SpringSecurity身份认证方式及底层源码学习

最新推荐文章于 2023-09-22 09:55:47 发布
最新推荐文章于 2023-09-22 09:55:47 发布
阅读量510 收藏 1
点赞数
分类专栏: 权限 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37301906/article/details/106212093
版权

SpringSecurity分为两种

  • HttpBasic 是弹窗认证方式。
  • HttpForm 是表单认证方式。

它们都有默认的页面来使用。

1. 首先我们需要创建配置类,此类需要加上@EnableWebSecurity证明 启动springSecurity过滤链功能,需要重写两个方法

/**
   身份认证过滤器
2. 认证信息提供方式(用户名,密码,当前用户的资源权限)
3. 可采的内存存储方式,也可采用数据库方式等。
*/
configure(AuthenticationManagerBuilder auth);

/**
 资源权限配置(过滤器链)
4. 拦截哪些资源
5. 资源所对应的角色权限
 3. 定义认证方式 httpbasic  httpform
6. 定制登录页面,登录请求地址,错误处理方式
7. 自定义 springsecurity 过滤器等
*/
configure(HttpSecurity http)

2. 我们先了解HttpBasic认证方式

protected void configure(HttpSecurity http) throws Exception {
        http.httpBasic()
                .and()
                .authorizeRequests()//认证请求
                .anyRequest().authenticated() //所有进入应用的http请求都要进行认证
        ;
    }

使用HttpBasic 认证方式, 会使用security默认的账号和密码,账号为user 密码 是会自动生成一个
自动生成密码

登录界面
3. 基于内存存储认证信息
上面的用户名和密码是security为我们提供的,下面基于内存存储自定义的用户名密码。

//使用这两个方法来指定账号 密码
withUser("andy")//账号
password("1234")//密码

3.1 重启后报错

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

这时查看下 PasswordEncoder 的源码

public interface PasswordEncoder {
    // 用于明文加密
    // 我们来调用,一般在注册的时候,将前端传过来的密码,进行加密后保存进数据库
    String encode(CharSequence var1);

    // 输入密码与数据库密码进行对比
    // 明文与密文的对比
    boolean matches(CharSequence var1, String var2);

    //是否需要再次进行编码增加安全性,默认不需要
    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

注:

  1. 在spring security 5.0 版本之前,加密的PasswordEncoder 接口默认实现NoOpPasswordEncoder 这个是可以不用加密的,直接使用明文密码存储,当前已经标注过时了。
  2. 在spring security 5.0 版本之后,默认实现类改为 DelegatingPasswordEncoder,这个实现类,要求我们必须对加密后进行存储。

3.2 解决错误

指定BCryptPasswordEncoder加密方式相同的密码, 在每次加密后的结果都不一样的,因为它每次都会随机生成盐值, 会将随机生成的盐加到密码串中
每次判断时, 通过随机生成的盐反推回加密时的密码串, 最终判断是否匹配
加密的最终结果分为两部分,盐值 + MD5(password+盐值), 调用 matches(…) 方法的时候,先从密文中得到
盐值,用该盐值加密明文和最终密文作对比,
这样可以避免有一个密码被破解, 其他相同的密码的帐户都可以破解.因为通过当前机制相同密码生成的密文都
不一样。
加密过程(注册): aaa (盐值) + 123(密码明文) > 生成密文 > 最终结果 盐值.密文:aaa.asdlkf 存入数据库
校验过程(登录): aaa (盐值, 数据库中得到) + 123(用户输入密码)> 生成密文 aaa.asdlkf,与数据库对比一
致密码正确

4. httpform 表单认证方式
HTTP form表单默认页面

底层代码了解
spring security采用过滤器链实现认证与授权

  1. UsernamePasswordAuthenticationFilter : 请求中包含用户名密码则进行认证,认证成功标记认证成功,否则进入下一个认证过滤器(HTTP form请求方式)
  2. BasicAuthenticationFilter :请求头有basic开头的信息,base64解码后认证,认证成功则标记认证成功,否则进入下一认证过滤器(前提是使用了httpbasic认证方式,如果使用HTTP form认证方式则不会进入此过滤器)
  3. 其他认证过滤器
  4. ExceptionTranslationFilter :捕获异常处理后续处理
  5. FilterSecurityInterceptor : 认证通过后,根据资源权限配置来判断当前请求是否可以访问对应资源。(1 2 3 属于用户认证,只属于第一道门槛,这里会根据 config 中配置的对应权限再次进行鉴权,如果没有对应的可访问资源 那就会抛出异常 4 )
  6. Controller 对应资源
//BasicAuthenticationFilter 中的 BasicAuthenticationConverter.convert 方法
-- 152UsernamePasswordAuthenticationToken authRequest = authenticationConverter.convert(request);
//获取请求头  Authorization
-- 80 String header = request.getHeader(AUTHORIZATION);
//判断是否存在 basic
-- 86 if (!StringUtils.startsWithIgnoreCase(header, AUTHENTICATION_SCHEME_BASIC)) {
			return null;
		}
// 大致是 这样  basic username:password 封装,在进行basic64 编码,拿到封装的数据在进行解码,再取对应的username 和password
-- 107  int delim = token.indexOf(":");
		if (delim == -1) {
			throw new BadCredentialsException("Invalid basic authentication token");
		}
		UsernamePasswordAuthenticationToken result  = new UsernamePasswordAuthenticationToken(token.substring(0, delim), token.substring(delim + 1));

