5分钟就搞定的SpringSecurity认证流程源码解析你真的不看吗

最新推荐文章于 2024-05-24 14:50:10 发布
最新推荐文章于 2024-05-24 14:50:10 发布
阅读量203 收藏
点赞数
文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44854986/article/details/119918047
版权

认证流程图

在这里插入图片描述

流程图详细说明

示例代码中为了简洁 已省略部分代码的展示

① UsernamePasswordAuthenticationFilter

UsernamePasswordAuthenticationFilter继承了AbstractAuthenticationProcessingFilter抽象类
所以调用的是父类AbstractAuthenticationProcessingFilter的doFilter方法

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        //...此处省略了部分代码 直接看最重要的
            Authentication authResult;
            try {
            		//因为attemptAuthentication被UsernamePasswordAuthenticationFilter重写 
            		//所以这里调用了子类的方法 具体内容往下翻
                authResult = this.attemptAuthentication(request, response);
                if (authResult == null) {
                    return;
                }
				//session处理策略 不重要
                this.sessionStrategy.onAuthentication(authResult, request, response);
            } catch () {
               //省略其他无关代码 
               
                //如果进入catch 这里会调用认证失败的方法
                //首先会清空Security上下文保留的认证信息
                //然后根据认证过程中出现的相应错误给出相应的提示
                this.unsuccessfulAuthentication(request, response, var8);
                return;
            }

			//以上过程都正常后 会调用认证成功的方法
			//首先将认证信息保存在security上下文中 
			//SecurityContextHolder.getContext().setAuthentication(authResult);
			//然后根据相应的配置做出认证成功处理 如跳转到网站首页 或 返回认证成功信息 等待
            this.successfulAuthentication(request, response, chain, authResult);
        }
    }

UsernamePasswordAuthenticationFilter

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
				//这里校验了登陆请求是否是POST的请求 如果不是则报错 
				//ps:请求类型可配置 默认Post请求
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
        			//通过请求获得前端登陆表单中的username(登录名)及password(登陆密码)
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            //省略部分代码
            username = username.trim();//去除登录名首尾两端的空格
            
            //这里就是将登陆信息封装成Authentication(未认证)对象
            //UsernamePasswordAuthenticationToken 实现了 Authentication类
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            //将请求中的其他有效信息 比如头信息(header)中信息添加的Authentication(未认证)对象中去
            this.setDetails(request, authRequest);
            //这里就开始调用验证登陆方法了 进入流程图第二步
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

对于未认证对象的解释

Authentication(未认证)对象
通过UsernamePasswordAuthenticationToken提供的两个构造器可知

	public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
        super((Collection)null);
        this.principal = principal;			//这个对象中保存了用户的认证信息
        this.credentials = credentials;
        this.setAuthenticated(false);		//这里表示当前对象是否已认证 false为未认证
    }

    public UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;			//这个对象中保存了用户的认证信息
        this.credentials = credentials;
        super.setAuthenticated(true);		//这里表示当前对象是否已认证 true为已认证
    }

② AuthenticationManager

AuthenticationManager 这是一个接口 用于管理用户登陆的认证信息

public interface AuthenticationManager {
		//以上return处就是调用了这个方法 而AuthenticationManager的默认实现类是ProviderManager
    Authentication authenticate(Authentication var1) throws AuthenticationException;
}

因为默认实现类是ProviderManager 所以默认调用了ProviderManager.authenticate方法进行验证
ProviderManager提供了多种认证方式 即多种AuthenticationProvider
如下

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        //省略部分代码

		//获取当前Authentication(未认证)对象的类型 即UsernamePasswordAuthenticationToken 
		Class<? extends Authentication> toTest = authentication.getClass();
				
		//这里获取了所有ProviderManager提供的所有认证方式 
		//getProviders()返回 List<AuthenticationProvider>
        Iterator var8 = this.getProviders().iterator();

			 //通过迭代器依次匹配 找到当前待验证对象的所匹配的认证方式
        while(var8.hasNext()) {
            AuthenticationProvider provider = (AuthenticationProvider)var8.next();
            //如果当前认证方式适合认证UsernamePasswordAuthenticationToken类型的信息 则进入
            if (provider.supports(toTest)) {
                
                }

                try {
                	//调用认证类AuthenticationProvider具体实现的校验方法
                	//这里说一下 AuthenticationProvider是一个接口 有多个实现类
                	//其中默认使用的实现类是DaoAuthenticationProvider
                	//具体内容在下一个小标题中
                    result = provider.authenticate(authentication);
                    if (result != null) {
                    //如果认证成功有返回结果了 就将认证完成信息放入原来的未认证对象中 使之成为认证对象
                        this.copyDetails(authentication, result);
                        break;
                    }
                    //以下是认证失败报错信息 已省略
                } catch () {
                
