Spring Security 认证流程源码详解

最新推荐文章于 2022-03-28 17:19:27 发布
最新推荐文章于 2022-03-28 17:19:27 发布
阅读量155 收藏
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39869513/article/details/105498280
版权

Spring Security 过滤链

在这里插入图片描述

认证流程源码详解

UsernamePasswordAuthenticationFilter会拦截用户登录请求,整体流程如下图
在这里插入图片描述
我们来看一下 UsernamePasswordAuthenticationFilter 的源码

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
    public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
    private String usernameParameter = "username";
    private String passwordParameter = "password";
    private boolean postOnly = true;

    public UsernamePasswordAuthenticationFilter() {
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
       //判断是否是POST请求
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
           //获取用户名、密码
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            
            // 封装成 UsernamePasswordAuthenticationToken 对象
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }
}

在attemptAuthentication方法中,主要是进行username和password请求值的获取,然后再生成一个UsernamePasswordAuthenticationToken 对象,进行进一步的验证。UsernamePasswordAuthenticationToken 的构造方法如下

public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
    // 设置空的权限
    super((Collection)null);
    this.principal = principal;
    this.credentials = credentials;
    // 设置是否通过了校验
    this.setAuthenticated(false);
}

接下来调用

this.getAuthenticationManager().authenticate(authRequest);

这里有一个AuthenticationManager,但是真正调用的是ProviderManager。

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
    public Authentication authenticate(Authentication authentication) throws AuthenticationException { 
        Class<? extends Authentication> toTest = authentication.getClass();
        AuthenticationException lastException = null;
        Authentication result = null;
        boolean debug = logger.isDebugEnabled();
        Iterator var6 = this.getProviders().iterator();

        while(var6.hasNext()) {
            AuthenticationProvider provider = (AuthenticationProvider)var6.next();
            // 1.判断是否有provider支持该Authentication
            if (provider.supports(toTest)) {
                // 2. 真正的逻辑判断
                result = provider.authenticate(authentication);
            }
    }
}
  1. 这里首先通过provider判断是否支持当前传入进来的Authentication,目前我们使用的是UsernamePasswordAuthenticationToken,因为除了帐号密码登录的方式,还会有其他的方式,比如SocialAuthenticationToken。
  2. 根据我们目前所使用的UsernamePasswordAuthenticationToken,provider对应的是DaoAuthenticationProvider。新版本里吧DaoAuthenticationProvider 继承了 AbstractUserDetailsAuthenticationProvider 了。

下面接着看 provider.authenticate(authentication)方法

public Authentication authenticate(Authentication authentication) throws AuthenticationException {   
    UserDetails user = this.userCache.getUserFromCache(username);
    if (user == null) {
        cacheWasUsed = false;
        // 1.去获取UserDetails
        user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
    }

    try {
        // 2.用户信息预检查
        this.preAuthenticationChecks.check(user);
        // 3.附加的检查(密码检查)
        this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
    } catch (AuthenticationException var7) {       
    }
    // 4.最后的检查
    this.postAuthenticationChecks.check(user);
    // 5.返回真正的经过认证的Authentication 
    return this.createSuccessAuthentication(principalToReturn, authentication, user);
}
  1. 去调用自己实现的UserDetailsService,返回UserDetails
  2. 对UserDetails的信息进行校验,主要是帐号是否被冻结,是否过期等
  3. 对密码进行检查,这里调用了PasswordEncoder
  4. 检查UserDetails是否可用。
  5. 返回经过认证的Authentication

这里的两次对UserDetails的检查,主要就是通过它的四个返回boolean类型的方法。
经过信息的校验之后,通过UsernamePasswordAuthenticationToken的构造方法,返回了一个经过认证的Authentication。

拿到经过认证的Authentication之后,会再去调用successHandler。或者未通过认证,去调用failureHandler

认证结果如何在多个请求之间共享

再完成了用户认证处理流程之后,我们思考一下是如何在多个请求之间共享这个认证结果的呢?
因为没有做关于这方面的配置,所以可以联想到默认的方式应该是在session中存入了认证结果。
那么是什么时候存放入session中的呢?
我们可以接着认证流程的源码往后看,在通过attemptAuthentication方法后,如果认证成功,会调用successfulAuthentication,该方法中,不仅调用了successHandler,还有一行比较重要的代码

SecurityContextHolder.getContext().setAuthentication(authResult);

SecurityContextHolder是对于ThreadLocal的封装。 ThreadLocal是一个线程内部的数据存储类,通过它可以在指定的线程中存储数据,数据存储以后,只有在指定线程中可以获取到存储的数据,对于其他线程来说则无法获取到数据。

一般来说同一个接口的请求和返回,都会是在一个线程中完成的。我们在SecurityContextHolder中放入了authResult,再其他地方也可以取出来的。
最后就是在SecurityContextPersistenceFilter中取出了authResult,并存入了session

SecurityContextPersistenceFilter也是一个过滤器,它处于整个Security过滤器链的最前方,也就是说开始验证的时候是最先通过该过滤器,验证完成之后是最后通过。

