Spring Security认证过程

最新推荐文章于 2024-06-14 00:38:20 发布
最新推荐文章于 2024-06-14 00:38:20 发布
阅读量4.3k 收藏 27
点赞数 8
分类专栏: security 文章标签: ·Spring Security认证过程(含源码分析)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38927257/article/details/102960752
版权

文章目录

类图

在这里插入图片描述

一、用户认证流程

上节中提到Spring Security核心就是一系列的过滤器链,当一个请求来的时候,首先要通过过滤器链的校验,校验通过之后才会访问用户各种信息。
这里要说明的是在过滤器的最前端有一个SecurityContextPersistenceFilter,当请求进来和返回的时候都会经过这个过滤器,它主要存放用户的认证信息。这里先简单提一下,后面会详解。
在这里插入图片描述

当用户发送登录请求的时候,首先进入到UsernamePasswordAuthenticationFilter中进行校验。
在这里插入图片描述
打断点发送登录请求进入源码中,我们会发现它会进入到UsernamePasswordAuthenticationFilter,在该类中,有一个attemptAuthentication方法在这个方法中,会获取用户的username以及password参数的信息,然后使用构造器new UsernamePasswordAuthenticationToken(username, password)封装为一个UsernamePasswordAuthenticationToken对象,在这个构造器内部会将对应的信息赋值给各自的本地变量,并且会调用父类AbstractAuthenticationToken构造器(这个父类的构造器后面会介绍到),传一个null值进去,为什么是null呢?因为刚开始并没有认证,因此用户没有任何权限,并且设置没有认证的信息(setAuthenticated(false)),最后会进入AuthenticationManager接口的实现类ProviderManager中。
在这里插入图片描述
request里边存放的是请求的信息
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在ProviderManager这个实现类中,它会调用AuthenticationProvider接口的实现类获取用户的信息,用户的信息权限的验证就在该类中校验。进入ProviderManager类中调用authenticate(Authentication authentication)方法,它通过AuthenticationProvider实现类获取用户的登录的方式后会有一个for循环遍历它是否支持这种登录方式,具体的登录方式有表单登录,qq登录,微信登录等。如果都不支持它会结束for循环,如果支持则会进入AuthenticationProvider接口的抽象实现类AbstractUserDetailsAuthenticationProvider中调用 authenticate(Authentication authentication)方法对用户的身份进入校验。

ProviderManager

在这里插入图片描述
进入抽象类AbstractUserDetailsAuthenticationProvider的内部的authenticate方法之后,先会判断user是否为空,这个user是UserDetail的对象,如果为空,表示还没有认证,就需要调用retrieveUser方法去获取用户的信息,这个方法是抽象类AbstractUserDetailsAuthenticationProvider的扩展类DaoAuthenticationProvider的一个方法。
UserDetailsService从数据库获取用户数据,封装成UserDetails返回

AbstractUserDetailsAuthenticationProvider

在这里插入图片描述
在这里插入图片描述
调用AuthenticationProvider的authenicate方法,实际上是调用其实现类AbstractUserDetailsAuthenticationProvider中的authenicate方法,authenticate再调用retrieveUser方法去获取用户信息验证

DaoAuthenticationProvider

DaoAuthenticationProvider继承了AbstractUserDetailsAuthenticationProvider类,并且实现了retrieveUser方法
调用UserDetailsService这个接口的实现类的loadUserByUsername方法去获取用户信息,而这里我自己编写了实现类MyUserDetail类,在这个实现类中,我们可以编写自己的逻辑,从数据库中获取用户密码等权限信息返回。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
如果拿到了用户信息user,如果没有拿到则会抛出异常
1.perAuthenticationChecks—预检查,检查三个布尔异常,密码是否为空等等
2.additionalAuthenticationChecks附加检查,用passwordEncoder校验当前密码是否匹配
3.如果都通过了,还有一个postAuthenticationChecks—后检查第四个布尔
三个检查都通过,则用户认证是成功的
当三个检查都通过时,最后构建一个createSuccessAuthentication

