Spring Security——基于表单登录认证原理及实现

最新推荐文章于 2023-03-23 15:03:45 发布
最新推荐文章于 2023-03-23 15:03:45 发布
阅读量439 收藏 2
点赞数
文章标签: java javascript 前端 ViewUI
原文链接:https://juejin.im/post/5a40feea5188257d38443360
版权

基于表单的登录认证

一、默认安全验证

当我们项目里添加spring security依赖它就已经起作用了,启动项目访问时,会出现弹出框。spring security默认
采用basic模式认证。浏览器发送http报文请求一个受保护的资源,浏览器会弹出对话框让输入用户名和密码。并以用
户名:密码的形式base64加密,加入Http报文头部的Authorization(默认用户名为user,密码则是会在启动程序时后
台console里输出,每次都不一样)。后台获取Http报文头部相关认证信息,认证成功返回相应内容,失败则继续认证。
下面会详细介绍具体认证流程。
复制代码

二、基于表单的认证原理

基本认证流程:
                     SecurityContextPersistenceFilter
                                   ↓
                   AbstractAuthenticationProcessingFilter
                                   ↓
                    UsernamePasswordAuthenticationFilter
                                   ↓
                         AuthenticationManager
                                   ↓
                         AuthenticationProvider
                                   ↓
                          userDetailsService
                                   ↓
                              userDetails
                                   ↓
                                认证通过
                                   ↓
                            SecurityContext
                                   ↓
                          SecurityContextHolder
                                   ↓
                           RememberMeServices
                                   ↓
                      AuthenticationSuccessHandler
SecurityContextPersistenceFilter会校验请求中session是否有SecurityContext,有放SecurityContextHolder
中,返回时校验SecurityContextHolder中是否有securityContext,有放session,从而实现认证信息在多个请求中共
享。
AbstractAuthenticationProcessingFilter中会调自身attemptAuthentication抽象方法,
UsernamePasswordAuthenticationFilter是其一个实现类。
复制代码

它从请求中获取账号密码后,构造了一个token,此时没有认证,随后会调用AuthenticationManager接口的
authenticate方法
复制代码

下面是其构造函数,我们可看到这个token没有认证
复制代码

public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
        super((Collection)null);
        this.principal = principal;
        this.credentials = credentials;
        this.setAuthenticated(false);
    }
复制代码

ProviderManager实现了AuthenticationManager接口,它获取所有provider后遍历调用其supports方法,去匹配哪
个provider支持之前申明的token,找到provider后调用authenticate方法。

到provider才开始认证用户信息,表单登录的是DaoAuthenticationProvider其父类进行以下操作:
①调用userDetailsService接口的loadUserByUsername方法获取UserDetails用户信息
②检查UserDetails用户是否可用、是否账户没有过期、是否账户没有被锁定
③检查UserDetails密码是否正确
④检查UserDetails密码是否没有过期
⑤都通过会重新申明一个token,不过多了权限集合参数如下
复制代码
  
    public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
    Collection authorities) {
        super(authorities);
        this.principal = principal;
        this.credentials = credentials;
        super.setAuthenticated(true);
    }
复制代码
此时用户才被认证通过,上述步骤有一个错了会抛出AuthenticationException异常的子类,下面是其继承图:
复制代码

认证结果返回给AbstractAuthenticationProcessingFilter,将结果放到SecurityContextHolder的
SecurityContext中,若添加了记住我功能又会调用rememberMeServices来实现,最后调用
AuthenticationSuccessHandler接口成功处理。
复制代码

三、表单登录实现

在第二部分介绍具体原理,接下来实现自定义登录验证。首先编写一个config类继承WebSecurityConfigurerAdapter
类重写configure方法填写配置
复制代码
   
