spring security 校验详解

最新推荐文章于 2023-02-19 16:26:58 发布
最新推荐文章于 2023-02-19 16:26:58 发布
阅读量923 收藏 2
点赞数 1
分类专栏: 项目搭建 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013911102/article/details/108509404
版权

项目场景:

延续上篇文章,在我们APP的应用场景仅依赖于是spring security是不够的,我们还需要扩展相关功能才能够满足我们的需求.

技术详解:

这里就插播一段技术讲解吧,主要是对于spring security的相关实现源码,这里借鉴了https://blog.csdn.net/qq_22172133/article/details/86503223的一些图片.

校验流程图:

spring security的拦截器,用户名和密码校验的流程简化如下AbstractAuthenticationProcessingFilter -> UsernamePasswordAuthenticationFilter -> ProviderManager(根据UsernamePasswordAuthenticationToken找到provider) -> AbstractUserDetailsAuthenticationProvider -> DaoAuthenticationProvider.

源码分析:

AbstractAuthenticationProcessingFilter.java

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
		implements ApplicationEventPublisherAware, MessageSourceAware {

     public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
        // 判断是否是认证的请求
		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);

			return;
		}

		if (logger.isDebugEnabled()) {
			logger.debug("Request is to process authentication");
		}

		Authentication authResult;

		try {
            // 具体的认证逻辑,实现类是UsernamePasswordAuthenticationFilter
			authResult = attemptAuthentication(request, response);
			if (authResult == null) {
				// return immediately as subclass has indicated that it hasn't completed
				// authentication
				return;
			}
			sessionStrategy.onAuthentication(authResult, request, response);
		}
		catch (InternalAuthenticationServiceException failed) {
			logger.error(
					"An internal error occurred while trying to authenticate the user.",
					failed);
			unsuccessfulAuthentication(request, response, failed);

			return;
		}
		catch (AuthenticationException failed) {
			// Authentication failed
			unsuccessfulAuthentication(request, response, failed);

			return;
		}

		// Authentication success
		if (continueChainBeforeSuccessfulAuthentication) {
			chain.doFilter(request, response);
		}

		successfulAuthentication(request, response, chain, authResult);
	}   

}

AbstractAuthenticationProcessingFilter本身是一个抽象类,具体的实现类是UsernamePasswordAuthenticationFilter(spring security oauth2 后续新增了三个实现类,留到后面再慢慢讲解).而AbstractAuthenticationProcessingFilter拦截器里面实现的内容:地址是否是拦截请求,调用真正的认证方法attemptAuthentication.具体实现的逻辑如下:

UsernamePasswordAuthenticationFilter.java
public class UsernamePasswordAuthenticationFilter extends
		AbstractAuthenticationProcessingFilter {
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";

	private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
	private boolean postOnly = true;


	public UsernamePasswordAuthenticationFilter() {
        // 默认拦截/login,可以通过配置变更登录拦截的匹配规则
		super(new AntPathRequestMatcher("/login", "POST"));
	}


	public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}

		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim();

		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);

		return this.getAuthenticationManager().authenticate(authRequest);
	}
}

代码很简单,就是从request获取到用户名和密码信息,然后再构建成UsernamePasswordAuthenticationToken,将请求委托给ProviderManager进行认证,哪么ProviderManager具体做了哪些事情呢?我们先上源码.

public class ProviderManager implements AuthenticationManager, MessageSourceAware,
		InitializingBean {

   public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		Authentication result = null;
		boolean debug = logger.isDebugEnabled();

		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				result = provider.authenticate(authentication);

				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

       <!-- 后续代码省略,自己去看源码吧.主要是认证通过之后的事件通知 -->     

}

通过阅读源码,就可以很容易看出.providerManager里面做的事情是轮询所有的provider,然后通过supports判断出是否需要处理这个Token,跟着源码走下去我们发现处理UsernamePasswordAuthenticationToken的Provider是AbstractUserDetailsAuthenticationProvider,而AbstractUserDetailsAuthenticationProvider的实现类是DaoAuthenticationProvider,哪么我们看看他们具体是做了哪些事情.