  • true,//账号可用
  • true,//账号不过期
  • true,//密码不过期
  • true,//账号没有锁定

在拿到用户的信息后,返回到AbstractUserDetailsAuthenticationProvider类中调用**createSuccessAuthentication(principalToReturn, authentication, user)**方法,在该方法中会调用三个参数的UsernamePasswordAuthenticationToken构造器,不同于前面调用两个参数的,因为这里已经验证了用户的信息和权限,因此不再是给父类构造器中传null值了,而是用户的权限集合,并且设置认证通过(setAuthenticated(true)),
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
有三个参数,因为现在已经做了登录,认证已经成功了,已经拿到UserDetails,从UserDetails里可以获得用户的权限,所以super(authorities)
在UsernamePasswordAuthenticationToken的父类中,它会检查用的权限,如果有一个为null,表示权限没有相应的权限,抛出异常。
在这里插入图片描述
然后在createSuccessAuthentication方法返回后回到ProvioderManager的authenticate方法中返回result,最后回到UsernamePasswordAuthenticationFilter的刚开始进入的attemptAuthentication方法中返回。
在这里插入图片描述
在这里插入图片描述
认证成功后就回去调用successfulAuthentication,也就是调用successHandler登录成功处理器
在这里插入图片描述
如果认证过程中有异常,则会调用failureHandler认证失败处理器

总结:
通过上面的源码我们已经深入源码了解到用户的具体认证流程。这里简单总结一下,首先当用户发送请求的时候,会进入到UsernamePasswordAuthenticationFilter中得到一个UsernamePasswordAuthenticationToken,它其实相当于一个令牌,不过还没有经过认证,然后调用AuthenticationManager的实现类ProviderManager中判断登录方式是否支持,如果支持,则会调用AuthenticationProvider接口的抽象实现类AbstractUserDetailsAuthenticationProvider中调用它的扩展类DaoAuthenticationProvider中获取我们自己实现的MyUserDetails类获取用户密码进行用户身份验证,然后返回该对象,设置UsernamePasswordAuthenticationToken这个令牌认证通过,用户身份校验成功。

二、认证结果如何在多个请求之间共享

下面我们来看看用户在通过身份校验之后,是如何将认证结果在多个请求中共享的呢?肯定是放入session当中的。先来看看流程图。
在这里插入图片描述
身份认证成功后,最后在UsernamePasswordAuthenticationFilter返回后会进入一个AbstractAuthenticationProcessingFilter类中调用successfulAuthentication方法中,这个方法最后会返回我们自己定义的登录成功处理器handler,在返回之前,它会调用SecurityContext,最后将认证的结果放入SecurityContextHolder中,SecurityContext类很简单,重写了equals方法和hascode方法,保证了authentication的唯一性。SecurityContextHolder类实际上对ThreadLocal的一个封装,可以在不同方法之间进行通信,我们可以简单理解为线程级别的一个全局变量。因此可以在同一个线程中的不同方法中获取到认证信息。最后会被SecurityContextPersistenceFilter过滤器使用,这个过滤器的作用是什么呢?当一个请求来的时候,它会将session中的值传入到该线程中,当请求返回的时候,它会判断该请求线程是否有SecurityContext,如果有它会将其放入到session中,因此保证了请求结果可以在不同的请求之间共享。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

三、获取认证用户信息

如果我们需要获取用的校验过的所有信息,该如何获取呢?上面我们知道了会将校验结果放入session中,因此,我们可以通过session获取。

    @GetMapping("/me")
    public Object getMeDetail() {
   
        return SecurityContextHolder.getContext().getAuthentication();
    }


@GetMapping("/me1")
    public Object getMeDetail(Authentication authentication){
   
        return authentication;
    }

在登录成功之后,上面有两种方式来获取,访问上面的请求,就会获取用户全部的校验信息,包括ip地址等信息。
在这里插入图片描述
如果我们只想获取用户名和密码以及它的权限,不需要ip地址等太多的信息可以使用下面的方式来获取信息。