 protected void configure(HttpSecurity http) throws Exception {
        http
                /**
                 * 表单登录配置
                 */
                .formLogin() //表单登录
                .loginPage("/authentication/login.html") //自定义登录页面
                .loginProcessingUrl("/authentication/form") //与自定义登录页面处理路径一致
//        http.httpBasic()   basic模式弹出框登录
                .successHandler(myAuthenticationSuccessHandler)  //自定义认证成功处理
                .failureHandler(myAuthenticationFailureHandler)  //自定义认证失败处理
                .and()
                /**
                 * 需要认证的请求配置,
                 * 注:最为具体的请求路径放在前面,而最不具体的路径(如anyRequest())放在最后面。
                 * 如果不这样做的话,那不具体的路径配置将会覆盖掉更为具体的路径配置
                 */
                .authorizeRequests()
                //允许这样请求通过,需要将登录所需路径配好,不然会一直重定向
                .antMatchers("/authentication/*").permitAll() 
                .anyRequest().authenticated()//任何请求都需要认证
                .and()
                .csrf().disable(); //关闭csrf防御机制
    }
    复制代码
自定义用户实现UserDetailsService接口重写loadUserByUsername方法
复制代码

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return new User(username, "123456", true, true,
                true, true, new ArrayList());
    }
复制代码
这里的User是security自己的,写死了密码为123456,正常应该根据用户名从数据库查出用户信息。当然密码也不可
能为明文,这里推荐使用BCryptPasswordEncoder加密,因为其每次加密都会生成随机盐加入字符串中。需要在之前申
明的config类添加即可
复制代码

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
复制代码
    这四个boolean值分别表示是否可用、是否账户没有过期、是否密码没有过期、是否账户没有被锁定。构造函数
最后一个参数为该用户用哪些接口权限,同样也从数据库查,但是这个权限只会在登录时初始化一次,若我登录后修
改权限,则无法同步,后续介绍解决办法。
    接下来就是两个登录的自定义登录处理,成功的实现AuthenticationSuccessHandler接口,失败的则实现
AuthenticationFailureHandler接口
复制代码

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException{
        response.setContentType("application/json;UTF-8");
        response.getWriter().println("{\"success\":true,\"result\":\"" + "登录成功" + "\"}");
    }
    
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.setContentType("application/json;UTF-8");
        response.getWriter().println("{\"error\":true,\"message\":\"登录名或者密码错误\"}");
    }
复制代码
    注意成功和失败最后的方法参数是不同的,一个是成功的认证信息,另一个失败抛出的认证异常json串的key可以
根据自身登录页面ajax处理结果的属性来定,必须保持一致。
    页面代码就不复制了,做一个简单html就行。
复制代码

四、Remember Me

remember me顾名思义就是记住我,在登录成功认证以后服务端会发送cookie给浏览器,同时把用户名、base64加密随
机序列、生成token存入persistent_logins表中。当我下次再访问时,会读取cookie中的token与数据库中的token做
对比,若一直能表示认证通过,会重新生成新的token存入数据库中,序列户不变,再重新生成新的cookie发给浏览器。
下面看具体源码:
复制代码

    在第二部分说了登录认证成功后会调用rememberMeServices的loginSuccess方法,这是最后调用的方法,我们看
到了它构造了一个rememberMeToken,将其存入数据库,并发送cookie。
复制代码

    当下次登录,会请求到RememberMeAuthenticationFilter,它调用rememberMeServices接口的autoLogin方法,
去对比cookie中的token与数据库中的token,又判断了token是否过期,验证通过会根据token中的用户名调用
userDetailsService的loadUserByUsername方法获取用户信息。最后根据用户信息构造
一个RememberMeAuthenticationToken认证成功。
复制代码

四、Remember Me实现

remember me实现较为简单,只需要在申明的config类中添加
复制代码

@Autowired
private DataSource dataSource;

@Autowired
    private UserDetailsService userDetailsService;

@Bean
    public PersistentTokenRepository persistentTokenRepository() {

        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);
        //tokenRepository.setCreateTableOnStartup(true);
        return tokenRepository;
    }
复制代码
在configure方法里加
复制代码
 
.rememberMe()
                .tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(3600) //有效时间
                .userDetailsService(userDetailsService)
复制代码