                }
            }
        }
    }

③ DaoAuthenticationProvider

DaoAuthenticationProvider继承了AbstractUserDetailsAuthenticationProvider抽象类
但是并没有重写其authenticate方法 所以以上provider.authenticate(authentication);走的是抽象类的authenticate方法 代码如下

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		//省略部分代码

        //前面的构造器那块内容有写过 authentication.getPrincipal()获取的是用户的认证信息
        //这里很简单 就是获取了用户的登录名
        String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
        boolean cacheWasUsed = true;
        UserDetails user = this.userCache.getUserFromCache(username);
        if (user == null) {
            cacheWasUsed = false;

            try {
            //DaoAuthenticationProvider实现了该方法 
            //走的是DaoAuthenticationProvider的方法 具体解释往下翻
            //该方法主要是用来查询数据库拿到username的用户信息的
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            } catch (UsernameNotFoundException var6) {
                //略
            }
        }

        try {
        /**
         * 因为UserDetails user对象里有四个方法
         * boolean isAccountNonExpired();			当前账号是否未过期
   		 * boolean isAccountNonLocked();			当前账号是否未锁定
   		 * boolean isCredentialsNonExpired(); 	    密码是否未过期
   		 * boolean isEnabled();						是否激活
   		 * 如果这4个方法中有一个是false 则报错了
   		 * 所以这里校验的就是user对象这四个方法是否都为true
   		 * 简单点说 就是校验账号状态是否正常
         */
            this.preAuthenticationChecks.check(user);
            /**
            * 该方法用于校验前端输入的密码和retrieveUser返回的user对象密码是否一致
            * 具体细节往下个代码块看
            */
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        } catch (AuthenticationException var7) {
        		//如果我们不是使用缓存存储用户登陆信息 上面代码报错 认证过程就会在这结束
            if (!cacheWasUsed) {
                throw var7;
            }
			//如果我们的账号密码是存储在缓存中 security会在上面的认证失败后再重加载一次最新的用户信息并进行比较
			//如果比较成功了还是可以登陆的
            cacheWasUsed = false;
            user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            this.preAuthenticationChecks.check(user);
            this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
        }
		//这里再校验了一次用户的登陆密码是否过期 原因是防止上面catch可能重新加载用户信息导致用户密码过期
        this.postAuthenticationChecks.check(user);
        //将用户信息放入容器缓存
        if (!cacheWasUsed) {
            this.userCache.putUserInCache(user);
        }
		//前面提到过 principal保存了用户的认证信息
        Object principalToReturn = user;
        //如果我们设置忽略用户的其他信息的话 principal就保存一个用户的用户名
        if (this.forcePrincipalAsString) {
            principalToReturn = user.getUsername();
        }
		//走到这里就说明认证完成了 调用以下方法将原先的未认证对象设置为认证对象并返回
        return this.createSuccessAuthentication(principalToReturn, authentication, user);
    }

以上authenticate认证方法中调用的retrieveUser方法解析如下
该方法是用于加载数据库存储的用户信息的

protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		//如果当前密码没加密 则进入该方法调用我们指定的方法进行密码加密
        this.prepareTimingAttackProtection();

        try {
        		//这里调用了UserDetailsService.loadUserByUsername()方法进行加载数据库用户信息
        		//正常是加载数据库信息的 在使用时我们都会重写security默认的loadUserByUsername方法
        		//通过登陆用户名查询数据库得到账号的信息并返回封装成UserDetails(接口)对象
            UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
            if (loadedUser == null) {
                throw new InternalAuthenticationServiceException("UserDetailsService returned null, which is an interface contract violation");
            } else {
            	//有查到该用户名的用户信息就返回给调用方
                return loadedUser;
            }
        } catch () {
            //省略报错信息代码
        }
    }

以上authenticate认证方法中调用的additionalAuthenticationChecks方法解析如下
该方法是用于校验登陆密码的

protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
     		//省略校验信息

			//(security5.x以上提供了多种加密方法 要求使用时必须指定一种 这个在配置文件中体现)
			//拿到前面所说的未认证对象中封装的登陆密码(前端传过来的)通过我们指定的密码加密
			//和userDetails(retrieveUser方法查询数据库得到的)的密码进行比较 如果匹配失败就报错
            String presentedPassword = authentication.getCredentials().toString();
            if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {//这个方法就将两个传入的密码进行加密比较了 比较简单 不赘述了
            //报错信息可以不看
                this.logger.debug("Authentication failed: password does not match stored value");
                throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }
        
    }

④ UserDetailsService

UserDetailsService是一个接口

public interface UserDetailsService {
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

常用实现类有两个:

  • JdbcUserDetailsManager 使用jdbc查询数据库获取对象信息(需配置)
  • InMemoryUserDetailsManager 在内存中加载用户信息 (需配置)

正常使用都是新建一个类去实现UserDetailsService接口并实现loadUserByUsername方法
如:

	@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.查询数据库用户信息
        User user = userMapper.get(username);
        //判断是否有用户
        if (user == null){
            throw new UsernameNotFoundException("用户不存在");
        }
        //查询该用户的权限信息
        List<String> permissionValueList = authorityMapper.get(username);

        //将查出的用户信息拷贝至 存储到security上下文的用户类中
        com.security.entity.User currentUser = new com.security.entity.User();
        BeanUtils.copyProperties(user, currentUser);

        //新建UserDetails实例
        UserBean userBean = new UserBean();
            //设置当前对象信息
        userBean.setUser(currentUser);
            //设置权限信息
        userBean.setPermissionValueList(permissionValueList);

        return userBean;
    }

至此 认证源码介绍就结束了 感谢观看

Will.Jin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
springsecurity UsernamePasswordAuthenticationFilter PasswordEncoder
six_teen的博客
11-17 1732
最近开始学习了springsecurity框架,为写后台页面做个权限管理什么的打基础。 springsecurity是基础springboot的,所以创建一个springboot工程引入依赖就可以很轻松的整合springsecurity了。(类似的权限管理框架还有shiro) 1. 创建一个普通的springboot项目(不用勾选任何东西),我这边使用的springboot版本是2.2.1.RELEASE 依赖如下: pom.xml <dependencies> <!--sprin
Spring Security 5: UsernamePasswordAuthenticationFilter 的子类重写 unsuccessfulAuthentication 方法不执行分析及解决
Specif1c的博客
02-28 5440
一、前言: 在 Spring Security 框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。从下图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系。 最近我用 Spring Security 做登录验证的时候遇到一个问题。UsernamePasswordAuthenticationFilter 继承的子类重写successfulAuthentication 、u
Spring Security】重写 UsernamePasswordAuthenticationFilter 支持登录校验 JSON 数据
最新发布
healer_ai的博客
05-24 1150
Spring Security 5.7 及更高版本中,`WebSecurityConfigurerAdapter` 已被弃用。取而代之的是配置类和 `SecurityFilterChain` Bean 的方式
Spring Security 源码解读 :Username/Password认证
weixin_41866717的博客
02-04 1602
Spring Security 关于username/password方式登录
Spring Security执行原理流程
热门推荐
我神级欧文的博客
06-18 2万+
1.基本配置使用 (1)创建配置类 创建一个配置类SecurityConfig继承自WebSecurityConfigurerAdapter,重写里面的configure(HttpSecurity http)这个方法,配置好需要认证的登录url,以及提交表单的url,这里除了登录url不需要认证之外,其他的url都需要认证才能访问,并且formLogin表名这是一个表单提交,loginproc...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring SecurityJava世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
spring security ouath2获取token(认证)流程图.pdf
08-26
Spring Security OAuth2 是一个强大的授权框架,用于保护Java应用程序的安全。在这个流程中,我们主要关注的是使用`password`方式获取OAuth2的访问令牌(token)。下面将详细解释这个过程。 首先,客户端发起一个...
springsecurity认证(1)
qq_17432551的博客
05-19 290
springsecurity认证流程 springsecurity认证流程如下,登录请求被UsernamePasswordAuthenticationFilter拦截,过滤器调用认证管理器,认证管理器使用authenticationprovider来进行认证,userdetailservice用来提供用户信息(userdetails)给authenticationprovider以便认证 UsernamePasswordAuthenticationFilter UsernamePasswor.
学习SpringSecurity的日常生活(三)——前后台分离登录
dongbeihuxiao的博客
04-11 2157
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代.
Spring Security小教程 Vol 4. 使用用户名和密码验证身份-UsernamePasswordAuthenticationFilter
03-11 1194
https://www.jianshu.com/p/e98cdf23b991 前言 上一期我们分享了Spring Security是如何通过AbstractAuthenticationProcessingFilter向Web应用向基于HTTP、浏览器的请求提供身份验证服务的。 这一次我们针对最常用,也是Spring Security默认在HTTP上使用的验证过滤器转存失败重新上传取消即基于用户...
UsernamePasswordAuthenticationFilter
m0_57560984的博客
09-03 4519
我们前面介绍的账户密码都是指定在我们的xml配置文件中,我们最终还是需要实现和数据库中的数据比较,那么我们就需要自定义认证逻辑的实现。 我们还是一样先进行源码分析,系统认证是通过UsernamePasswordAuthenticationFilter过滤器实现的。 表单提交参数 public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter { //...
Spring Security源码解析(一)
qq_40577332的博客
05-30 3328
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
1.spring security认证流程
weixin_45974277的博客
02-24 4842
让我们仔细分析认证过程: 1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到, 封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证,然后交给DaoAuthenticationProvider委托..
spring security5.x Oauth2 client_credentials模式客户端获取token源码
路过君的博客
11-08 1308
依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> 配置 spring: security: oauth2: client: registration:
深入解析Spring Security 3源码
"Spring Security源码分析.pdf" Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这份PDF文档详细分析了Spring Security 3的源代码,帮助开发者深入理解其内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值