SpringSecurity认证流程浅析(源码层面)

最新推荐文章于 2024-06-21 15:14:18 发布
最新推荐文章于 2024-06-21 15:14:18 发布
阅读量194 收藏
点赞数
分类专栏: SpringSecurity SpringBoot 网站后台 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43860800/article/details/104285924
版权

对SpringSecurity源码的理解对使用SpringSecurity可以说是非常重要,这篇博客就根据其源码,浅析一下其认证流程,对于自己实现一些功能会很有帮助。
为了方便理解,先放一张流程图
在这里插入图片描述
可以看到程序运行到核心过滤器AbstractAuthenticationProcessingFilter 抽象类的时候调用.doFilter()方法,这一步可理解为认证的第一步,以下是源码。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        //判断是否需要认证
        if (!this.requiresAuthentication(request, response)) {
            chain.doFilter(request, response);
        } else {
            if (this.logger.isDebugEnabled()) {
                this.logger.debug("Request is to process authentication");
            }

            Authentication authResult;
            try {
            	//重点代码,尝试认证
                authResult = this.attemptAuthentication(request, response);
                if (authResult == null) {
                    return;
                }

                this.sessionStrategy.onAuthentication(authResult, request, response);
            } catch (InternalAuthenticationServiceException var8) {
                this.logger.error("An internal error occurred while trying to authenticate the user.", var8);
                //请求失败的handler
                this.unsuccessfulAuthentication(request, response, var8);
                return;
            } catch (AuthenticationException var9) {
                this.unsuccessfulAuthentication(request, response, var9);
                return;
            }

            if (this.continueChainBeforeSuccessfulAuthentication) {
                chain.doFilter(request, response);
            }
			//请求成功的handler
            this.successfulAuthentication(request, response, chain, authResult);
        }
    }

由于其没有实现attemptAuthentication,使用的是其子类UsernamePasswordAuthenticationFilter实现的方法。

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
        	//从POST请求体中获取用户名和密码参数
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            //用用户名和密码构造一个token
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            //使用get方法获得AuthenticationManager来调用authenticate方法认证
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

使用getAuthenticationManager()默认情况下注入 Spring 容器的 AuthenticationManager 是 ProviderManager。以下是ProviderManager的authenticate方法。

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Class<? extends Authentication> toTest = authentication.getClass();
        AuthenticationException lastException = null;
        AuthenticationException parentException = null;
        Authentication result = null;
        Authentication parentResult = null;
        boolean debug = logger.isDebugEnabled();
        Iterator var8 = this.getProviders().iterator();
		
		//ProviderManager将从AuthenticationProvider列表中循环取出其实现类,并尝试认证
        while(var8.hasNext()) {
            AuthenticationProvider provider = (AuthenticationProvider)var8.next();
            if (provider.supports(toTest)) {
                if (debug) {
                    logger.debug("Authentication attempt using " + provider.getClass().getName());
                }

                try {
                	//核心代码,认证
                    result = provider.authenticate(authentication);
                    if (result != null) {
                    	//把认证结果复制到刚刚创建的token里
                        this.copyDetails(authentication, result);
                        break;
                    }
                } catch (InternalAuthenticationServiceException | AccountStatusException var13) {
                    this.prepareException(var13, authentication);
                    throw var13;
                } catch (AuthenticationException var14) {
                    lastException = var14;
                }
            }
        }

这里讲AuthenticationProvider列表中的一个实现,AbstractUserDetailsAuthenticationProvider。以下是其authentic方法。