@GetMapping(
最低0.47元/天 解锁文章
Kevin-Zeng
关注
  • 8
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security认证流程
l688899886的博客
08-05 496
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:转存失败重新上传取消图 3-3图中显示的流程是一个通用的架构。AbstractAuthenticationProcessingFilter作为一个抽象类,如果使用用户名/密码的方式登录, 那么它对应的实现类是。...
SpringSecurity认证流程详解和代码实现
热门推荐
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
Springsecurity认证流程及鉴权流程流程绝对清晰)
最新发布
qq_60264381的博客
06-14 1241
我们知道在SpringSecurity中,usernamePassword会拦截登录请求,同时调用ProviderManager。ProviderManager内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制也就是说,ProviderManager会决定调用具体AuthenticationProvider实现类来进行认证
SpringSecurity认证流程(超级详细)
qq_34091529的博客
06-27 7068
最近开发项目的时候遇到了和SpringSecurity相关的一些问题,但是之前并没有去了解过SpringSecurity,导致改系统安全权限验证的时候就比较吃力了,目前项目开发大多都直接用脚手架直接开发,系统安全权限验证已经形成了,所以并不是自己写的,自己理解起来会更慢一些,所以这篇文章就是为了分析SpringSecurity认证流程而写的。
大白话详解Spring Security认证流程
LoveSummer
11-04 2775
Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。
spring security认证过程详解
欢迎来到【战羽】的博客
11-15 1045
spring security 主要有两大功能,即认证和授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2568
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring Security是Java世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring security认证授权
11-30
1. **认证过程**: - **配置**:在Spring Security中,通常通过`WebSecurityConfigurerAdapter`的子类来配置安全设置。你需要重写`configure(AuthenticationManagerBuilder auth)`方法来定义用户存储源,如JDBC、...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
SpringSecurity认证流程
msq16021的博客
08-03 5712
SpringSecurity认证流程
SpringSecurity登录认证流程
weixin_52353216的博客
11-07 2454
springsecurity的登录认证流程及对源码的一些解读
SpringSecurity认证流程分析(各个组件之间的关联)
SunRains
11-22 4063
我一开始对于SpringSecurity也不是很熟悉,但是Security 作为一个Spring家族中的安全管理框架,而且每个项目都有授权、认证、鉴权等功能,所以很有必要对Spring Security了解清楚。在说明各个流程之前,找了一张关于它的架构,我只截取了其中关于认证这一部分的内容。 由上图可以清楚的看到在Security 认证过程涉及到的对象,以及各个对象之间的关联。对于刚入门Java Web开发的时候,Filter作为JavaWeb的三大组件之一给我们留...
SpringSecurity认证详解,保姆级教学_springsecurity认证流程(1)
2401_83974087的博客
04-18 774
PreAuthorize(“hasAnyAuthority(‘ADMIN’)”) //当前登录用户必须拥有ADMIN权限否则会抛出异常。//将认证结果保存到Security上下文中 让Security框架记住登录状态。.authorities(“权限”) //授权,授予当前登录用户有什么权限。.credentialsExpired(false)//登录凭证是否过去。//通过认证管理器启动Security认证流程 返回认证结果对象。//当前登录对象 从Security得到当前登录的用户信息。
Spring Security 认证流程
m0_59448100的博客
10-04 699
Spring Security 认证流程
springsecurity认证流程
07-27
Spring Security认证流程可以简要描述如下: 1. 当一个请求进入系统时,会经过一个过滤器链,其中包括一个实现了AbstractAuthenticationProcessingFilter的过滤器。 2. 这个过滤器会首先判断请求的URI是否需要认证,如果需要认证,则执行attemptAuthentication方法进行认证。 3. attemptAuthentication方法会调用AuthenticationManager进行认证,AuthenticationManager是一个接口,具体的实现类是ProviderManager。 4. ProviderManager内部包了一个List<AuthenticationProvider>对象,通过AuthenticationProvider接口的实现类来扩展不同的认证提供者。 5. 在认证过程中,AuthenticationManager会依次调用每个AuthenticationProvider的authenticate方法进行认证。 6. 如果认证成功,会将认证后的Authentication对象存放到SecurityContext中。 7. 如果认证失败,会通过认证失败处理器AuthenticationFailureHandler进行处理。 8. 认证成功后,会执行successfulAuthentication方法,将已认证的Authentication存放到SecurityContext中。 9. 这样,下一个请求进来时,系统就能知道该请求是否已经通过认证。 总结起来,Spring Security认证流程包括了过滤器链、认证管理器、认证提供者和认证失败处理器等组件,通过这些组件的协作,实现了对请求的认证和授权。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* [SpringSecurity认证流程分析](https://blog.csdn.net/chisuisi5702/article/details/126281839)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Spring Security认证过程](https://blog.csdn.net/weixin_38927257/article/details/102960752)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值