浅谈 SpringSecurity使用方式——认证流程及原理(三)

最新推荐文章于 2024-10-10 20:38:29 发布
最新推荐文章于 2024-10-10 20:38:29 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 权限框架 文章标签: java http tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46195957/article/details/120238204
版权

3、Spring Security认证原理

3.1、认证流程

Spring Security是如何完成身份认证的?

1、用户名和密码被UsernamePasswordAuthenticationFilter过滤器获取到,封装成 Authentication ,通常情况下是UsernamePasswordAuthenticationToken 这个实现类。

2、AuthenticationManager 身份管理器(委托给DaoAuthenticationProvider调用UserDeatilsService的loadUserByUsername()获取用户信息并返回)负责验证这个 Authentication ,

3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除) Authentication 实例。

4、SecurityContextHolder 安全上下文容器将第3步填充了信息的 Authentication ,通过SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中。

在这里插入图片描述

3.2、相关接口
UsernamePasswordAuthenticationFilter

当用户登录时发出post请求,会先被UsernamePasswordAuthenticationFilter(假设不设置addFilterBefore)所拦截,这个拦截器主要的作用就是拦截登录请求,在封装成UsernamePasswordAuthenticationToken(username,password)注意此时还未通过验证,然后调用AuthenticationManager 进行身份认证。但是实际流程可不是这么简单,我们来分析一下源码就知道UsernamePasswordAuthentiactionFilter在SpringSecurity中的作用

  • 首先我们先来看一下UsernamePasswordAuthenticationFilter的继承树;可以看到UsernamePasswordAuthenticationFilter最终也是实现了Filter,而我们在UsernamePasswordAuthenticationFilter当中并没有找到Filter接口的象征性方法doFilter(request,response,chain),到这一步我们就应该意识到springsecurity的拦截器链中最先调用的拦截器并不是UsernamePasswordAuthenticationFilter,所以我们可以按照继承树的继承顺序往上找
    在这里插入图片描述

  • 顺着继承树我们发现AbstractAuthenticationProcessingFilter有doFilter方法,我们来分析一下这个方法

    • 这里有两个方法,一个是重写Filter的doFilter,还有一个是私有的doFilter ; 在代码的第9行我们看到一个条件判断,如果不需要认证就直接放行,我们去看一下requiresAuthentication(request, response)方法的实现

      AbstractAuthenticationProcessingFilter.class

    @Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
    throws IOException, ServletException {
    doFilter((HttpServletRequest) request, (HttpServletResponse) response, chain);
}

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
    throws IOException, ServletException {
    if (!requiresAuthentication(request, response)) {  // 如果requiresAuthentication(request, response)为false则不														需要去认证,直接放行
        chain.doFilter(request, response);
        return;
    }
    try {
        Authentication authenticationResult = attemptAuthentication(request, response);
        if (authenticationResult == null) {
            // return immediately as subclass has indicated that it hasn't completed
            return;
        }
        this.sessionStrategy.onAuthentication(authenticationResult, request, response);
        // Authentication success
        if (this.continueChainBeforeSuccessfulAuthentication) {
            chain.doFilter(request, response);
        }
        successfulAuthentication(request, response, chain, authenticationResult);
    }
    catch (InternalAuthenticationServiceException failed) {
        this.logger.error("An internal error occurred while trying to authenticate the user.", failed);
        unsuccessfulAuthentication(request, response, failed);
    }
    catch (AuthenticationException ex) {
        // Authentication failed
        unsuccessfulAuthentication(request, response, ex);
    }
}

    • 可以看到在该方法中又调用了一个看起来很陌生的方法this.requiresAuthenticationRequestMatcher.matches(request),但其实在AbstractAuthenticationProcessingFilter的其中一个构造方法中就已经对requiresAuthenticationRequestMatcher进行了赋值,由于这是一个构造方法,当子类继承父类的时候,子类的构造方法是可以去调用父类的构造方法(使用super关键字),所以我们在UsernamePasswordAuthenticationFilter的构造方法就发现了对requiresAuthenticationRequestMatcher的赋值

