springsecurity 校验用户名为空_Spring Security认证流程分析练气后期

最新推荐文章于 2024-01-10 16:26:49 发布
最新推荐文章于 2024-01-10 16:26:49 发布
阅读量1.4k 收藏 1
点赞数
文章标签: springsecurity 校验用户名为空
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42321075/article/details/113319488
版权
本文深入分析了Spring Security的认证流程,从UsernamePasswordAuthenticationFilter开始,详细讲解了它如何封装表单信息,接着探讨了AuthenticationManager、AuthenticationProvider和UserDetailsService的角色。在UserDetailsService中,可以通过实现自定义的UserDetails接口来检索和加载用户信息。最后,总结了认证过程的关键步骤,并提供了一张认证时序图。
摘要由CSDN通过智能技术生成

a7473e52f313ea2d41e7594220ee75c4.png

写在前面

在前一篇文章中,我们介绍了如何配置spring security的自定义认证页面,以及前后端分离场景下如何获取spring security的CSRF Token。在这一篇文章中我们将来分析一下spring security的认证流程。提示:我使用的spring security的版本是5.3.4.RELEASE。如果读者使用的不是和我同一个版本,源码细微之处有些不同,但是大体流程都是一样的。

认证流程分析

通过查阅spring security的官方文档我们知道,spring security的认证过滤操作由UsernamePasswordAuthenticationFilter 完成。那么,我们这次的流程分析就从这个过滤器开始。

UsernamePasswordAuthenticationFilter

先上部分源码

public class UsernamePasswordAuthenticationFilter extends
AbstractAuthenticationProcessingFilter {
    

public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";

private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
private boolean postOnly = true;

public UsernamePasswordAuthenticationFilter() {
    
super(new AntPathRequestMatcher("/login", "POST"));
	}


public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
    
// 1. 必须为POST请求
if (postOnly && !request.getMethod().equals("POST")) {
    
throw new AuthenticationServiceException(
"Authentication method not supported: " + request.getMethod());
		}
//2.取出用户填写的用户名和密码
		String username = obtainUsername(request);
		String password = obtainPassword(request);
//3.防止出现空指针
if (username == null) {
    
			username = "";
		}

if (password == null) {
    
			password = "";
		}
//4.去掉用户名的空格
		username = username.trim();
//5.在层层校验后,开始对username和password进行封装
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
// 6.认证逻辑
return this.getAuthenticationManager()
            .authenticate(authRequest);
	}
}

从上面的分析我们知道了,当表单信息进入到这个过滤器之后,经过层层校验,将其封装成UsernamePasswordAuthenticationToken对象。接下来我们进入到这个对象里面看看。

以下是部分源码

public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {
    
private static final long serialVersionUID = 530L;
//用户名
private final Object principal;
//密码
private Object credentials;

//5.1还未认证,走这个构造方法
public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
    
super((Collection)null);
this.principal = principal;
this.credentials = credentials;

this.setAuthenticated(false);
    }
}

AuthenticationManager

在上方第6步,进入了认证逻辑,(真正认证操作在AuthenticationManager里面 )我们接下来进入到AuthenticationManager对象的authentic

