    private AuthenticationManager parent;
    
    public Authentication authenticate(Authentication authentication) {
        	//获取当前的Authentication的认证类型
            Class<? extends Authentication> toTest = authentication.getClass();
            AuthenticationException lastException = null;
            Authentication result = null;
            boolean debug = logger.isDebugEnabled();
            Iterator var6 = this.getProviders().iterator();
			//遍历providers
            while(var6.hasNext()) {
                //遍历所有的providers
                AuthenticationProvider provider = (AuthenticationProvider)var6.next();
                //使用supports方法判断该provider是否支持当前的认证类型,不支持的话继续遍历
                if (provider.supports(toTest)) {
                    try {
                        //支持的话调用provider的authenticat方法认证
                        result = provider.authenticate(authentication);
                        if (result != null) {
                            //认证通过的话重新生成Authentication对应的Token
                            this.copyDetails(authentication, result);
                            break;
                        }
                    } catch (AccountStatusException var11) {
                        this.prepareException(var11, authentication);
                        throw var11;
                    } catch (InternalAuthenticationServiceException var12) {
                        this.prepareException(var12, authentication);
                        throw var12;
                    } catch (AuthenticationException var13) {
                        lastException = var13;
                    }
                }
            }

        	//如果上面没有验证通过
            if (result == null && this.parent != null) {
                try {
                    //使用父类型AuthenticationManager进行验证
                    result = this.parent.authenticate(authentication);
                } catch (ProviderNotFoundException var9) {
                    ;
                } catch (AuthenticationException var10) {
                    lastException = var10;
                }
            }

            if (result != null) {
                //erase 擦除   是否擦除敏感信息
                if (this.eraseCredentialsAfterAuthentication && result instanceof CredentialsContainer) {
                    ((CredentialsContainer)result).eraseCredentials();
                }

                this.eventPublisher.publishAuthenticationSuccess(result);
                return result;
            } else {
                //1.没有认证通过 2.parent为null 则抛出异常
                if (lastException == null) {
                    lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound", new Object[]{toTest.getName()}, "No AuthenticationProvider found for {0}"));
                }
                this.prepareException((AuthenticationException)lastException, authentication);
                throw lastException;
            }
        }
}

  1. 遍历所有的providers,然后依次执行authenticate()方法,进行验证

    1)如果某一个Provider验证成功,则跳出循环不再执行后续验证。

    2)如果验证成功,会将返回的 result 既 Authentication 对象进一步封装为 Authentication Token;
    比如 UsernamePasswordAuthenticationToken、RememberMeAuthenticationToken 等;这些 Authentication Token 也都继承自 Authentication 对象;

  2. 如果没有任何一个 Provider 验证成功,则试图使用其 parent Authentication Manager 进行验证;

  3. 是否需要擦除密码等敏感信息;

3.org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider实现了AuthenticationProvider接口的authenticate方法
public abstract class AbstractUserDetailsAuthenticationProvider implements AuthenticationProvider, InitializingBean, MessageSourceAware {
   
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        
        String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
        boolean cacheWasUsed = true;
        UserDetails user = this.userCache.getUserFromCache(username);
        if (user == null) {
            cacheWasUsed = false;
            try {
                //获取用户信息由子类实现即DaoAuthenticationProvider
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            } catch (UsernameNotFoundException var6) {
                if (this.hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                }
                throw var6;
            }
        }

        try {
       //前检查由DefaultPreAuthenticationChecks类实现(主要判断当前用户是否锁定,过期,冻结User接口)
            this.preAuthenticationChecks.check(user);
            //子类实现
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        } catch (AuthenticationException var7) {
            if (!cacheWasUsed) {
                throw var7;
            }
            //检测失败,再次尝试检测
            cacheWasUsed = false;
            user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            this.preAuthenticationChecks.check(user);
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        }
		//检测用户密码是否过期
        this.postAuthenticationChecks.check(user);
        if (!cacheWasUsed) {
            this.userCache.putUserInCache(user);
        }

        Object principalToReturn = user;
        if (this.forcePrincipalAsString) {
            principalToReturn = user.getUsername();
        }

        return this.createSuccessAuthentication(principalToReturn, authentication, user);
    }
    
