spring security 校验详解

最新推荐文章于 2024-02-29 14:42:45 发布
最新推荐文章于 2024-02-29 14:42:45 发布
阅读量935 收藏 2
点赞数 1
分类专栏: 项目搭建 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013911102/article/details/108509404
版权

项目场景:

延续上篇文章,在我们APP的应用场景仅依赖于是spring security是不够的,我们还需要扩展相关功能才能够满足我们的需求.

技术详解:

这里就插播一段技术讲解吧,主要是对于spring security的相关实现源码,这里借鉴了https://blog.csdn.net/qq_22172133/article/details/86503223的一些图片.

校验流程图:

spring security的拦截器,用户名和密码校验的流程简化如下AbstractAuthenticationProcessingFilter -> UsernamePasswordAuthenticationFilter -> ProviderManager(根据UsernamePasswordAuthenticationToken找到provider) -> AbstractUserDetailsAuthenticationProvider -> DaoAuthenticationProvider.

源码分析:

AbstractAuthenticationProcessingFilter.java

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
		implements ApplicationEventPublisherAware, MessageSourceAware {

     public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
        // 判断是否是认证的请求
		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);

			return;
		}

		if (logger.isDebugEnabled()) {
			logger.debug("Request is to process authentication");
		}

		Authentication authResult;

		try {
            // 具体的认证逻辑,实现类是UsernamePasswordAuthenticationFilter
			authResult = attemptAuthentication(request, response);
			if (authResult == null) {
				// return immediately as subclass has indicated that it hasn't completed
				// authentication
				return;
			}
			sessionStrategy.onAuthentication(authResult, request, response);
		}
		catch (InternalAuthenticationServiceException failed) {
			logger.error(
					"An internal error occurred while trying to authenticate the user.",
					failed);
			unsuccessfulAuthentication(request, response, failed);

			return;
		}
		catch (AuthenticationException failed) {
			// Authentication failed
			unsuccessfulAuthentication(request, response, failed);

			return;
		}

		// Authentication success
		if (continueChainBeforeSuccessfulAuthentication) {
			chain.doFilter(request, response);
		}

		successfulAuthentication(request, response, chain, authResult);
	}   

}

AbstractAuthenticationProcessingFilter本身是一个抽象类,具体的实现类是UsernamePasswordAuthenticationFilter(spring security oauth2 后续新增了三个实现类,留到后面再慢慢讲解).而AbstractAuthenticationProcessingFilter拦截器里面实现的内容:地址是否是拦截请求,调用真正的认证方法attemptAuthentication.具体实现的逻辑如下:

UsernamePasswordAuthenticationFilter.java
public class UsernamePasswordAuthenticationFilter extends
		AbstractAuthenticationProcessingFilter {
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";

	private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
	private boolean postOnly = true;


	public UsernamePasswordAuthenticationFilter() {
        // 默认拦截/login,可以通过配置变更登录拦截的匹配规则
		super(new AntPathRequestMatcher("/login", "POST"));
	}


	public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}

		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim();

		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);

		return this.getAuthenticationManager().authenticate(authRequest);
	}
}

代码很简单,就是从request获取到用户名和密码信息,然后再构建成UsernamePasswordAuthenticationToken,将请求委托给ProviderManager进行认证,哪么ProviderManager具体做了哪些事情呢?我们先上源码.

public class ProviderManager implements AuthenticationManager, MessageSourceAware,
		InitializingBean {

   public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		Authentication result = null;
		boolean debug = logger.isDebugEnabled();

		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				result = provider.authenticate(authentication);

				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

       <!-- 后续代码省略,自己去看源码吧.主要是认证通过之后的事件通知 -->     

}

通过阅读源码,就可以很容易看出.providerManager里面做的事情是轮询所有的provider,然后通过supports判断出是否需要处理这个Token,跟着源码走下去我们发现处理UsernamePasswordAuthenticationToken的Provider是AbstractUserDetailsAuthenticationProvider,而AbstractUserDetailsAuthenticationProvider的实现类是DaoAuthenticationProvider,哪么我们看看他们具体是做了哪些事情.