      AbstractAuthenticationProcessingFilter.class

    protected boolean requiresAuthentication(HttpServletRequest request, HttpServletResponse response) {
		if (this.requiresAuthenticationRequestMatcher.matches(request)) {  // 调用了一个新的方法
			return true;
		}
		if (this.logger.isTraceEnabled()) {
			this.logger
					.trace(LogMessage.format("Did not match request to %s", this.requiresAuthenticationRequestMatcher));
		}
		return false;
	}

//  AbstractAuthenticationProcessingFilter其中一个构造方法
protected AbstractAuthenticationProcessingFilter(RequestMatcher requiresAuthenticationRequestMatcher) {
		Assert.notNull(requiresAuthenticationRequestMatcher, "requiresAuthenticationRequestMatcher cannot be null");
		this.requiresAuthenticationRequestMatcher = requiresAuthenticationRequestMatcher;
	}
    • 我们看到赋值为new AntPathRequestMatcher("/login",“POST”),是post风格路径为"login",想必走到这里大家就可以理解为什么只有用户发起登录的请求时才会被拦截,其他请求则会被放行吧

    ​ UsernamePasswordAuthenticationFilter.class

    // 定义静态属性并赋值
private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER
    = new AntPathRequestMatcher("/login","POST");
// 调用AbstractAuthenticationProcessingFilter的构造方法进行赋值
public UsernamePasswordAuthenticationFilter() {
		super(DEFAULT_ANT_PATH_REQUEST_MATCHER);
	}
    • 而 AbstractAuthenticationProcessingFilter的另一个构造器也会为requiresAuthenticationRequestMatcher进行赋值

    ​ AbstractAuthenticationProcessingFilter.class

    protected AbstractAuthenticationProcessingFilter(String defaultFilterProcessesUrl) {
    setFilterProcessesUrl(defaultFilterProcessesUrl);
}

public void setFilterProcessesUrl(String filterProcessesUrl) {
    setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher(filterProcessesUrl));
}
public final void setRequiresAuthenticationRequestMatcher(RequestMatcher requestMatcher) {
    Assert.notNull(requestMatcher, "requestMatcher cannot be null");
    this.requiresAuthenticationRequestMatcher = requestMatcher;
}

  • 在分析之后我们得出一个结论requiresAuthentication(request, response),返回值是通过客户端发起的请求是否为/login,且是post风格的请求,如果是则继续进行认证,如果不是则直接放行,我们来看一下继续进行认证该怎么走

    private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		if (!requiresAuthentication(request, response)) {  // ture,继续认证
			chain.doFilter(request, response);
			return;
		}
		try {
			Authentication authenticationResult = attemptAuthentication(request, response);
			if (authenticationResult == null) {
				// return immediately as subclass has indicated that it hasn't completed
				return;
			}
			this.sessionStrategy.onAuthentication(authenticationResult, request, response);
			// Authentication success
			if (this.continueChainBeforeSuccessfulAuthentication) {
				chain.doFilter(request, response);
			}
			successfulAuthentication(request, response, chain, authenticationResult);
		}
		catch (InternalAuthenticationServiceException failed) {
			this.logger.error("An internal error occurred while trying to authenticate the user.", failed);
			unsuccessfulAuthentication(request, response, failed);
		}
		catch (AuthenticationException ex) {
			// Authentication failed
			unsuccessfulAuthentication(request, response, ex);
		}
	}

    • 通过上面代码的第8行,发现调用了attemptAuthentication(request, response)这个方法,点进去方法这是一个抽象方法,就意味着子类要重写这个方法,所以我们又回到了UsernamePasswordAuthenticationFilter中去,attemptAuthentication()这个方法主要是对用户名密码规范化后通过UsernamePasswordAuthenticationToken封装用户名密码,再通过委托类 AuthenticationManager 的验证方法 authenticate() 进行身份验证