AbstractUserDetailsAuthenticationProvider.java
public abstract class AbstractUserDetailsAuthenticationProvider implements
		AuthenticationProvider, InitializingBean, MessageSourceAware {
    public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				}
				else {
					throw notFound;
				}
			}

			Assert.notNull(user,
					"retrieveUser returned null - a violation of the interface contract");
		}

		try {
			preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException exception) {
			if (cacheWasUsed) {
				// There was a problem, so try again after checking
				// we're using latest data (i.e. not from the cache)
				cacheWasUsed = false;
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
				preAuthenticationChecks.check(user);
				additionalAuthenticationChecks(user,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			else {
				throw exception;
			}
		}

		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}

		return createSuccessAuthentication(principalToReturn, authentication, user);
	}
}

逻辑也很简单,先判断缓存里面是否有对应的用户信息,如果没有再调用UserDetailService进行查询。最后返回UserDetail.这里可以发现,没有校验密码的逻辑。其实这块逻辑的代码是在DaoAuthenticationProvider.additionalAuthenticationChecks里面。我们上代码吧

DaoAuthenticationProvider.java
public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
    
    protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			logger.debug("Authentication failed: no credentials provided");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}

		String presentedPassword = authentication.getCredentials().toString();
        // 校验密码的逻辑在这里
		if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			logger.debug("Authentication failed: password does not match stored value");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}
	}    

}

从源码里面就可以看出来,校验密码的方法是 !passwordEncoder.matches(presentedPassword, userDetails.getPassword())。如果校验通过的话,哪么就正常执行;如果校验失败的话,哪么就抛出异常。

好了,spring security的用户名和密码登录的校验逻辑就已经结束了.看到这里我当时就有一个疑问,用户检验完了密码和账号,当时后续又是如何知道这个用户已经登录了,并且获取到当前登录的用户信息呢?这一块就放到下一篇文章来讲解吧.