最低0.47元/天 解锁文章
Boring Monkey
关注
SpringMVC、shiro与RequestContextHolder为空解决方法
dongyuliang08的专栏
05-30 1098
近日在使用shiro做权限认证的过程中发现一个奇怪的问题,由于工作较忙没时间研究源码,在此记录一下解决方法。 场景描述: 内部使用的管理后台,要求用户角色权限简单可配置。 使用技术: spring boot,springmvc,shiro,jwt(前后端分离)等。 问题描述: token放置在request的header里,获取token决定使用Spring...
解析SpringSecurity+JWT认证流程实现
08-18
作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤器的,它的设计思想是通过一层层的...
spring security 中loadUserByUsername参数name为空
Qiyandays的博客
11-14 6520
今天学习spring security ,遇见一些问题,记录一下 loadUserByUsername参数name为空: 如果没有在config里自定义.usernameParameter,那么可能是username这个名称不对。 security只能接收form提交,由于我用的axios,所以需要模拟form提交 headers: { 'Content-Ty...
Spring Sercurity获取不到当前用户信息值为Null
qq_39054053的博客
02-10 4014
今天使用Spring security获取当前用户信息时发现拿不到 Principal值为空并且报异常 前面我通过Spring Security的全局上下文设置 UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken= new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities()); //加
前后端分离spring security中loadUserByUsername参数name为空
God__is__a__girl的博客
10-06 2432
检查前端传回的参数名称是否是username和password,spring security默认的参数名称是username和password,如果不是,可能更改前端的形参,也可以在WebSecurityConfigurerAdapter的configure实现接口里面添加你的参数名称 在后端设置前端传回的参数名称 http. ...//省略 .formLogin() .usernameParameter("username") .passwordParameter("passwor.
Spring security登录 显示用户名不存在或者密码错误
m0_54849806的博客
03-23 1353
本文章只是做简单记录下曾经踩到坑,如果有什么别的想法,也可以提点宝贵的意见 1、整合spring security,我就不过多的介绍; 2、区分这两个错误之前,需要判断为什么会用户名或者密码错误时都返回相同的异常。 原因: 解决思路:将此属性配置为false. 具体的操作: 1、在security配置类中编写DaoAuthenticationProvider,将hideUserNotFoundExceptions设置成false 2、在重写的configure方法中配置DaoAuthentication
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要认证,哪些URL对所有用户开放。 8. **认证Controller**:创建一个专门处理用户登录请求的Controller,接收登录...
1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecur
最新发布
09-13
springsecurity1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 ...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBootSpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
spring security获取用户信息为null或者串值
记录
09-10 3446
spring security,用SecurityContextHolder.getContext().getAuthentication().getPrincipal()获取登录用户的信息,发现获取到的用户有串值现象——获取用户信息,发现获取到的是别人的信息,偶发性还有取值为null的情况。经同事提醒,是不是用了多线程,查到了问题的原因。 //原代码 ExecutorService executorService = Executors.newCachedThreadPool(new Thread.
Spring Security 无法登陆,报错:There is no PasswordEncoder mapped for the id “null”
佐月儿
12-14 311
异常背景 在使用Spring Security 框架,登录的时候,账号和密码都正确,但是登录失败,弹出这个异常 异常信息 There is no PasswordEncoder mapped for the id “null” 翻译过来就是: PasswordEncoder的映射ID不能为“ null” 我寻思着,我不是输入密码了吗,调试发现密码也传递过去了,怎么就为空了呢? 查阅资料发现这是因...
spring security原理_Spring Security工作原理
weixin_39849888的博客
11-26 158
Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。当初始化Spring Security时,会创建一个名为...
Spring Security入门6:Spring Security的默认配置
Designer 小郑的技术博客
01-10 1843
Spring Security 是一个强大且灵活的身份验证和授权框架,用于保护 Java Web 应用程序中的资源,它提供了一套丰富的功能,用于处理身份验证、授权、密码编码和会话管理等安全相关的任务。
POSTMAN使用用户和密码绕过Security登录验证
老张的便利贴
02-21 4086
没有人为在配置文件中设置用户密码的情况下,默认用户名是user 启动SpringBoot框架的服务后,日志中打印密码: 1、第一步,使用用户名和密码生成授权信息 HttpBasic模式要求传输的用户名密码使用Base64模式进行加密。如果用户名是 “admin” ,密码是“ admin”,则将字符串"admin:admin" 使用Base64编码算法加密。加密结果可能是:YWtaW46YWR...
springsecurity自定义退出登录authentication为null
lisuo1234的博客
12-26 4178
springsecurity学习
servlet的优化
weixin_43521028的博客
10-10 404
反射api语法 UserServlet使用反射优化代码 service方法使用反射优化处理不同的请求 //重写了service方法,就不走doGet或doPost方法了 @Override protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //目标:实现一个servlet处理多个请求 //1.获取
项目中使用线程池调用多线程任务通过springsecurity的api获取当前登录线程用户为空或者错误
weixin_43854800的博客
06-15 1600
我们在调用SecurityContextHolder.getContext()获取对象的时候,如果父线程已经登录,有这个对象,我开启多线程任务,第一次创建线程,是会从父线程拿到登录对象放到子线程。但是由于我用的线程池,其他地方可能已经创建过这个线程,我只是从线程池复用这个线程做多线程任务,那么我子线程调用SecurityContextHolder.getContext()拿到的对象要么为空,要么就是这个线程之前登录过的用户信息,而不是现在父线程登录用户信息。算了,还是稍微解释一下。
spring security权限校验
weixin_43851855的博客
09-26 2785
构成 Spring Security 进行认证流程Security 快速入门
SpringSecurity入门精通:过滤器链与用户认证流程详解
Spring Security 是一款强大的开源安全框架,专为Java应用程序提供身份验证、授权和会话管理等功能。本文档以个人学习体验的形式概述了Spring Security的基本使用流程,重点集中在身份验证的核心组件上。 **1. 用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值