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		//判断authentication的类型是否为UsernamePasswordAuthenticationToken
        Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, () -> {
            return this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports", "Only UsernamePasswordAuthenticationToken is supported");
        });
        //从token中获取用户名
        String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
        boolean cacheWasUsed = true;
        //从缓存中获取用户
        UserDetails user = this.userCache.getUserFromCache(username);
        if (user == null) {
            cacheWasUsed = false;

            try {
            	//若缓存中没有此用户,则调用方法获得user,这里使用的是其子类DaoAuthentication的实现
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            } catch (UsernameNotFoundException var6) {
                this.logger.debug("User '" + username + "' not found");
                if (this.hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                }

                throw var6;
            }

            Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
        }

        try {
            this.preAuthenticationChecks.check(user);
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        } catch (AuthenticationException var7) {
            if (!cacheWasUsed) {
                throw var7;
            }

            cacheWasUsed = false;
            user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            this.preAuthenticationChecks.check(user);
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        }

        this.postAuthenticationChecks.check(user);
        if (!cacheWasUsed) {
            this.userCache.putUserInCache(user);
        }

        Object principalToReturn = user;
        if (this.forcePrincipalAsString) {
            principalToReturn = user.getUsername();
        }

        return this.createSuccessAuthentication(principalToReturn, authentication, user);
    }

下面是DaoAuthentication的retrieveUser方法实现代码。

protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        this.prepareTimingAttackProtection();

        try {
        	//可以看到这里使用UserDetailsService的loadUserByUsername获取User。
            UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
            if (loadedUser == null) {
                throw new InternalAuthenticationServiceException("UserDetailsService returned null, which is an interface contract violation");
            } else {
                return loadedUser;
            }
        } catch (UsernameNotFoundException var4) {
            this.mitigateAgainstTimingAttack(authentication);
            throw var4;
        } catch (InternalAuthenticationServiceException var5) {
            throw var5;
        } catch (Exception var6) {
            throw new InternalAuthenticationServiceException(var6.getMessage(), var6);
        }
    }

UserDetailService有多个实现类,其中一个便是InMemoryUserDetailsManager,即是熟悉的配置文件中配置在内存中的用户的获取。

讲到这里SpringSecurity认证流程基本也讲完了,我们可以总结最重要的两点即是从请求中提取用户信息的Filter类以及从本地获取用户信息的UserDetailService接口。若我们要实现自己的业务流程。便可首先从这两个点下手。
继承UsernamePasswordAuthenticationFilter以达到实现自己控制提取请求中的信息,比如前后端分离中提取json中的信息。
实现UserDetailService接口以通过自己想要的方式获取用户,比如通过自己的方法从数据库中获取用户。