      ​ UsernamePasswordAuthenticationFilter.class

      @Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
			throws AuthenticationException {
		if (this.postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
		}
		String username = obtainUsername(request);
		username = (username != null) ? username : "";
		username = username.trim();
		String password = obtainPassword(request);
		password = (password != null) ? password : "";
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
		return this.getAuthenticationManager().authenticate(authRequest);
	}
AuthenticationManager

AuthenticationManger涉及到的接口和类比较多

  • AuthenticationManager 为认证管理接口类,其定义了认证方法 authenticate()

    public interface AuthenticationManager {
	Authentication authenticate(Authentication authentication) throws AuthenticationException;
}

  • ProviderManager为认证管理类,实现了接口 AuthenticationManager ,并在认证方法 authenticate() 中将身份认证委托给具有认证资格的 AuthenticationProvider进行身份认证 。总的来说,ProviderManager是 AuthenticationManager 的一个实现类,提供了基本的认证逻辑和方法;它包含了一个List属性,通过 AuthenticationProvider 接口来扩展出多种认证方式,实际上这是委托者模式的应用(Delegate)

    	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		int currentPosition = 0;
		int size = this.providers.size();
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {  // 寻找具有认证资格的AuthenticationProvider进行身份认证
				continue;
			}
			if (logger.isTraceEnabled()) {
				logger.trace(LogMessage.format("Authenticating request with %s (%d/%d)",
						provider.getClass().getSimpleName(), ++currentPosition, size));
			}
			try {
				result = provider.authenticate(authentication); //  AuthenticationProvider 接口来扩展出多种认证方式,来进行委托认证
				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException | InternalAuthenticationServiceException ex) {
				prepareException(ex, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw ex;
			}
			catch (AuthenticationException ex) {
				lastExcepion = ex;
			}
		}
	········
	}

  • ProviderManager中的成员变量 providers [List] 存储了一个 AuthenticationProvider类型的 List,在ProviderManager的authenticate()方法会去循环遍历这个providers,寻找合适的xxxAuthenticationProvider去委托处理authentication

ProviderManager.class

private List<AuthenticationProvider> providers = Collections.emptyList();
AuthenticationProvider

  • AuthenticationProvider为认证接口类,其定义了身份认证方法 authenticate()。AuthenticationProvider有多个实现类,这每一个实现类都会被遍历直到寻找的合适的xxxAuthenticationProvider去验证authentication

  • AbstractUserDetailsAuthenticationProvider为认证抽象类,实现了接口 AuthenticationProvider定义的认证方法 authenticate()AbstractUserDetailsAuthenticationProvider还定义了retrieveUser()用作查询数据库用户信息,以及 additionalAuthenticationChecks()用作身份认证。

    @Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
                        () -> this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports",
                                                       "Only UsernamePasswordAuthenticationToken is supported"));
    String username = determineUsername(authentication);
    boolean cacheWasUsed = true;
    UserDetails user = this.userCache.getUserFromCache(username);
    if (user == null) {
        cacheWasUsed = false;
        try {
            user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication); //数据库中查询数据
        }
        catch (UsernameNotFoundException ex) {
            this.logger.debug("Failed to find user '" + username + "'");
            if (!this.hideUserNotFoundExceptions) {
                throw ex;
            }
            throw new BadCredentialsException(this.messages
                                              .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
        Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
    }
    try {
        this.preAuthenticationChecks.check(user);
        additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication); // 校验密码
    }
    catch (AuthenticationException ex) {
        if (!cacheWasUsed) {
            throw ex;
        }
        // There was a problem, so try again after checking
        // we're using latest data (i.e. not from the cache)
        cacheWasUsed = false;
        user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
        this.preAuthenticationChecks.check(user);
        additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
    }
    this.postAuthenticationChecks.check(user);
    if (!cacheWasUsed) {
        this.userCache.putUserInCache(user);
    }
    Object principalToReturn = user;
    if (this.forcePrincipalAsString) {
        principalToReturn = user.getUsername();
    }
    return createSuccessAuthentication(principalToReturn, authentication, user);
}