五、代码地址

https://github.com/qumaoming/spring-security
复制代码
weixin_34246551
关注
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8011
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Spring Security 6.x 系列(12)—— Form表单认证登录注销自定义配置
最新发布
gmHappy
12-23 5536
在本系列文章中介绍了 `Form` 表单认证和注销流程,对部分源码也进行详细分析。 本章主要学习 `Spring Security` 中表单认证登录注销的相关自定义配置。
面试答辩
qq_43207114的博客
10-27 576
面试介绍 项目 我最近做了一个cms内容管理系统的项目,他是一个位于Web前端与创作或编辑的后端之间的软件系统,这里的内容可以指创作人员,编辑人员,发布人员来提交、修改、审批、发布内容,这里的“内容”可能包括文件、图片、表格、数据库中的数据甚至可以是视频等一切你想要发送到Internet以及Extranet网站的信息。 面试可能遇到的问题 Spring常用注解 ***实例化对象的:***@Controller,@Service, @Repository[它用于将数据访问层 (DAO 层 ) 的类标识为 Sp
spring-security入门6---表单登陆认证原理源码解析
nrsc
06-26 954
看再多的视频,读再多的博客,不如亲自debug跟一遍源代码,而要想真正比较彻底的搞明白这个知识点,必须将其用自己的文字表达出来.━━━━━这就是我写博客的初衷! 1. 基于表单登陆认证所要经过的类 下面将对各个类进行解析 1.1 SecurityContextPersistenceFilter 请求进来时,检查session,如果有SecurityContext(已认证用户对象的一个封装类)拿出...
登陆验证表单原理
weixin_33831673的博客
05-21 108
22:25 2014/5/11 javaweb中表单登陆验证:表单验证原理都一样,不过struts2提供了validate方法。 没有Form表单类的登陆都是简单的登陆 1.通常把用户名密码为为不为空和用户名长度和密码长度写到Form表单类里通常叫做validate方法返回值为Map<String, String>类型 在LoginServlet里调用下就行,通常用webutils...
Spring Security入门到实践(二)表单认证实践及原理分析
脚踏实地,慢慢来
10-24 4610
本系列文章第一篇《Spring Security入门到实践(一)小试牛刀》从最简单的Spring Security入门案例开始展开,分析了HTTP Basic在Spring Security中的应用原理以及部分源码。本篇文章将从最常用的认证方式——表单认证开始,着重分析Spring Security表单认证的基本原理。 一、表单登录的默认行为分析 登录认证功能是我们在日常生活中使用到最多的功...
Spring Security工作原理认证流程
yx444535180的专栏
08-25 1341
一、工作原理 Spring Security所解决的问题是安全访问控制,而安全访问控制功能就是对所有访问系统的请求进行拦截,校验每个请求是否能访问它所期望的资源。一般可以通过Filter和AOP来实现Spring Security对web资源的保护是通过Filter来实现的,所以从Filter来入手学习Spring Security原理。 当初始化Spring Security的时候,会创建SpringSecurityFilterChain的过滤器,类型为org.springframework.secu
Spring Security 基于表单登录认证模式
赫赫有安
10-24 198
Spring Security 基于表单登录认证模式 一、思维导图 二、原理分析 当我们在项目中引入Spring Security的相关依赖后,默认的就是表单登录形式。在开始之前,如果是我们自己来实现表单登录的功能,那么我们需要做哪些工作呢? 就我个人而言,我可能会考虑到以下几点: 1. 配置用户信息,存储如账号、密码等;密码不能以明文传输,需要加密功能 2. 执行校验 3. 认证成功或者失败的处理方案 大致的流程图如下:...
认证篇:Spring Security 基于表单登录认证模式
小奇学编程的博客
09-13 652
认证(一):基于表单登录认证模式 原理探讨 当我们在项目中引入 Spring Security的相关依赖后,默认的就是表单登录形式;俗话说:“听人劝,吃饱饭”,既然 Spring Security已经给我们安排的明明白白了,我们就从表单登录开始吧。 在开始之前,我们可以站在 Spring Security的角度上思考:如果我自己来实现表单登录的功能,那么我需要做哪些工作呢? 就我个人而言,我可能会考虑以下几点: 配置用户信息,存储如账号、密码等;密码不能以明文传输,需要加密功能 执行校验 认证
Spring Security——基于数据库的用户信息认证
qq_40151840的博客
