springsecurity provider启动顺序

最新推荐文章于 2024-05-14 14:36:38 发布
最新推荐文章于 2024-05-14 14:36:38 发布
阅读量1.6k 收藏
点赞数
分类专栏: spring security 文章标签: spring spring security

spring security对于用户身份的判断是通过一系列的过滤器来完成的,如果你采用的是自定义过滤器链的方式来实现自己的需求,那么需要特别注意过滤器链的顺序问题。

但是除了过滤器的顺序,还有一个特别需要注意的,就是providers顺序

一个较为典型的问题是:为什么我的用户是密码错误,但是却抛出用户不存在的异常呢?(而不是抛出身份检查失败异常)

这就是因为配置的org.springframework.security.providers.ProviderManager中的providers顺序不合适导致的了,过滤器的检查,是一个链表的形式,如果当前的过滤器能匹配成功,那么则会停止并进入成功逻辑。如果失败,则进入下一个过滤器链,如果是最后一个过滤器链,那么就抛出检查失败的异常。而对于其中某一个过滤器而言,我们会制定相关的authenticationManager,用户向上提供数据来源等。于是必然的,我们在系统中会配置多个UserDetailsService,用于向spring security提供我们自己的数据源DAO相关操作,过滤器在使用的时候是以按照配置的顺序来执行的。

而这可能使得当前用户的信息被其中的一个Provider所识别,但是如果是密码错误等,那个存有当前用户信息数据的Provider没有能够匹配成功,而导致进入了下一个Provider,而下一个Provider并没有当前用户的数据,所以会抛出当前用户不存在。

这样的话,就应该调整Provider的顺序,将最重要的最希望提示的那个放到最后面去。

比如现在有三个:

<beans:property name="providers">
<beans:list>
<beans:ref local="rememberMeAuthenticationProvider" />
<beans:ref local="memoryAuthenticationProvider" />
<beans:ref local="dbAuthenticationProvider" />
</beans:list>
</beans:property>