    //将已通过验证的用户信息封装成 UsernamePasswordAuthenticationToken 对象并返回;该对象封装了用户的身份信息,以及相应的权限信息,相关源码如下,
    protected Authentication createSuccessAuthentication(Object principal, Authentication authentication, UserDetails user) {
        UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(
            principal, authentication.getCredentials(), this.authoritiesMapper.mapAuthorities(user.getAuthorities()));
        
        result.setDetails(authentication.getDetails());
        return result;
    }
    
    
    //获取用户 是抽象方法,在子类(org.springframework.security.authentication.dao.DaoAuthenticationProvider)中寻找具体实现
    protected abstract UserDetails retrieveUser(String var1, UsernamePasswordAuthenticationToken var2) throws AuthenticationException;
   
}
4.org.springframework.security.authentication.dao.DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider并且重写retrieveUser()和additionalAuthenticationChecks()方法
public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
	protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        UserDetails loadedUser;
        try {
            //用户自定义,*****重要*****
            //实现接口org.springframework.security.core.userdetails.UserDetailsService
            //通过数据库获取用户信息,或其他方式
            loadedUser = this.getUserDetailsService().loadUserByUsername(username);
            
        } catch (UsernameNotFoundException var6) {
            if (authentication.getCredentials() != null) {
                String presentedPassword = authentication.getCredentials().toString();
                this.passwordEncoder.isPasswordValid(this.userNotFoundEncodedPassword, presentedPassword, (Object)null);
            }

            throw var6;
        } catch (Exception var7) {
            throw new InternalAuthenticationServiceException(var7.getMessage(), var7);
        }

        if (loadedUser == null) {
            throw new InternalAuthenticationServiceException("UserDetailsService returned null, which is an interface contract violation");
        } else {
            return loadedUser;
        }
    }
    
    //主要验证密码
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        Object salt = null;
        if (this.saltSource != null) {
            salt = this.saltSource.getSalt(userDetails);
        }
        if (authentication.getCredentials() == null) {
            this.logger.debug("Authentication failed: no credentials provided");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        } else {
            String presentedPassword = authentication.getCredentials().toString();
            //验证密码是否正确
            if (!this.passwordEncoder.isPasswordValid(userDetails.getPassword(), presentedPassword, salt)) {
                this.logger.debug("Authentication failed: password does not match stored value");
                throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }
        }
    }
    
}
5.自定义实现UserDetailsService接口重写loadUserByUsername()方法,如下:
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	@Bean
    public UserDetailsService userDetailsService() {    //用户登录实现
        return new UserDetailsService() {
            @Autowired
            private UserRepository userRepository;

            @Override
            public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
                User user = userRepository.findByUsername(s);
                if (user == null) throw new UsernameNotFoundException("Username " + s + " not found");
              //SecurityUser类要实现org.springframework.security.core.userdetails.UserDetails接口,重写方法
                return new SecurityUser(user);
            }
        };
    }
}
6.实现UserDetails接口,重写方法,如下:
public class SecurityUser implements UserDetails {
    private static final long serialVersionUID = 1L;
    
    private String username;    //用户名
    private String password;    //用户密码

    public SecurityUser(User user) {
        if (user != null) {
            this.setUsername(user.getUsername());
            this.setPassword(user.getPassword());
        }
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        String username = this.getUsername();
        if (username != null) {
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(username);
            authorities.add(authority);
        }
        return authorities;
    }

    //账户是否未过期,过期无法验证
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    //指定用户是否解锁,锁定的用户无法进行身份验证
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    //指示是否已过期的用户的凭据(密码),过期的凭据防止认证
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    //是否可用 ,禁用的用户不能身份验证
    @Override
    public boolean isEnabled() {
        return true;
    }
    