whattress
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security码解析(一.基础知识点与流程介绍)
qq_30905661的博客
07-17 7957
目录 一、Authentication,AuthenticationManager,AuthenticationProvider ​二、UserDetails,UserDetailsService,UserCache,User 三、SecurityContext,SecurityContextHolder 四、WebSecurityConfigurerAdapter 五、总结 首先回想...
【Spring Security系列】Spring Security 基于内存的多用户支持
qq_28248897的博客
06-24 624
到目前为止,我们仍然只有一个可登录的用户,怎样引入多用户呢?非常简单,我们只需实现一个自定义的UserDetailsService即可。 @Bean public UserDetailsService userDetailsService() { InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager(); manager.createUser(User.withUsername("user").password("1
Spring Security UserDetail
Claroja
03-19 811
userdetail接口 public interface UserDetails extends Serializable { Collection<? extends GrantedAuthority> getAuthorities();//用户的权限集, 默认需要添加ROLE_ 前缀 String getPassword();//用户的加密后的密码, 不加密会使用{noop}前缀 String getUsername();//应用内唯一的用户名 boolea
spring security如何做的user的同步
weixin_34168880的博客
01-27 512
前言 在使用spring security开发的过程中,我们常常会用到这样的写法: UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext().getAuthentication(); 复制代码来获取UserDetails,即使是在多线程环境下,我们也总是能拿到想要的结果。很奇怪spring security...
Spring Security--概念概览
villare的博客
11-05 1112
文章内容 UserDetail && UserDetailService AuthenticationManager && AuthenticationProvider AccessDecisionManager && SecurityMetadataSource 总结 本文重要是对Security使用过程中相关概念的总结
SpringSecurity安全认证流程码分析
aaa_bbb_ccc_123_456的博客
11-05 2317
基于SpringSecurity表单登陆进行码分析 项目基础搭建略过 SpringSecurity安全认证基于一系列过滤器,表单提交,请求进入后端AbstractAuthenticationProcessingFilter过滤器doFilter方法 根据请求不同选择不同过滤器,表单提交选择UsernamePasswordAuthenticationFilter,之后具体流程为: 一步步分析,...
SpringSecurity码分析-登录认证
u011439259的博客
09-16 326
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring Security是Java世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
浅析Spring Security登录验证流程
08-25
浅析Spring Security登录验证流程 Spring Security登录验证流程是Spring Security框架中最核心的部分之一,本文将详细介绍Spring Security登录验证流程码解析,通过码讲解登录验证流程,具有很高的参考价值。...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
玩转SpringBoot安全管理:SpringSecurity之UserDetailService身份认证
Xmumu_的博客
08-03 3632
SpringSecurity身份认证之UserDetailsService
一起搞清楚 Spring Security 中的 UserDetails
程序猿DD
11-09 5890
点击蓝色“程序猿DD”关注我回复“资”获取独家整理的学习资料!170元买400元书的机会又来啦!1. 前言前一篇介绍了Spring Security入门的基础准备。从今天开始我们来一步步窥探它是如何工作的。我们又该如何驾驭它。请多多关注公众号:Felordcn。本篇将通过Spring Boot 2.x来讲解Spring Security中的用户主体UserDetails。以及从中...
详解Spring Security进阶身份认证之UserDetailsService(附码)
weixin_33738555的博客
01-29 4515
    在上一篇Spring Security身份认证博文中,我们采用了配置文件的方式从数据库中读取用户进行登录。虽然该方式的灵活性相较于静态账号密码的方式灵活了许多,但是将数据库的结构暴露在明显的位置上,绝对不是一个明智的做法。本文通过Java代码实现UserDetailsService接口来实现身份认证。    1.1 UserDetailsService在身份认证中的作用    Spring...
基于数据库自定义UserDetailsService实现Spring security认证
热门推荐
neweastsun的专栏
02-24 4万+
Spring security——基于数据库自定义UserDetailsService实现认证 本文将展示如何在spring security中创建基于数据库自定义UserDetailsService的认证服务。 UserDetailsService UserDetailsService接口用于返回用户相关数据。它有loadUserByUsername()方法,根据username查询用...
数据结构与算法-差分数组及应用
qq_36115196的博客
06-20 944
差分数组: 其实差分数组是创建一个一个辅助数组,用来表示给定数组的变化,一般用来对数组进行区间修改的操作。
日常工作记录目录
最新发布
与海
06-21 344
EasyExcel实现二维码下载与展示
Spring Security认证流程
11-30
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的安全认证和授权机制。下面是Spring Security的认证流程: 1. 用户访问需要认证的资,Spring Security会拦截请求并重定向到登录页面。 2. 用户输入用户名和密码,提交表单。 3. Spring Security会将表单提交的用户名和密码封装成一个Authentication对象。 4. AuthenticationManager接口会根据Authentication对象中的用户名和密码去调用UserDetailsService接口的实现类获取用户信息。 5. 如果获取到用户信息,则将用户信息封装成一个包含权限信息的Authentication对象返回给AuthenticationManager。 6. AuthenticationManager会将Authentication对象交给AuthenticationProvider接口的实现类进行认证。 7. 如果认证成功,则将认证成功的Authentication对象返回给Spring Security。 8. Spring Security会将认证成功的Authentication对象存储到SecurityContextHolder中,供后续的访问授权使用。 下面是一个简单的Spring Security认证流程的代码示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() .and() .formLogin() .and() .logout().logoutSuccessUrl("/login").permitAll(); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值