数据库中的用户是最重要最普遍的,而内存中的通常是一些隐藏用户,这样的话就可以将最大范围的用户的信息准确展示

最近整理了学习材料,有需要的请下载,我放微信里面了,方便下载,还能交流,扫描我的二维码头像即可。

shareCode_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 的Authentication Provider
yanshendeyinji的博客
10-20 363
1SpringSecurity为执行身份验证提供了多种选项 (1)最标准常见的实现方式是DaoAuthenticationProvider ,在userDao中UserDetailsService根据userName进行校验,满足大多数情况了 (2)当一些第三方服务时候,我们需要将userName和password都进行验证,这时候我们需要自定义一个Authentication Provider (3)自定义 (4)注册Auth Provider (5)配置上 ...
[spring security]除了过滤器顺序,还特别需要注意的providers顺序
quzishen的专栏
09-17 3413
spring security对于用户身份的判断是通过一系列的过滤器来完成的,如果你采用的是自定义过滤器链的方式来实现自己的需求,那么需要特别注意过滤器链的顺序问题。一个较为典型的问题是:为什么我的用户是密码错误,但是却抛出用户不存在的异常呢?(而不是抛出身份检查失败异常)这就是因为配置的org.springframework.security.providers.ProviderManager中的providers顺序不合适导致的了,过滤器的检查,是一个链表的形式,如果当前的过滤器能匹配成功,那么则会停止
Provider.java 82_详解spring security 配置多个AuthenticationProvider
weixin_30431137的博客
02-27 645
前言发现很少关于spring security的文章,基本都是入门级的,配个UserServiceDetails或者配个路由控制就完事了,而且很多还是xml配置,国内通病...so,本文里的配置都是java配置,不涉及xml配置,事实上我也不会xml配置spring security的大体介绍spring security本身如果只是说配置,还是很简单易懂的(我也不知道网上说spring secu...
SpringSecurity6 多种登录方式配置自定义Provider不生效问题
最新发布
zzc23333的博客
05-14 305
这里面会判断是否AuthenticationManager是否已经存在,没有的话会去 Ioc容器里读取并且读取全局配置等,这里面authBuilder.build()里会默认提供一个DaoAuthenrizationProvider,但是没有读取到我们自己定义的Provirder。注: 上面在过滤器链中使用,http.authenticationProvider()的方式,在论坛中也有很多人使用这种方式,但是我不知道为啥我是失效的,待我研究debug会。因为以前也没有配置过多种验证方式,就一直这么配置了。
Spring Security Authentication Provider
neweastsun的专栏
04-05 4819
Spring Security Authentication Provider 介绍 本文介绍spring security如何相比简单的UserDetailService上实现灵活的认证。 Authentication Provider spring security提供了多种执行认证方式,但都遵循一个简单的约定——AuthenticationProvider处理认证请求,然后返回授信...
spring security(SpringBoot)自定义Provider实现多种认证方式
热门推荐
碧波之心——心如碧波,静如止水
06-12 3万+
转载请注明出处spring boot 实例之 多登录方式–碧波之心简书 接上一篇:spring boot 实例之 用户登录。经过对spring security再次分析,觉得上一篇的实现方式有些不合理。不应该把UsernamePasswordAuthenticationFilter给替换了。今天我们来优化一下。让登录的扩展更合理一些。 调整目录结构 原目录结构: 删除Sec...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
Spring Security实现验证码登录功能
08-25
验证码的输入验证是通过 Spring Security的AuthenticationProvider来实现的,该provider将用户输入的验证码与生成的验证码进行比较,如果正确则允许用户登录。 知识点七:Spring Security验证码登录功能的优点 ...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
spring security 系列 之 AuthenticationProvider
tian830937的专栏
08-13 4191
我们在使用spring sec的时候,一般会继承WebSecurityConfigurerAdapter类,然后选择覆盖protected void configure(AuthenticationManagerBuilder auth)和protected void configure(HttpSecurity http)方法 @Autowired private AuthenticationProviderService authenticationProvider; @Bean
spring security 自定义Provider 实现多种认证方式
yfx000的专栏
07-23 9458
我的系统里有两种用户,对应数据库两张表,所以必须自定义provider 和 AuthenticationToken,这样才能走到匹配自定义的UserDetailsService,我这里只粘贴一套代码,另一套同理复制就行。 必须自定义原因在于,自定义prodvider会根据重写的support方法判断是否匹配自定义AuthenticationToken,匹配后可以调用自定义的UserDetailsService的方法loadUserByUsername(String username),这样就直接查对应的数
Spring Security学习(六)——配置多个Provider(存在两种认证规则)
sadoshi的专栏
02-21 2131
Spring Security学习(五)——账号密码的存取》一文已经能满足一般应用的情况。但实际商业应用也会存在如下的情况:用户提交的账号密码,能在本地的保存的账号密码匹配上,或者能在远端服务认证中匹配上,就算认证通过。这种通常类似于单点登录,或者认证中心之类的。本文不去探索这种架构,只是单纯讨论如果存在两种认证规则下如何处理。多种认证方式使用Spring Security时有好几种处理方式。根据不同的情况,架构师考虑不同的解决方案。本文先从比较简单的方案说起。
Spring Security : 概念模型 ProviderManager 认证提供者管理器
Details Inside Spring
05-14 4039
ProviderManager是Spring Security提供的AuthenticationManager实现。其主要目的,也就是实现AuthenticationManager接口所定义的方法Authentication authenticate(Authentication authentication) throws AuthenticationException。 ProviderMan...
spring security 多级认证/远程认证/多provider
Markix的博客
05-02 1532
需求场景 实现其他系统的用户能够登录到系统B 之前系统A与系统B并无关联,简单说就是分别有一套用户体系,各自有各自的登录功能。 现在需要让系统A的用户使用账号密码也能登录到系统B。 实现 要点: 如何区分当前的登录用户是系统A的还是系统B的?因为不同的用户需要到对应的系统做验证。 可以通过用户名的特殊标识、配置(不太现实)、加载本地所有账号、前端传用户类型等等方式来判断当前的登录用户是系统A...
spring 今儿学到的一些注解与依赖(provider
qq_43309933的博客
08-24 913
providerprovider组成依赖配置文件application.yml注解 provider组成 依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/X...
SpringSecurity中默认的AuthenticationProvider
zjy660358的专栏
11-11 2079
SpringSecurity, 默认实现AuthenticationManager是ProviderManager,这个主要作用是给Authentication找到支持的Provider,并authenticate 1、只在配置文件中定义用户名和密码 2、自定义userDetailsService 3、Config文件覆盖authenticationManager()方法 @Bean MyAuthenticationProvider myAuthentica.
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(一)
半斤米粉闯天下的博客
08-27 9746
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
springsecurity类调用顺序
04-11
Spring Security是一个用于身份验证和授权的框架,它提供了一套完整的安全解决方案。在使用Spring Security时,可以通过配置一系列的过滤器来实现不同的安全功能。以下是Spring Security中常用的过滤器及其调用顺序: 1. `ChannelProcessingFilter`:用于处理HTTP和HTTPS之间的重定向。 2. `SecurityContextPersistenceFilter`:用于从`SecurityContextHolder`中获取`SecurityContext`,并将其存储在`SecurityContextHolder`中。 3. `ConcurrentSessionFilter`:用于处理并发会话控制。 4. `LogoutFilter`:用于处理用户注销操作。 5. `UsernamePasswordAuthenticationFilter`:用于处理基于用户名和密码的身份验证。 6. `DefaultLoginPageGeneratingFilter`:用于生成默认的登录页面。 7. `DefaultLogoutPageGeneratingFilter`:用于生成默认的注销页面。 8. `BasicAuthenticationFilter`:用于处理基本身份验证。 9. `RequestCacheAwareFilter`:用于处理请求缓存。 10. `SecurityContextHolderAwareRequestFilter`:用于将当前的`HttpServletRequest`包装为`SecurityContextHolderAwareRequestWrapper`,以提供更多的安全功能。 11. `AnonymousAuthenticationFilter`:用于处理匿名用户的身份验证。 12. `SessionManagementFilter`:用于处理会话管理。 13. `ExceptionTranslationFilter`:用于处理异常情况,并将其转换为适当的响应。 14. `FilterSecurityInterceptor`:用于基于访问控制决策来保护请求资源。 以上是Spring Security中常用的过滤器及其调用顺序。通过配置这些过滤器,可以实现不同的安全功能,如身份验证、授权、会话管理等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值