AbstractUserDetailsAuthenticationProvider.java
public abstract class AbstractUserDetailsAuthenticationProvider implements
		AuthenticationProvider, InitializingBean, MessageSourceAware {
    public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				}
				else {
					throw notFound;
				}
			}

			Assert.notNull(user,
					"retrieveUser returned null - a violation of the interface contract");
		}

		try {
			preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException exception) {
			if (cacheWasUsed) {
				// There was a problem, so try again after checking
				// we're using latest data (i.e. not from the cache)
				cacheWasUsed = false;
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
				preAuthenticationChecks.check(user);
				additionalAuthenticationChecks(user,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			else {
				throw exception;
			}
		}

		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}

		return createSuccessAuthentication(principalToReturn, authentication, user);
	}
}

逻辑也很简单,先判断缓存里面是否有对应的用户信息,如果没有再调用UserDetailService进行查询。最后返回UserDetail.这里可以发现,没有校验密码的逻辑。其实这块逻辑的代码是在DaoAuthenticationProvider.additionalAuthenticationChecks里面。我们上代码吧

DaoAuthenticationProvider.java
public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
    
    protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			logger.debug("Authentication failed: no credentials provided");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}

		String presentedPassword = authentication.getCredentials().toString();
        // 校验密码的逻辑在这里
		if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			logger.debug("Authentication failed: password does not match stored value");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}
	}    

}

从源码里面就可以看出来,校验密码的方法是 !passwordEncoder.matches(presentedPassword, userDetails.getPassword())。如果校验通过的话,哪么就正常执行;如果校验失败的话,哪么就抛出异常。

好了,spring security的用户名和密码登录的校验逻辑就已经结束了.看到这里我当时就有一个疑问,用户检验完了密码和账号,当时后续又是如何知道这个用户已经登录了,并且获取到当前登录的用户信息呢?这一块就放到下一篇文章来讲解吧.