//如果抛错 进入ExceptionTranslationFilter 
-- 118 chain.doFilter(request, response);  //会直接放行,抛错在cache中会捕获,会进行重定向

//FilterSecurityInterceptor
//核心方法invoke  这里会根据config 中配置的对应权限再次进行鉴权,如果没有对应的可访问资源 那就会抛出异常
-- 123 InterceptorStatusToken token = super.beforeInvocation(fi);

打上对应断点,我们来跟一下,
重启后 localhost/index 进入 FilterSecurityInterceptor invoke方法
why?

//对于UsernamePasswordAuthenticationFilter 来说它只接收 /login方法
-- 62 public UsernamePasswordAuthenticationFilter() {
		super(new AntPathRequestMatcher("/login", "POST"));
	}
//所以直接放行,进入FilterSecurityInterceptor 
//而目前config中设置的也是对所有的请求进行认证,所以当前的/index 访问会被拦截,
//抛错到ExceptionTranslationFilter cache中会重定向到登录页面。

这时候显示默认的登录页面
输入用户名以及密码,进入UsernamePasswordAuthenticationFilter

//他会构造一个token

-- 89 UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);
//进入 UsernamePasswordAuthenticationToken  中 核心方法
//首次进入会置为false 无权限
-- 58 setAuthenticated(false); 
//认证 username password 匹配
--95 return this.getAuthenticationManager().authenticate(authRequest);
//再次进入FilterSecurityInterceptor 放行

下面是我的security学习demo ,感兴趣的可以看下
GitHub :https://github.com/Andy-leoo/mxg-security.git
下面是 spring security中文文档,大家可以看看
https://www.springcloud.cc/spring-security-zhcn.html#what-is-acegi-security

