Spring Security初识用户认证流程

最新推荐文章于 2024-03-14 11:44:53 发布
最新推荐文章于 2024-03-14 11:44:53 发布
阅读量399 收藏
点赞数 1
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43525167/article/details/128138602
版权

用户认证流程

  1. 客户端第一次发送请求,由于此前未登录认证,因此会被spring security过滤器拦截;若此次请求为登录请求,由于在SpringSecurity配置类声明的白名单(即不需要被认证的请求)里配置了登录路径,因此可以被接收。

  2. 客户端接收登录请求后到service层处理登录业务,此请求参数DTO携带用户名和密码信息,然后把其声明在认证信息里面:

    Authentication authentication//声明一个认证信息
                = new UsernamePasswordAuthenticationToken(
                        adminLoginDTO.getUsername(),adminLoginDTO.getPassword());

    接下来用认证管理器对认证信息进行处理:

     Authentication authenticateResult              //调用认证管理器对认证信息进行处理
                = authenticationManager.authenticate(authentication);//并获取认证信息把他放在上下文里面

    此认证过程实质上主要是调用了UserDetailsService里面被重写的loadUserByUsername(参数为用户名)方法进行查询数据库中是否存在此用户的处理,若无(即登录的用户不存在)则抛出异常,若存在则返回UserDetails对象:

    • 根据用户名查询出用户对象

    • 获取用权限并把权限放入GrantedAuthority里面

      List<GrantedAuthority> authorities = new ArrayList<>();
        //把权限放入GrantedAuthority里面
        for (String permission : admin.getPermissions()){
            GrantedAuthority authority=new SimpleGrantedAuthority(permission);
            authorities.add(authority);
        }

    • 自定义的含有id的认证结果当事人对象

      AdminDetails adminDetails = new AdminDetails(
                admin.getId(),
                admin.getUsername(),
                admin.getPassword(),
                admin.getEnable() == 1,
                authorities);

    图解初识认证流程:

    img

    • 返回adminDetails对象(AdminDetails extends User,User implements UserDetails)

    返回的adminDetails对象实质上就是authenticateResult认证结果里面的当事人信息(认证结果包含Principal当事人、Credentials凭证、Authorities权限清单;其他俩是框架生成的);

    //从认证结果里得到adminDetails当事人信息
Object principal = authenticateResult.getPrincipal();
AdminDetails adminDetails = (AdminDetails) principal;

    得到当事人信息接下来就需要生成jwt令牌:

    • 获取其用户名、id、权限(需要传换成json字符串)

    • jwt包含三大部分:头部信息Header、载荷Payload、签名Signature,其中载荷存放用户有效信息

    • 把有效信息存放到载荷里:

       Map<String, Object> claims = new HashMap<>();
        // claims.put();放入到jwt载荷有效信息里面
        claims.put("username", username);
        claims.put("id",id);
        claims.put("authoritiesJsonString", authoritiesJsonString);

    • 生成jwt

       String jwt = Jwts.builder()
                // Header
                .setHeaderParam("alg", "HS256")
                .setHeaderParam("typ", "JWT")
                // Payload
                .setClaims(claims)
                // Signature
                .setExpiration(date)
     					//生成签名时需要的secretKey,再被解析时会用到
                .signWith(SignatureAlgorithm.HS256, secretKey)
                .compact();

    登录业务处理完毕响应jwt到客户端。

  3. 客户端(以浏览器为例)接收到jwt后存放到localstorage中,此后发送请求都要携带jwt。当请求发送到服务器时,会先经过框架的过滤器组件(因为组件类会在项目启动时就被实例化到容器中以备框架随时调用),在我们自定义的过滤器中对jwt进行过滤。

    (过滤器需要做的: 解析JWT、创建认证对象、将认证对象存入到SecurityContext上下文):