一入红尘多少事
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity框架 —— 安全校验
Thor_Selen_Liu的博客
07-27 1524
前言:     随着技术的不断发展和完善,极大的方便了我们的生活和工作。但也存在着很大的安全隐患,例如:黑客的攻击。如果没有一定的安全防护措施 将会带来巨大的 业务损失。安全访问控制 特别是大型企业 都非常重视的一个环节。 1. Spring Security 的入门介绍     Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式 的安全访问控制解决方案...
spring-Security(二):校验流程(白话版)
liyu121的博客
05-18 577
    在实际开发中,一般是将用户名在客户端输入的账号,密码和数据库的账号密码比对,springsecurity也是,只不过它做得有点绕,大体流程就是AuthenticationProvider接收客户端用户输入的用户名密码,保存在authentication对象里面,再拿authentication对象里面的用户名通过UserDetailsService类去数据库查询用户用户名,密码,权限等等信...
SpringSecurity 基本使用方法(JWT以及基本表单验证)
BaiYZ的Blog
04-15 1286
SpringSecurity实现权限验证以及JWT校验方法的使用,通过Redis存储Token实现分布式登陆
spring-security权限控制和校验
terry2870的专栏
03-15 3296
文章目录前言一、spring-security是什么?二、spring-security能为我们做什么?三、使用步骤1.maven依赖2.application.properties文件总结 前言     在我们项目中经常会涉及到权限管理,特别是一些企业级后台应用中,那权限管理是必不可少的。这个时候就涉及到技术选型的问题。在我以前项目中也没用到什么权限框架,就全部到一个spring mvc拦截器中去校验权限,当然,对需求比较少,小型的项目这也不失一个好的实现(实现简单,功能单一),但是对于一些比较大的应用
SpringSecurity学习之路2-处理创建请求,数据校验
kevin
05-01 216
SpringSecurity学习之路1 在本篇中将会介绍到的内容有:@RequestBody注解、日期类型参数的处理、@Valid注解和BindingResult。先看@RequestBody注解的使用。 场景:前后端分离,后端使用Restful风格进行开发。例子,创建用户请求,并期望返回用户ID信息。下面是Controller代码: 测试代码如下: PS:如果这段测试代码你看不...
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解spring security安全防护
08-27
主要介绍了详解spring security安全防护,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
主要介绍了Spring security BCryptPasswordEncoder密码验证原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity认证流程详解
08-27
主要介绍了SpringSecurity认证流程详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring-security框架源码改造:根据接口参数验证权限
热门推荐
黄智霖的博客
03-27 5万+
一、背景 spring-security作为一个权限验证框架,还是很好用的(虽然有点“重”),它能拦截请求,根据请求的路径、配置的权限码和定义的权限验证器进行权限拦截,同时能很方便的和spring、sprign-session等集成。但是我现在有个需求:对于同一个接口的某些参数取不同的值时,可能需要不同的权限验证。比如:/test/set?type=?,当type==1或type==2的时候需要...
SpringSecurity
qq_51274370的博客
02-21 3384
SpringSecurity 学习目标 SpringSecurity SpringSecurity简介 安全框架概述 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 常用安全框架 Spring SecuritySpring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了
Spring——Security前后分离校验token
专注写bug
02-24 2738
文章目录前言token配置引入JWT依赖文件配置token管理器类security 配置配置未登录处理类配置无权限处理类配置登出操作处理类配置token认证过滤器配置token权限校验过滤器自定义加密类 前言 之前采取项目中嵌套html页面,实现基本的登录校验、权限校验、登出操作、记住我等功能试下。 但是,现在的开发基本都是前后分离样式,后端并不需要配置登录页的操作。 如何才能做到前后分离,同时也能支持登录和token校验呢,本篇博客详细说明。 token配置 本次token生成采取jwt的方式。 引入JW
SpringSecurity的权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3572
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验SpringSecurity自定义校验SpringSecurity自定义校验规则、SpringSecurity异常处理器
Spring Security 接口认证鉴权入门实践指南
互联网从业者/大数据架构师/全栈开发者
01-11 3028
Web API 接口服务场景里,用户的认证和鉴权是很常见的需求,Spring Security 据说是这个领域里事实上的标准,实践下来整体设计上确实有不少可圈可点之处,也在一定程度上印证了小伙们经常提到的 “太复杂了” 的说法也是很有道理的。 本文以一个简单的 SpringBoot Web 应用为例,重点介绍以下内容: 演示 Spring Security 接口认证和鉴权的配置方法; 以内存和数据库为例,介绍认证和鉴权数据的存储和读取机制; 若干模块的自定义实现,包括:认证过滤器、认证或鉴权失败处理器等
spring security 验证用户登录以及获取当前登录的用户信息
u013911102的博客
09-10 4603
项目场景: 原本打算只写APP搭建,从零到有的spring security oauth2.0的相关内容,突然心血来潮想分享一下一波源码,既然上一篇分享了spring security校验逻辑,哪么干脆再分享一下spring secruity是如何获取当前用户是否登录以及获取当前用户的用户信息. 技术详解: 首先在UsernamePasswordAuthenticationFilter认证成功之后,有如下这一段代码 protected void successfulAuthentication(
spring security权限校验
weixin_43851855的博客
09-26 2710
构成 Spring Security 进行认证的流程,Security 快速入门
浅析 Spring Security 的认证过程及相关过滤器
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-09 997
前言上一篇文章浅析 Spring Security 核心组件中介绍了Spring Security的基本组件,有了前面的基础,这篇文章就来详细分析下Spring Security的认证过程。Spring Security 的核心之一就是它的过滤器链,我们就从它的过滤器链入手,下图是Spring Security 过滤器链的一个执行过程,本文将依照该过程来逐步的剖析其认...
SpringSecurity身份、权限校验
程序员劝退师的博客
11-14 981
SpringSecurity中身份和权限是分开的,身份也成为角色,其实这里身份和权限标记就是在我们实现的UserDetailsService中设置的 @Slf4j @Component public class MyUserDetailsService implements UserDetailsService { @Autowired public PasswordEncoder passwordEncoder() {//密码加密 return new BCryptPas
SpringSecurity 校验token
最新发布
08-30
Spring Security可以通过校验token来实现权限的校验。在Spring Security中,可以通过自定义实现UserDetailsService接口的类来加载用户信息,并在loadUserByUsername方法中进行token的验证。具体步骤如下: 1. 创建一个实现UserDetailsService接口的类,在该类中重写loadUserByUsername方法,方法参数为token。 2. 在loadUserByUsername方法中,可以根据token从数据库或其他存储中获取用户信息,并创建一个UserDetails对象。可以使用token来验证用户的身份并获取相应的用户权限。 3. 在loadUserByUsername方法中,可以通过调用UserDetails对象的相关方法来设置用户的权限和其他相关信息。 4. 将创建好的UserDetails对象返回。 通过以上步骤,Spring Security就可以通过校验token来实现权限的校验。需要注意的是,具体的token校验逻辑和存储方式可以根据项目需求进行自定义实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [SpringSecurity](https://download.csdn.net/download/weixin_42561846/12879985)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [spring security多种校验方式及自实现token总结](https://blog.csdn.net/earthsomeday/article/details/90314067)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值