03-02 680
Spring Security——基于数据库的用户信息认证 一、前言 上一篇文章里提到,可以通过 application.properties 配置文件和java配置(继承 WebSecurityConfigurerAdapter类)来进行用户信息的配置。其中在java配置里,我们是把用户信息写到了内存里,并没有将其持久化到数据库中,今天我们就来看下在 Spring Security 中,如何基于...
Spring Security——基于数据库的动态权限配置
qq_40151840的博客
03-03 1356
Spring Security——基于数据库的动态权限配置 一、前言 在上一篇博客里,实现了基于数据库的用户信息认证,但是并没有实现动态权限的配置,即每个角色能访问哪些资源路径,属于硬编码,是在代码中写死的,无法做到动态修改。在本篇会讲述如何在SpringSecurity中做到基于数据库的动态权限配置。 二、数据库建表 在已经实现了基于数据库的用户信息验证下,即已经创建了user表、role表、u...
SpringSecurity系列——基于SpringBoot2.7的登录接口(内有惊喜)day2-1
qq_51553982的博客
06-19 5125
这个JWT工具类是我自己写的,具体怎么使用都在README.md中了 高度封装使用简单 git@gitee.com:giteeforsyf/jjwtutil.gitSpringBoot版本:2.7 SpringSecurity版本:5.4+ 注:SpringSecurityConfigurationAdapter已过时在准备工作中我们需要准备数据库、实体类、配置、工具类等数据库设计如图: 实体类User UserMapper LoginService ResultUtil统一封装返回 LoginP
不得不知道的Spring Security的基本原理
ZeJava的博客
04-05 197
微信公众号:Java患者专注Java领域技术分享前言由于我们的API接口,在服务启动后,是在无保护的状态下。任何人只要知道服务的地址,都可以访问我们开发的这些服务。这种情...
spring security的form-login是如何关联dao的
CherishL_的专栏
05-08 650
http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#appendix-faq-what-is-userdetailservice 手册中说: UserDetailsService is a DAO interface for loading data that is specific to a
SpringSecurity5-教程4-Cookie单点登录
一个技术菜鸟的博客
03-23 517
Cookie单点登录
spring security配置表单登录
weixin_43532415的博客
04-19 299
预置url和页面 之所以会有以上效果,是因为formLogin自动配置了一些url和页面: /login (get):登录页面,任意没有登录的请求都会跳转到这里,就是上面看到的那个页面。 /login (post):登录接口,在登录页面点击登录,会请求这个接口。 /login?error:用户名或密码错误,跳转到该页面。 /:登录成功后,默认跳转的页面,/会重定向到index.html,这...
spring boot security 安全权限 ---4cookie自动登录
liwei10822的博客
01-02 1338
spring boot security 安全权限 ---4cookie自动登录
spring security自定义表单登录 实战一
我是一只蘑菇17的博客
11-03 228
加入依赖就可以进行HTTP基本认证,但绝大多数Web应用都不会选择这种认证方式,除了安全性差,无法携带cookie等因素外,灵活性不足 也是它的一个主要缺点。通常大家更愿意选择认证,自己实现表单登录页和验证逻辑,从而提高安全性。
全网最详解Spring Security登录原理(带你看源代码)
OuKman的博客
02-15 7126
根据上图所示配置了所有的请求都需要身份认证,那么,此拦截器就会检测当前请求是否经过了绿色过滤器的认证,即检查标记,实际上,这一段配置可以写的非常复杂,比如可以配置某类请求只有VIP用户才允许访问等,这些配置都会被拦截器读取,拦截器会根据这些配置做判断。如果判断通过,那么访问到具体API,如果不过,根据不过的原因,会抛出不同的异常。 比如在当前配置中,配置了所有请求都需要身份认证,那么,如果当前请求没有认证,拦截器就会抛出一个用户没有经过身份认证异常。如果配置文件中配置了当前请求只有VIP用户才能访问,而..
Spring Security 实现表单登录教程
"本文主要介绍了如何在Spring Security框架下实现表单登录功能,基于一个简单的Spring MVC示例进行构建,适合需要为Web应用添加安全登录机制的开发者参考。" 在Spring Security中,实现表单登录功能是确保Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值