    • 获取请求携带的jwt并判断其是否有效

      String jwt = request.getHeader("Authorization");
//StringUtils.hasText()调用String工具类判断字符串是否为null或empty
if (!StringUtils.hasText(jwt) || jwt.length() < JWT_MIN_LENGTH) {
           // 对于无效的JWT,直接放行,交由后续的组件进行处理
           log.debug("获取到的JWT被视为无效,当前过滤器将放行……");
           filterChain.doFilter(request, response);
           return;
       }

    • 解析获取到的有效的jwt有效信息(载荷)

      claims = Jwts.parser()
                    .setSigningKey(secretKey)
                    .parseClaimsJws(jwt)
                    .getBody();

    • 在解析时可能会出现各种异常:ExpiredJwtException、MalformedJwtException、SignatureException、Throwable等,需要对其catch处理,例:

       catch (ExpiredJwtException e) {
        log.debug("解析JWT时出现ExpiredJwtException");
        String message = "登录信息已过期,请重新登录!";
        JsonResult<Void> jsonResult = 		JsonResult.fail(ServiceCode.ERR_JWT_Expired, message);
        String jsonResultString = JSON.toJSONString(jsonResult);
        PrintWriter writer = response.getWriter();
        writer.println(jsonResultString);
        return;
    }

    • 获取jwt中的用户信息(id、用户名、权限)

      String username = claims.get("username", String.class);
Long id = claims.get("id",Long.class);
String authoritiesJsonString=claims.get("authoritiesJsonString",String.class);

    • 接下来需要创建认证对象

       LoginPincipal loginPincipal = new LoginPincipal(id,username);
        Authentication authentication
                = new UsernamePasswordAuthenticationToken(
                loginPincipal, null, authorities);

    • 再将认证对象Authentication存入到SecurityContext上下文里,之后交给框架自动去查

      SecurityContextHolder.getContext().setAuthentication(authentication);

    • 过滤器链继续向后传递,放行

      filterChain.doFilter(request,response);

    • 请求接下来到spring security框架自己的过滤器里,框架会检查上下文里面是否存在有效当事人信息,有的话放行,请求正常访问控制器,无的话拦截请求(若此次请求不携带jwt,仍有可能通过认证,原因是此前有携带有效jwt的请求通过后,使得security上下文里面存在之前的缓存)。

      为实现以上操作,要让咱自定义的过滤器在框架之前被执行,需要把jwt过滤器添加到spring security框架的过滤器链中,并且在其之前:

