Spring Security 认证过程详解

最新推荐文章于 2024-08-27 12:52:04 发布
最新推荐文章于 2024-08-27 12:52:04 发布
阅读量1.4k 收藏 11
点赞数 2
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41427129/article/details/111380830
版权

一、认证流程图

  假设系统当前没有任何用户登录且没有任何的用户缓存。认证流程如下图所示:

在这里插入图片描述

二、过程详解

  1) 用户发起表单验证后,首先会被UsernamePasswordAuthenticationFilter捕获。

在这里插入图片描述
  UsernamePasswordAuthenticationFilter中根据用户表单信息中的用户名和密码构建UsernamePasswordAuthenticationToken,并将其交给AuthenticationManager实现认证过程。

  但在大部分情况下,我们会在自定义的表单处理接口中构建UsernamePasswordAuthenticationToken,然后通过authenticationManagerBuilder.getObject()获得AuthenticationManager,进而实现认证流程。

  UsernamePasswordAuthenticationToken及其类图继承关系如下所示:

在这里插入图片描述
在这里插入图片描述
  此外,AuthenticationManager本身不包含任何的认证逻辑,其核心是管理所有的AuthenticationProvider,本质上是由AuthenticationProvider来实现认证。

  2) 然后到ProviderManager,该类是AuthenticationManager的实现类,负责管理AuthenticationProvider,每一种AuthenticationProvider表示一种认证逻辑(Spring Security 支持多种认证逻辑)

在这里插入图片描述
  通过ProviderManagerauthenticate()方法进一步实现认证过程,如下图所示:

在这里插入图片描述
  通过getProviders().iterator()得到含AuthenticationProvider的迭代器,并通过provider.supports()方法判断当前的AuthenticationProvider是否支持当前的认证逻辑。若支持,接下来交由AbstractUserDetailsAuthenticationProviderauthenticate()实现进一步的认证。

  3) 接下来的信息认证是交给AuthenticationProvider的抽象类AbstractUserDetailsAuthenticationProvider来实现,实现方法主要是authenticate()

在这里插入图片描述
   由 DaoAuthenticationProvider实现retrieveUser()方法,如下所示:

在这里插入图片描述
  4) 成功获得UserDetails后,开始进行一系列的认证:

在这里插入图片描述
  用户身份信息的认证校验会经过前置校验、额外校验和后置校验。若所有的认证校验均通过会调用createSuccessAuthentication()方法并返回认证信息,否则会抛出响应的异常来说明认证不通过。

  createSuccessAuthentication()方法的调用过程如下所示:

在这里插入图片描述
  在该方法中重新创建了UsernamePasswordAuthenticationToken,且此时用户身份已认证通过,所以将authorities注入,并设置authenticatedtrue,即已认证。

  5) 最后认证信息会传回UsernamePasswordAuthenticationFilter,并在其父类AbstractAuthenticationProcessingFilterdoFilter()中,根据认证的成功或失败调用相应的handler

在这里插入图片描述

wadreamer
关注
专栏目录
SpringSecurity 认证详解
流楚丶格念的博客
09-17 2764
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的(如下图密码)。但是在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。}// 获取所有权限 Collection
扩展篇:再探Spring Security过滤器链之SecurityContext
小奇学编程的博客
10-25 1034
扩展篇:再探Spring Security过滤器链 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security 的过滤器链,完整的剖析全链路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证的流程有了一个比较全面的
详解Spring SecuritySecurityContext
dieqiuxie4160的博客
01-20 784
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
简答易懂的springsecurity认证流程!
最新发布
tzyaaaaaa的博客
08-27 793
在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。
Spring Security 之基本概念
weixin_34269583的博客
11-13 176
Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证. 不得不说, Spring Security 是一个非常庞大的框架, 非常值得花时间好好学习. =========...
SpringSecuritySecurityContext
qq_28764557的博客
12-04 205
1.https://www.cnblogs.com/longfurcat/p/10293819.html
SpringSecurity认证流程
CBeann的博客
07-03 918
写作目的 最近在学习SpringSecurity,中间就遇到了一个问题:我在浏览器中第一次输入localhost:8080/hello,提示我没有登陆,自动跳转到登陆页面,等我登陆成功后,我在输入localhost:8080/hello,就成功访问了,验证第二次的时候,验证信息是存储在哪呢? 案例代码 https://gitee.com/cbeann/Demooo/tree/master/springboot-security-demo 源码分析 初始化 我们从WebSecurityCo
spring security认证过程详解
CVPR收割机的博客
04-18 3994
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程是 SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring Security是Java世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
Spring Security 认证流程
m0_59448100的博客
10-04 733
Spring Security 认证流程
SpringSecurity认证流程分析
张氏小毛驴的博客
08-11 1652
SpringSecurity认证,其实就是我们的登录验证。​ Web系统中登录验证的核心就是凭证,比较多使用的是Session和JWT,其原理都是在用户成功登录后返回给用户一个凭证,后续用户访问时需要携带凭证来辨别自己的身份。后端会根据这个凭证进行安全判断,如果凭证没问题则代表已登录,否则则直接拒绝请求。​ 以下内容会先分析源码理清楚认证的流程。...
SpringSecurity的概念、原理和简单的应用
kejizhentan的博客
02-16 1513
一、SpringSecurity的介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的(可配置的)安全访问控制解决方案的安全框架(简单说是对访问权限进行控制 )。 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IOC,DI和AOP功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 应用的安全性包括:会话管理、密码加密、用户认证(Authentication)和用户授(Authorizati
spring security 整个认证流程
weixin_41650839的博客
08-06 283
spring security 整个认证流程 ==在看本文之前最后能够写一篇Spring security的demo玩玩,否则是完全看不懂的= 几个重要接口介绍 UserDetails:就是我们平时使用的User中比较重要的属性,封装成的接口,在Spring Security中大量操作的都是这个接口 GrantedAuthority:相当于role的概念 在org.springframew...
SpringSecurity的概念和知识点
wangxueqing52的博客
09-10 557
1.CSRF攻击(转自 stpeace)   CSRF概念:       CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管...
spring security认证过程详解
欢迎来到【战羽】的博客
11-15 1123
spring security 主要有两大功能,即认证和授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
SpringSecurity基本概念入门
程序员劝退师的博客
10-06 1481
在这里插入代码片
spring security的概念及配置
微滑低的博客
11-20 215
spring security的概念及配置 1.什么是spring securitySpring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 2.spring security的操作有哪些? “认证”:为用户建立一个他
Spring Security数据库认证实现详解
"本文将深入探讨如何在Spring Security框架中实现基于数据库的账户密码认证机制,通过具体的示例代码和...在实际开发过程中,可以根据项目需求调整认证流程,比如加入额外的身份验证策略或密码加密机制,以增强安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值