Jiang-X
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security OAuth2.0 认证协议【7】HTTPbasic和表单的认证、基本原理、【拦截】流程源码分析
LawssssCat的博客
04-03 994
上一篇:Spring Security OAuth2.0 认证协议【6】准备 RESTful API:swagger、WireMock 至此,前面的环境搭建,接口准备结束,进入 Spring Security 正题。 代码下载:https://github.com/LawssssCat/v-security/tree/v2.0 内容简介 Spring Security 基本原理 用户名 ...
Spring Security认证授权底层源码解析
weixin_41798072的博客
11-11 1001
Spring Security认证授权底层源码解析1.springsecurity总体结构2.认证流程3.授权流程 1.springsecurity总体结构 2.认证流程 3.授权流程
Spring Security登录认证源码分析
Charge8的博客
01-04 1430
Spring Security登录认证源码分析
SpringSecurity认证的底层代码实现
qq_43676797的博客
10-25 225
引言:在使用springSecurity后,我们知道有一个默认的接口"/login"可以实现认证功能(即通过用户名和密码登录),在登录时通常会看到"Bad credentials",那么是什么地方抛出的呢?它底层是如何实现的呢? 陷入沉思…(手动点烟!) SpringSecurity认证源码分析 我们知道SpringSecurity的本质是一个过滤器链,即一个一个的过滤器,至于在springBoot启动的时候是如何加载的还没去研究.我们只需要知道其中的一个过滤器是UsernamePasswordAut.
springSecurity-oauth2默认用户身份验证转换器( 方法上的注解权限authorities)
qq_40250122的博客
09-23 5283
springSecurity-oauth2默认用户身份验证转换器 package com.xy.tasty.mgr.security; import com.xy.common.verify.Asserts; import com.xy.tasty.core.cache.UserContextCache; import com.xy.tasty.core.exception.UnBindOrga...
SpringSecurity3.x源码工程
05-14
总之,SpringSecurity3.x源码工程是一个宝贵的教育资源,可以帮助开发者从底层理解这个框架的工作原理,并能据此实现自定义的安全解决方案。无论是初学者还是经验丰富的开发者,都能从中受益匪浅。
spring security3.0.2源代码及示例.rar
05-20
1. **Spring Security 3.0.2源代码**:这部分源代码提供了框架的核心组件和模块,包括身份验证、授权、访问控制等功能的实现。通过阅读源代码,开发者可以深入理解Spring Security如何处理安全相关的请求,如何进行...
springsecurity3.1.3 案例
04-16
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。在这个"Spring Security 3.1.3案例"中,我们将探讨这个版本的一些核心概念和特性,以及如何利用它们来保护你的应用程序。 ...
spring5源码分析笔记
01-02
10. **Spring Security**:Spring Security是一个强大的安全框架,用于身份验证和授权。它可以保护Web应用免受常见攻击,如CSRF、XSS等。 以上是Spring5源码分析笔记中的主要知识点,深入学习这些内容将有助于...
spring源码 spring
03-23
9. **Spring Security**:这是一个安全框架,提供了身份验证、授权、CSRF 防护等服务,与 Spring 框架无缝集成,保护 Spring 应用的安全性。 10. **Spring Batch**:用于处理批量处理任务,提供了重试、跳过、分页...
SpringSecurity OAuth2 关于 UserAuthenticationConverter
程序员劝退师的博客
10-07 2651
前言 之前写了一大堆关于SpringSecurity OAuth2的相关文章,本以为可以告一段落了,但是有了解到一个新东西,之前没注意到的,就是UserAuthenticationConverter,本章就来看看这是个啥玩意!我们知道授权服可以提供两种格式的Token,一种是默认的字符串,另一种是JWT格式的字符串,关于JWT格式Token我这里就不多逼逼是什么意思勒,我们认证服采用JWT格式主要就是为了提高Token校验的性能,如果我们采用默认的字符串的话默认需要调用认证服进行token检查,就是通过Ht
Spring Security 基本流程源码解析 - 认证部分
QUSUPAO的博客
09-23 181
Spring Security 是一个强大、容易定制的、基于 Spring 开发的实现认证登录与资源授权的应用安全框架; 核心功能主要是:认证、授权、安全防护
Spring Security第二篇】身份认证Authentication
m0_46638350的博客
05-05 1398
SecurityContextHolder中包含了SecurityContext对象,SecurityContext中包含了Authentication对象。验证,具体验证流程如下。
Spring-Gateway 与 Spring-Security在前后端分离项目中的实践
天行健,君子以自强不息;地势坤,君子以厚德载物。
05-24 1912
前言网上貌似webflux这一套的SpringSecurity操作资料貌似很少。自己研究了一波,记录下来做一点备忘,如果能帮到也在迷惑的人一点点,就更好了。新项目是前后端分离的项目,前台vue,后端SpringCloud2.0,采用oauth2.0机制来获得用户,权限框架用的gateway。一,前台登录大概思路前台主要是配合项目中配置的clientId,clientSec...
spring-cloud-starter-oauth2 密码模式认证过程
yx444535180的专栏
07-12 4212
上文讲到在密码模式下 OAuth2主要用于校验客户端合法性、产生token、校验token Sercurity主要用于用户名密码校验、接口权限控制 OAuth2与Sercurity整合之后,校验顺序: 获取token请求:校验客户端合法性——校验用户名密码——产生token 受保护的接口请求:校验token——校验接口权限 下面就来看下,每个步骤在源码中是如何实现的客户端合法性校验,第一步校验client_id、client_secret,就是客户端id和密码;第二步校验grant_type;第三步校验sc
SpringSecurity 使用 jwt 整合 Oauth2 时资源服务器出现的权限问题
cnkeysky的博客
02-12 1474
SpringSecurity 使用 jwt 整合 Oauth2 时资源服务器出现的权限问题
oauth2.0 密码方式认证分析
qq_39584267的博客
08-19 3217
oauth2.0 密码方式认证分析
Spring Security+OAuth2 + JWT认证以及携带用户信息
热门推荐
buxiaoxia的专栏
03-20 3万+
基于Spring Security的OAuth2.0+JWT认证方式实现 提供认证服务端,资源服务端的配置 提供JWT对称加密、非对称加密方式
SpringSecurity的认证流程源码深入刨析
户伟伟的博客
09-22 220
SpringSecurity认证流程的源码详解。
springsecurity身份认证
最新发布
04-17
3. 认证流程:Spring Security的认证流程包括用户提交认证请求、验证用户身份、生成认证令牌等步骤。你可以通过配置自定义的认证流程来满足特定的需求。 4. 认证成功与失败处理:Spring Security提供了认证成功和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值