    • DaoAuthenticationProvider继承自类 AbstractUserDetailsAuthenticationProvider,实现该类的方法 retrieveUser() 和 additionalAuthenticationChecks()。
      DaoAuthenticationProvider中还具有成员变量 userDetailsService [UserDetailsService] 用作用户信息查询,以及成员变量 passwordEncoder [PasswordEncoder] 用作密码的加密及验证。

      • retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication)

      DaoAuthenticationProvider.class

      @Override
protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
  throws AuthenticationException {
 prepareTimingAttackProtection();
 try {
  UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
  if (loadedUser == null) {
   throw new InternalAuthenticationServiceException(
     "UserDetailsService returned null, which is an interface contract violation");
  }
  return loadedUser;
 }
 catch (UsernameNotFoundException ex) {
  mitigateAgainstTimingAttack(authentication);
  throw ex;
 }
 catch (InternalAuthenticationServiceException ex) {
  throw ex;
 }
 catch (Exception ex) {
  throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
 }
}
      • additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication)
      @Override
@SuppressWarnings("deprecation")
protected void additionalAuthenticationChecks(UserDetails userDetails,
                                              UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
    if (authentication.getCredentials() == null) {
        this.logger.debug("Failed to authenticate since no credentials provided");
        throw new BadCredentialsException(this.messages
                                          .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
    }
    String presentedPassword = authentication.getCredentials().toString();
    if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
        this.logger.debug("Failed to authenticate since password does not match stored value");
        throw new BadCredentialsException(this.messages
                                          .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
    }
}
Authentication

Authentication在spring security中是最高级别的身份/认证的抽象,由这个顶级接口,我们可以得到用户拥有的权限信息列表,密码,用户细节信息,用户身份信息,认证信息。

public interface Authentication extends Principal, Serializable { 
    //1.权限信息列表,可使用 AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_ADMIN")返回字符串权 限集合
    Collection<? extends GrantedAuthority> getAuthorities(); 
    //2.密码信息,用户输入的密码字符串,在认证过后通常会被移除,用于保障安全。 
    Object getCredentials();
    //3.认证时包含的一些信息,web应用中的实现接口通常为 WebAuthenticationDetails,它记录了 访问者的ip地址和sessionId的值。
    Object getDetails();
    //4.身份信息,大部分情况下返回的是UserDetails接口的实现类 
    Object getPrincipal();
    //5.是否被认证,认证为true 
    boolean isAuthenticated();
    //6.设置是否能被认证 
    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}
UsernamePasswordAuthenticationToken

UsernamePasswordAuthenticationToken 实现了 Authentication 主要是将用户输入的用户名和密码进行封装,并供给 AuthenticationManager 进行验证;验证完成以后将返回一个认证成功的Authentication 对象