一入红尘多少事
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity框架 —— 安全校验
Thor_Selen_Liu的博客
07-27 1541
前言:     随着技术的不断发展和完善,极大的方便了我们的生活和工作。但也存在着很大的安全隐患,例如:黑客的攻击。如果没有一定的安全防护措施 将会带来巨大的 业务损失。安全访问控制 特别是大型企业 都非常重视的一个环节。 1. Spring Security 的入门介绍     Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式 的安全访问控制解决方案...
spring-Security(二):校验流程(白话版)
liyu121的博客
05-18 582
    在实际开发中,一般是将用户名在客户端输入的账号,密码和数据库的账号密码比对,springsecurity也是,只不过它做得有点绕,大体流程就是AuthenticationProvider接收客户端用户输入的用户名密码,保存在authentication对象里面,再拿authentication对象里面的用户名通过UserDetailsService类去数据库查询用户用户名,密码,权限等等信...
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
SpringSecurity 基本使用方法(JWT以及基本表单验证)
BaiYZ的Blog
04-15 1299
SpringSecurity实现权限验证以及JWT校验方法的使用,通过Redis存储Token实现分布式登陆
spring-security权限控制和校验
terry2870的专栏
03-15 3389
文章目录前言一、spring-security是什么?二、spring-security能为我们做什么?三、使用步骤1.maven依赖2.application.properties文件总结 前言     在我们项目中经常会涉及到权限管理,特别是一些企业级后台应用中,那权限管理是必不可少的。这个时候就涉及到技术选型的问题。在我以前项目中也没用到什么权限框架,就全部到一个spring mvc拦截器中去校验权限,当然,对需求比较少,小型的项目这也不失一个好的实现(实现简单,功能单一),但是对于一些比较大的应用
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程是 SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
Spring Security BCryptPasswordEncoder 密码验证原理详解 Spring Security 中的 BCryptPasswordEncoder 是一种用于密码验证的密码加密器,它可以对密码进行加密和验证。本文将详细介绍 BCryptPasswordEncoder 的...
详解springSecurityjava配置篇
08-18
Spring SecurityJava 配置篇 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring SecurityJava 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
SpringSecurity
09-22
SpringBoot整合SpringSecurity,实现登录权限校验,授权Token。 详解参考链接 https://www.cnblogs.com/xifengxiaoma/p/11106220.html
spring security中的csrf防御原理(跨域请求伪造)
08-25
Spring Security 是一个强大的安全框架,它提供了防止CSRF攻击的机制。在Spring Security中,CSRF防御主要依赖于生成和验证一个称为CSRF Token的随机值。这个令牌在用户会话开始时生成,并存储在用户的会话和HTTP...
SpringSecurity学习之路2-处理创建请求,数据校验
kevin
05-01 221
SpringSecurity学习之路1 在本篇中将会介绍到的内容有:@RequestBody注解、日期类型参数的处理、@Valid注解和BindingResult。先看@RequestBody注解的使用。 场景:前后端分离,后端使用Restful风格进行开发。例子,创建用户请求,并期望返回用户ID信息。下面是Controller代码: 测试代码如下: PS:如果这段测试代码你看不...
spring-security框架源码改造:根据接口参数验证权限
热门推荐
黄智霖的博客
03-27 5万+
一、背景 spring-security作为一个权限验证框架,还是很好用的(虽然有点“重”),它能拦截请求,根据请求的路径、配置的权限码和定义的权限验证器进行权限拦截,同时能很方便的和spring、sprign-session等集成。但是我现在有个需求:对于同一个接口的某些参数取不同的值时,可能需要不同的权限验证。比如:/test/set?type=?,当type==1或type==2的时候需要...
Spring——Security前后分离校验token
专注写bug
02-24 2757
文章目录前言token配置引入JWT依赖文件配置token管理器类security 配置配置未登录处理类配置无权限处理类配置登出操作处理类配置token认证过滤器配置token权限校验过滤器自定义加密类 前言 之前采取项目中嵌套html页面,实现基本的登录校验、权限校验、登出操作、记住我等功能试下。 但是,现在的开发基本都是前后分离样式,后端并不需要配置登录页的操作。 如何才能做到前后分离,同时也能支持登录和token校验呢,本篇博客详细说明。 token配置 本次token生成采取jwt的方式。 引入JW
SpringSecurity的权限校验详解说明(附完整代码)
qq_51076413的博客
02-19 3666
SpringSecurity安全检验、SpringSecurity权限认证、SpringSecurity权限校验SpringSecurity自定义校验SpringSecurity自定义校验规则、SpringSecurity异常处理器
Spring Security介绍(四)权限校验
最新发布
w_t_y_y的博客
02-29 881
(1)自定义拦截器或者AOP校验:对需要鉴权的接口做拦截,用户的权限从SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照。用户认证+授权后,就可以进行接口权限控制。思路是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无权。和shiro类似,sercurity也提供了注解式权限校验
Spring Security 接口认证鉴权入门实践指南
互联网从业者/大数据架构师/全栈开发者
01-11 3066
Web API 接口服务场景里,用户的认证和鉴权是很常见的需求,Spring Security 据说是这个领域里事实上的标准,实践下来整体设计上确实有不少可圈可点之处,也在一定程度上印证了小伙们经常提到的 “太复杂了” 的说法也是很有道理的。 本文以一个简单的 SpringBoot Web 应用为例,重点介绍以下内容: 演示 Spring Security 接口认证和鉴权的配置方法; 以内存和数据库为例,介绍认证和鉴权数据的存储和读取机制; 若干模块的自定义实现,包括:认证过滤器、认证或鉴权失败处理器等
spring security 验证用户登录以及获取当前登录的用户信息
u013911102的博客
09-10 4678
项目场景: 原本打算只写APP搭建,从零到有的spring security oauth2.0的相关内容,突然心血来潮想分享一下一波源码,既然上一篇分享了spring security校验逻辑,哪么干脆再分享一下spring secruity是如何获取当前用户是否登录以及获取当前用户的用户信息. 技术详解: 首先在UsernamePasswordAuthenticationFilter认证成功之后,有如下这一段代码 protected void successfulAuthentication(
spring security权限校验
weixin_43851855的博客
09-26 2740
构成 Spring Security 进行认证的流程,Security 快速入门
Spring 3.0企业应用开发详解:新特性与实战
本书《Spring 3.x企业应用开发实战》是基于《精通Spring2.x——企业应用开发详解》的改版,作者陈雄华和林开雄在原有基础上深入探讨了Spring 3.0的新特性和实战应用。他们强调深度学习和理解Spring的内部机制,帮助...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值