参考文章:https://blog.csdn.net/liyang_com/article/details/83017729

呈大侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security码解析(一)
qq_40577332的博客
05-30 3290
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
5分钟就搞定的SpringSecurity认证流程码解析你真的不看吗
weixin_44854986的博客
08-25 189
认证流程流程图详细说明① UsernamePasswordAuthenticationFilter对于未认证对象的解释② AuthenticationManager③ DaoAuthenticationProvider④ UserDetailsService 认证流程流程图详细说明 示例代码中为了简洁 已省略部分代码的展示 ① UsernamePasswordAuthenticationFilter UsernamePasswordAuthenticationFilter继承了Abstract.
SpringSecurity初学者详解
qq_42193075的博客
06-17 303
SpringSecurity运行原理 以formLogin()开始登陆页面,会跳转到 UsernamePasswordAuthenticationFilter类,本类的attemptAuthentication方法获取用户名密码进行判断,在本方法的88行,获取返回的authRequest(也叫tocken)点击进入UsernamePasswordAuthenticationToken类中找到其的构...
spring security解析--认证
Dream - to be coder
04-01 1226
spring security用户认证 主要涉及到的对象是AuthenticationManager,ProviderManager, AuthenticationProvirder, DaoAuthenticationProvider, UserDetailsService,UserDetials
Spring Security 解析(二) —— 认证过程
chu9764的博客
08-22 1145
Spring Security 解析(二) —— 认证过程 >   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring Security是Java世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
话说Spring Security权限管理(详解
08-31
本篇文章主要介绍了话说Spring Security权限管理(详解) ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security用户认证成功失败码分析
OceanSky的专栏
08-08 1670
【一】Spring boot Security OAuth2用户登录失败事件发布及监听 【二】Spring Security用户认证成功失败自定义实现 通常用户登录成功或者失败之后要做一些处理,比如日志记录、数据初始化等等;Spring中提供了事件及监听器,而Spring Security很好的运用了这一特点, 框架中用了很多的事件来处理,要想很好的控制这些我先看下码,要知其所以然。 1.首先看...
一篇文章带你搞定 Spring Security 的登录流程
南淮北安的博客
09-14 3884
为什么想和大家捋一捋 Spring Security 登录流程呢?这是因为之前小伙伴们的一个提问:如何在 Spring Security 中动态修改用户信息? 如果你搞清楚了 Spring Security 登录流程,这其实不是问题。 先来大致描述一下问题场景: 你在服务端的安全管理使用了 Spring Security,用户登录成功之后,Spring Security 帮你把用户信息保存在 Session 里,但是具体保存在哪里,要是不深究你可能就不知道, 这带来了一个问题,如果用户在前端操作修改了当前
Authentication(Spring Security 认证笔记)
weixin_30667301的博客
03-10 227
这篇文章是对Spring Security的Authentication模块进行一个初步的概念了解,知道它是如何进行用户认证的 考虑一个大家比较熟悉的标准认证过程: 1.用户使用username和password登录 2.系统验证这个password对于该username是正确的 3.假设第二步验证成功,获取该用户的上下文信息(如他的角色列表) 4.围绕该用户建立安全上下文(s...
Sring Security3登录权限认证解析
zjjbobo的专栏
02-06 1202
1、UsernamePasswordAuthenticationFilter过滤器对应的类路径为  org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter  实际上这个Filter类的doFilter是父类AbstractAuthenticationProcessingFilter
Shiro 登录认证详解
acherie的博客
12-10 1万+
Apache Shiro 是一个强大且灵活的 Java 开安全框架,拥有登录认证、授权管理、企业级会话管理和加密等功能,相比 Spring Security 来说要更加的简单。本文主要从码实现的角度去介绍 Shiro 的登录认证(Authentication)功能。
Spring-Security学习笔记【二】Authentication认证
天乔巴夏丶
07-21 1508
文章目录SpringSecurity中的认证:Authentication简单案例典型web应用验证授权过程ExceptionTranslationFilterAuthenticationEntryPointAuthentication MechanismStoring the SecurityContext between requests SpringSecurity中的认证:Authentication 我们先来考虑一个最正常不过的用户信息验证场景: 提示用户使用用户名和密码登录。 系统(成功)验证
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 1904
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
spring security-流程分析(二)
luoxiaomei999的博客
03-28 1502
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪码,剖析security内在 一、过滤器链的加载过程 上一篇文章跟踪流程,我们看到创建了httpSecurty,本文重点关注过滤器的加入过程 1、http.csrf() 2、addFilter(new WebAsyncManagerIntegrationFilter()) 直接添加过滤器 。。。 加载的所有配置通过下面方法进行过滤.
springboot+Oauth2——自定义AuthenticationManager和认证path
热门推荐
huhanguang89的博客
03-14 3万+
本人在工作中需要构建这么一个后台框架,基于springboot,登录时认证使用自定义AuthenticationManager;同时支持Oauth2访问指定API接口,认证时的AuthenticationManager和登录规则不同。在研究了码的基础上参考很多文章,目前基本得以解决。 @Configuration public class OAuth2Configuration { @
Spring Security 认证授权详解
最新发布
09-16
3. 认证和授权流程Spring Security认证和授权过程中使用了一系列的过滤器和提供者。它们分别负责处理身份验证和授权的不同方面。开发人员可以根据需要定制这些组件来满足自己的应用程序需求。 4. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值