SecurityContextHolder

用于存储安全上下文(security context)的信息, SecurityContextHolder 默认使用 ThreadLocal策略来存储认证信息。

// 获取当前用户名 
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 
if (principal instanceof UserDetails) { 
    String username = ((UserDetails)principal).getUsername();
} else { 
    String username = principal.toString(); 
}
UserDetailsService
public interface UserDetailsService { 
// 根据用户名加载用户信息 
UserDetails loadUserByUsername(String username) throws 
UsernameNotFoundException; 
}
小爽帅到拖网速
关注
专栏目录
Spring Security Core Plugin 九(URL属性)
金溪的博客
04-13 396
PropertyDefault ValueMeaningapf.filterProcessesUrl“/login/authenticate”Login form post URL, intercepted by Spring Security filterapf.usernameParameter“username”Login form username parameterapf.passwor...
[spring security那点事儿]编写自己的过滤器
quzishen的专栏
09-17 6269
<br />通常而言,使用spring security来进行身份验证的同时,还需要进行一些附加操作,注入校验码检查,session中安全信息的检查,用户最后登录流水记录等。不排除这些在ss执行完成后进入某个页面,在其渲染类中可以实现,但是这样的方式从设计角度而言,是拆分了登录的整个独立过程,是属于单纯的实现功能而实现功能。<br />所以这里我们就需要封装底层spring security过滤器,以实现自己需求的过滤器。<br /> <br />先说第一个常用需求:用户登录的时候检查校验码,并且记录用户的
一文读懂Spring Security的工作原理和机制(面试经)
最新发布
splendid_java的专栏
10-10 1375
博主精心准备的一文读懂Spring系列文章,旨在通过简洁精炼的语言,展现Spring内部精妙的设计思想。我们知道Spring是一个web容器,不知道的同学,可以把它视为一个“盒子”。凡是符合添加规则的组件,均可装进这个“盒子”,再注入一点架构设计,进而实现你的业务逻辑。话不多言,再接再厉,本文继续带着各位盆友读懂Spring。今天的主角是谁呢?。那么有请它先亮个相吧。Spring Security为J2EE企业级应用提供了全面的安全服务。这里有一个特别的强调的地方,应用是基于Spring框架开发的。
SpringSecurity认证流程详解(附源码)
weixin_50205273的博客
11-22 640
盐值加密 1. 原理概述 SpringSecurity使用地是随机盐值加密 随机盐是在对密码摘要之前随机生成一个盐,并且会把这个盐的明文和摘要拼接一起保存 举个例子:密码是pwd,随机盐是abc,pwd+abc摘要后的信息是xyz,最后保存的密码就是abcxyz 随机盐 同一个密码,每次摘要后的结果都不同,但是可以根据摘要里保存的盐来校验摘要和明文密码是否匹配 在hashpw函数中, 我们可以看到以下这句 real_salt = salt.substring(off + 3, off + 25
SpringSecurity(十一) 登录流程分析(下)
陈橙橙
03-16 1536
前言 上一篇我们对SpringSecurity登录流程几个重要组件进行了简单的分析,最后遗留下来了一点,这里我们将继续上篇内容讨论。有兴趣的朋友可以看看本专栏的文章。还请不吝赐教。 AbstractAuthenticationProcessingFilter 作为SpringSecurity过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份你认证,我们来用图看看它的工作流程: 上图显示的流程是一个通用的架构。 AbstractAut
用户名/密码认证
呜呼哈
04-05 8774
表单登录 让我们来看看基于表单的登录在 Spring Security 中是如何工作的。首先,我们看到如何将用户重定向到登录表单。 该图构建了我们的 SecurityFilterChain 图。 首先,用户向未授权的资源/私有发出未经身份验证的请求。 Spring SecurityFilterSecurityInterceptor 通过抛出 AccessDeniedException 表示拒绝未经身份验证的请求。 由于用户没有经过身份验证,ExceptionTranslationFilter
基于SpringBoot的商品管理后台ERP系统——商品管理模块
qq1744828575的博客
11-22 2320
随着我国互联网的普及率不断提高,以及物流货运行业的逐渐兴起,人们对电子交易模式进行交易活动和相关服务活动这些业务需求也在不断增长,衍生了大量的第方交易平台,使得许多电子商务企业得到了突飞猛进式的发展。与此同时,成千上万的商品信息被存储进了这些企业的数据库里面,如何去围绕商品的各种信息来促进订单的合理管理,成为电商企业需要考虑的问题之一。
Java学习专栏!全网最牛!
weixin_70730532的博客
08-12 2717
00254:《SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.0》00242:《SpringCloud Alibaba微服务实战二十四 - SpringCloud Gateway的全局异常处理》00251:《SpringCloud Alibaba微服务实战十五 - SpringCloud 容器化部署》00248:《SpringCloud Alibaba微服务实战十八 - Oauth2.0 自定义授权模式》00184:《TCP网络那点破事!..