       http.addFilterBefore(
     jwtAuthorizationFilter, UsernamePasswordAuthenticationFilter.class);
bbtoysession
关注
初识 Spring Security - v1.1.pdf
08-27
### 初识 Spring Security #### 一、Spring Security 概述 **Spring Security**是一种广泛应用于Java企业级项目中的安全框架,它基于Spring AOP(面向切面编程)和Servlet过滤器来提供全面的安全解决方案。该框架...
SpringSecurity白名单路径不走自定义过滤器
qq_52614517的博客
07-01 1021
第二步:自定义过滤器不要注入到Spring容器中(也就是不要使用@Component注解)在securityConfig中使用new的方式将filter注册到security filter链中,交由security去管理。第一步:在SpringSecurity的配置类中重写public void configure(WebSecurity web)方法。这样springsecurity白名单的路径就不走自定义过滤器。参考:http://t.csdn.cn/AogH8。具体原因可以看上面博主的博文。
Spring Security6.2.2配置白名单
qq_31706527的博客
03-14 1458
Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索和chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
SpringSecurity 配置permitAll之后仍然走自定义过滤器Filter的问题
wh2574021892的博客
03-14 1万+
SpringSecurity 忽略路径无效
SpringSecurity Oauth2 - 10 自定义SpEL权限表达式配置白名单url不需要token认证和鉴权
你今天真好看呀
11-10 4343
*** MethodSecurityExpressionOperations 接口方法的属性/*** SecurityExpressionRoot 类中的属性/*** 判断是否是白名单WhiteUrl,不校验权限,不需要token// 白名单url,直接返回true return true;} /*** 修改 SecurityExpressionRoot 类中的该方法** 登录请求url是否是白名单WhiteUrl,如果是则不需要校验权限,直接返回true。
spring security工作的大致流程
yu001207的博客
10-17 1774
spring security工作的大致流程,可以帮助你理解
初识Spring框架-资料.rar
03-26
Spring Boot是为了简化Spring应用的初始搭建以及开发过程而诞生的。它提供了开箱即用的设置,如自动配置、内嵌式Web服务器等,让开发者可以快速启动项目,而无需过多的配置。 6. **Spring Data**: Spring Data是...
从入门到高级实战-深度探索SpringSecurity安全框架视频.zip
最新发布
08-29
01.初识 Spring Security 02.Spring Security 初体验 03.基于内存定义 Spring Security 用户 04.Spring Security 自定义表单登录 05.Spring Security 登录表单配置细节 06.Spring Security 表单登录源码 07.Spring ...
初识Spring boot监控
08-27
Spring Boot监控是应用程序管理和性能监控的关键组成部分,它允许开发者实时查看和分析应用的状态,以便于及时发现并解决问题。本文将详细介绍如何使用Spring Boot内置的监控功能以及如何搭建一个基于Telegraf、...
一、初识 Spring MVC
08-09
- 还可以集成模板引擎、WebSocket、Spring Security 等其他功能。 通过深入理解 Spring MVC 的这些关键知识点,开发者能够更好地掌握 Web 应用开发,提升项目的质量和效率。在实际项目中,可以根据需求灵活配置和...
为什么Spring Security认证中自定义的JWT过滤器对无token的请求要放行呢?
m0_59483413的博客
02-10 1058
为什么Spring Security认证中自定义的JWT过滤器对无token的请求要放行呢?
SpringBoot在使用Security和JWT时,应当怎么放行图片等静态资源#访问静态资源#静态资源放行#报错401
jingjiaohuan的博客
11-05 3470
springboot的文件上传总结,仅供学习
Spring Security 实现动态刷新 URL 白名单
hdfg159的专栏
12-31 885
RequestMatcher SpringSecurity 动态刷新 白名单 URL
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2625
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
spring实战-Spring-security权限认证白名单
热门推荐
乔布斯基的博客
08-21 2万+
第九篇:spring实战-Spring-security权限认证白名单 当我们为程序设置权限认证时,主要是希望能够保护需要保护的功能,并不是说所有的功能都需要被保护起来,比如说系统主页,帮助中心等等 此时我们可以通过白名单的方式,让某些功能对未登录用户公开,Spring-security提供了对固定路径,或者模糊匹配路径的保护 com.halfworlders.idat.config
SpingSecurity 重定向uri白名单使用域名校验
weixin_42555971的博客
02-07 1005
重定向uri 域名
spring Security配置拦截规则
weixin_43575792的博客
03-18 6619
问题描述 使用spring Security实现后台管理系统登录验证加拦截,访问图片时需要验证 解决方案: 配置spring Security拦截规则,将访问路径添加进入白名单中,比如博主将resources下files下的图片设置白名单,规则就是"/files/**" @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurit
Spring Cloud Gateway 整合Spring Security
Be Like
05-24 7952
做了一个Spring Cloud项目,网关采用 Spring Cloud Gateway,想要用 Spring Security 进行权限校验,由于 Spring Cloud Gateway 采用 webflux ,所以平时用的 mcv 配置是无效的,本文实现了 webflu 下的登陆校验。 1. Security配置 这里先贴出配置类,方便了解大致情况。 其中涉及到的三个处理器均为自定义 package com.shop.jz.gateway.security.config; import com.sh
Spring Security自定义登录与认证流程实战
Spring Security 自定义用户认证流程详解是一篇深入介绍如何在Spring Security框架中实现自定义登录验证的文章。本文主要涉及以下几个关键知识点: 1. **自定义登录页面**: - 开始时,你需要创建一个静态HTML登录...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值