    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }
    
    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}
BadgeZ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity源码分析-登录认证
u011439259的博客
09-16 332
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分
springsecurity认证流程
qq_37976540的博客
02-13 153
认证核心组件 基于用户凭证创建 AuthenticationToken 这里我们以最常用表单登录为例子, 用户在登录表单中输入用户名和密码, 并点击确定, 浏览器提交POST请求到服务器, 穿过过滤器链, 被 UsernamePasswordAuthenticationFilter 识别, UsernamePasswordAuthenticationFilter 提取请求中的用户名和密码来创...
Spring Security3源码分析-UsernamePasswordAuthenticationFilter分析
Dead_Knight的专栏
05-06 296
UsernamePasswordAuthenticationFilter过滤器对应的类路径为 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 实际上这个Filter类的doFilter是父类AbstractAuthenticationProcessingFilter的 ...
Spring Security Authentication认证的定制开发案例实现以及执行流程解析
一切皆有可能
08-30 981
本文演示如何实现 Spring Security 认证的定制开发。 一、新建 springboot工程。 二、添加pom依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www...
使用SpringSecurity出现程序包org.springframework.security......不存在的问题--已解决
最新发布
qq_51366518的博客
05-06 428
1:如下图:把画圈的地方勾选上,将编译托给maven来解决,使得Maven包生效,不过该方法在接下来的使用中可能会报The POM for ..............:jar:0.0.1-SNAPSHOT is missing, no dependency information available的问题。2:打开项目终端,在该终端下运行mvn idea:idea。准确的来说是在有问题的项目下运行mvn idea:idea。
Spring Security 认证相关知识点总结
编码爱好者
12-23 554
yml 配置 spring: security: user: name: 自定义用户名(不推荐) password: 自定义密码(不推荐) logging: level: # 打印 spring security 全部日志信息 org.springframework.security: trace web安全接口适配器 org.springframework.security.config.annotation.web.configu
Spring Security3 自定义登录,验证码登录
qq_33563609的博客
07-03 919
Security3 安全架构 这里主要说的就是spring-security.xml 配置 因为网上这个资料确实很少 首先 pom org.springframework.security 的包 我现在版本是3.1.4的 注意依赖都要导入的 包名就不写了! web.xml security 的过滤器链 <filter> <filter-name>sp...
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
SpringSecurity_day02.pdf
05-09
### Spring Security 用户状态管理 #### 一、设置用户状态 ...通过上述分析可以看出,Spring Security不仅提供了一套完整的用户认证机制,还考虑到了用户状态管理和记住我等功能,从而为开发者提供了强大的安全保障。
SpringSecurity笔记2-SpringSecurity命名空间
03-29
- 使用IDE的代码导航和调试功能,可以帮助跟踪请求在过滤器链中的流程,了解每个组件是如何协作以实现安全控制的。 综上所述,Spring Security的命名空间是配置安全策略的重要工具。通过熟练掌握`http`和`security...
Spring Security 3官方Contacts源码
08-10
Spring Security 3是Spring框架的一个重要扩展,它专注于应用程序的安全性,包括认证、授权和访问控制。本项目是Spring Security 3的官方Contacts应用源码,适合开发者学习和理解Spring Security的基本工作原理以及...
cas 和spring security 单点登录 配置
07-03
4. **会话管理**:SSO的关键在于会话管理,Spring Security跟踪用户的会话状态,确保用户在已认证的会话内可以无感知地访问其他受保护的应用。 **四、源码分析** 为了深入了解SSO的实现,你可以研究CAS服务器和...
spring 用户通过交互界面登录成功事件源码分析
路过君的博客
07-17 1809
用户通过前端交互界面登录成功触发此事件。
spring security认证方式的配置,自定义认证方式
qq_31983635的博客
09-30 2725
背景: 项目中已经有了登录界面,通过账号密码登录的方式登录系统,之前别人搞的, 新需求: 需要与其他系统集成,相当于单点登录,也不需要去认证服务器验证,默认认为他们传过来的就是正确的(话说这样真的挺危险的), 经过讨论,加一点加密措施,使用了 JWT进行加密传输, 所以需要在保留现有登录界面登录方式的基础上, 添加新的登录方式,点击链接直接登录(链接中带上加密后的JWT串) 过程: 接到了需求后,就去网上搜了一遍, 毕竟面向百度编程时代, 看了看怎么集成, 帖子也不少,写的比较好的如下 https:.
SpringSecurity框架
Mr_Jin的博客
06-20 4977
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
springsecurity配置及使用
又菜又爱玩的博客
08-29 1275
学习时是看b站狂神说java讲解的springsecurity发现WebSecurityConfigurerAdapter类已经被弃用(2.7.0以下版本可继续使用,2.7.0以上已被启用),于是看官方文档写的一个新版本的配置,新旧对比学习。
Spring Security学习笔记
Shawn的个人博客
05-09 1925
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
SpringSecurity安全权限框架及其原理
weixin_45710998的博客
05-12 828
首先创建最基本的SpringBoot项目,默认都会。主要是引入依赖和创建Controller进行测试。上述代码为依赖的引入。然后随便写一个controller,写上一个对应的接口,然后直接去浏览器访问。就会发现跳转到了这个登录页面,这个页面也就是Spring Security的默认登陆页面。如果访问很慢,就bootstrap.min.css这个静态资源加载不出来,换个网络即可。
Spring Security 3.0 入门与高级配置详解
最后,"SpringSecurity社区"部分介绍了如何参与到Spring Security的开发者和用户社区中,包括任务跟踪,以便及时获取更新、解决方案和支持。参与社区也是提升技能和贡献开源项目的重要途径。 《Spring+Security+...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值