java架构师进阶之路
henhenha的博客
03-30 4848
包含了计算机基础、算法和数据结构、常用工具、java核心知识、性能优化、基础框架、数据库、消息队列、缓存中间件、搜索引擎、大数据、RPC、网关、容器、面试等知识
神秘的java
stay hungry,stay foolish!
11-02 1653
1.单元测试不再怕!一文学会SpringBoot单元测试2.一文搞懂🔥SpringBoot自动配置原理3.封装属于自己的Spring-Boot-Starter4.爽!🔥自定义SpringBoot的@EnableXXX注解1.灰度发布是什么?
Java代码审计企业级实战
悦分享
07-15 2622
跨站请求伪造是一种使已登录用户在不知情的情况下执行某种动作的攻击。在/reset接口,因为代码@SessionAttributes("user"),将user对象从ModelMap中读出并放入session中,因此user中的answer=hhd也加入了session中。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。恶意攻击者可以伪造ZIP文件中用来描述解压条目大小的字段,因此,getSize()方法的返回值是不可靠的。...
深入理解SpringSecurity中的Authentication信息与登录流程和过滤器的配置:addFilterBefore
m0_71777195的博客
07-06 2640
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。
spring security Ⅲ—— authenticationManager.authenticate()验证流程
热门推荐
qq_45947664的博客
10-14 1万+
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
springboot + security +CAS 注意事项
mushuntaosama的博客
12-13 3961
上一篇文章里的SecurityConfig.java配置文件初始化的时候会设置cas登陆后的service路径,如下的serive为“localhost:8080/admin/index.html”,我设置的登陆权限是"/admin/**",访问这个url会跳转到cas服务登陆,但是登陆成功后是无法跳转回这个页面的,因为这个页面和service是同一个 /** * 指定service相关信息
Markdonw语法
吴大侠的博客
11-25 2621
[TOC] Spring Security功能的实现主要是由一系列过滤器相互配合完 成。也称之为过滤器链,Spring Security默认加载15个过滤器, 但是随着配置可以增加或者删除一些过滤器. 一、过滤器链介绍 过滤器是一种典型的AOP思想,下面简单了解下这些过滤器链,后续再源码剖析中在涉及到过滤器链在 仔细讲解 1.org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter 根据
spring-cloud-starter-oauth2 密码模式认证过程
yx444535180的专栏
07-12 4383
上文讲到在密码模式下 OAuth2主要用于校验客户端合法性、产生token、校验token Sercurity主要用于用户名密码校验、接口权限控制 OAuth2与Sercurity整合之后,校验顺序: 获取token请求:校验客户端合法性——校验用户名密码——产生token 受保护的接口请求:校验token——校验接口权限 下面就来看下,每个步骤在源码中是如何实现的客户端合法性校验,第一步校验client_id、client_secret,就是客户端id和密码;第二步校验grant_type;第步校验sc
Spring Security学习(一)认证与授权
德玛西亚
03-07 1589
Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。简单来说springsecurity主要对用户进行认证以及授权。认证是指验证用户是否为当前系统中的用户, 授权是指验证用户是否有权限执行某个操作。故此本文着重从认证以及授权两个方向对springsecurity进行分析。 核心组件 Security...
Spring Security---ONE
m0_53157173的博客
11-18 814
Spring Security知识点重点和盲点整理Http Basic登录认证流程原理PasswordEncoder详解PasswordEncoder 接口接口实现类formLogin模式登录认证说明登录认证及资源访问权限的控制用户及角色信息配置 Http Basic登录认证流程原理 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protec
Spring Security Oauth2 执行流程剖析
baidu_33403616的博客
09-18 2032
1.工作原理及过程 OAuth 2.0的运行流程如下图 本篇案列主要基于授权码模式(authorization code)一下是授权码模式的运行流程如下图 2.时序图展示 3.核心源码解析 基于spring security Oauth2主要就个类: 1.AbstractAuthenticationProcessingFilter 主要是用来对用户的访问请求进行拦截认证的入口 2.AuthorizationEndpoint 主要是匹配授权模式(1.授权码模式 2...
Spring Security自定义登录与认证流程实战
Spring Security 自定义用户认证流程详解是一篇深入介绍如何在Spring Security框架中实现自定义登录验证的文章。本文主要涉及以下几个关键知识点: 1. **自定义登录页面**: - 开始时,你需要创建一个静态HTML登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值