认证篇:Spring Security 表单登录认证源码解析

已于 2022-02-15 20:31:06 修改
阅读量522 收藏 2
点赞数 2
分类专栏: SpringSecurity 文章标签: java spring spring boot
于 2020-09-26 14:31:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46920376/article/details/108810153
版权
本文深入解析Spring Security的表单登录认证过程,包括登录信息封装、认证流程及关键类的作用。通过分析源码,了解认证管理接口、认证管理类以及具体认证处理器的工作原理,为自定义认证方式打下基础。
摘要由CSDN通过智能技术生成

图1-0 表单登录源码解析总结图

原理讲解

接上回分解,上回我们聊到了认证(一):基于表单登录的认证模式,正所谓:“知其然,然后知其所以然”;就让我们来一探究竟,瞅瞅 Spring Security到底是怎么实现表单登录的。

首先我们先来回顾一下上篇文章我们制作的 Spring Security的表单认证的流程图:

图1-1 Spring Security表单登录认证流程图

从流程图中我们可以简单的了解到,整个认证流程大致上分为3个模块:

  • 登录信息的封装

  • 认证

  • 收尾处理(成功&失败处理)

核心模块为 认证模块,下面就来看看认证模块 AuthenticationManager的相关类图:

图1-2 认证类图

该图可以分2块来看,分别是左边负责掌控全局的"大哥",以及右边勤勤恳恳的"小弟们"。

总所周知,“大哥"都不需要亲历亲为的,所以"大哥” AuthenticationManager认证管理接口,只定义了认证方法 authenticate(),具体咋实现就让小弟们去搞吧~~

“二当家” ProviderManager为认证管理类,实现了 AuthenticationManager(二当家肯定要听大哥的话),并在认证方法 authenticate()中将身份认证委托给具有认证资格的 AuthenticationProvider(真正干活的小弟们);同时
ProviderManaer有一个成员变量 List<AuthenticationProvider> providers用以存储了所有具体执行认证的"小弟们"。

接下来介绍一下右边勤勤恳恳的"小弟们",首先是AuthenticationProvider认证接口类,其定义了身份认证方法authenticate();这个也比较好理解;你怎么证明自己是我的"小弟"呢?当然是得入我门为我干活拉!AuthenticationProvider接口就是起这个作用。

AbstractUserDetailAuthenticationProvider为认证抽象类,实现了接口AuthenticationProvider,同时还定义了抽象方法retrieveUser()用于从数据库中获取用户信息,以及additionalAuthenticationChecks()做身份认证;这块可能会犯迷糊,为啥子这个"小弟"还是个抽象类呢?不必慌张,其实只是为了一些功能的复用。

DaoAuthenticationProvider认证类继承于AbstractUserDetailAuthenticationProvider抽象认证类,实现了上面提到的2个抽象方法retrieveUser和additionalAuthenticationChecks;并自定义了一些成员变量:private UserDetailsService userDetailsService;用以用户信息查询,以及private PasswordEncoder passwordEncoder用作密码的加密认证。

源码解析

在大致了解了原理之后,就开始了我们的阅读源码之旅拉;分两个模块来看,分别是:登录信息的封装以及 认证

登录信息的封装

登录信息的封装是指将前端传递的username和password封装成 UsernamePasswordAuthenticationToken

UsernamePasswordAuthenticationFilter.class的 attemptAuthentication()方法

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
   
    if (this.postOnly && !request.getMethod().equals("POST")) {
   
        throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
    } else {
   
        String username = this.obtainUsername(request);
        String password = this.obtainPassword(request);
        if (username == null) {
   
            username = "";
        }

        if (password == null) {
   
            password = "";
        }

        username = username.trim();
        // 将http请求的Request带的认证参数:username、password转换为认证的token对象
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
        // 设置一些详细信息, 诸如发送请求的ip等...
        this.setDetails(request, authRequest);
        // 调用AuthenticationManager的authenticate方法 执行认证
        return this.getAuthenticationManager().authenticate(authRequest);
    }
}

attemptAuthentication()方法做的事情很简单,主要是将登录信息 username和password封装成 UsernamePasswordAuthenticationToken。那么这个Token到底是起什么作用呢?其实也很简单,主要是用于后续认证的时候,寻找匹配的认证处理器,例如表单登录的 UsernamePasswordAuthenticationToken会唯一匹配相应的认证Provider

认证

从上面我们也可以看到,在将登录信息封装成Token后,就调用了 AuthenticationManagerauthenticate()方法执行认证操作;因 AuthenticationManager是一个接口,我们来分析它的实现类 ProviderManager

ProviderManager.class的authenticate()方法

public Authentication authenticate(Authentication authen
最低0.47元/天 解锁文章
小奇学编程
关注
专栏目录
SpringSecurity表单登录流程源码分析
程序员劝退师的博客
10-12 446
先看看这种核心流程图 这张图是SpringSecurity认证涉及到的核心类 让应用Debug启动 点击表单登录 进入到 这个就是上图中的绿色过滤器 , 这个类中首先进入attemptAuthentication这个方法,获取用户名密码,然后用获取到的用户名密码构建了一个UsernamePasswordAuthenticationToken这个对象 顶层就是实现了Authentication,这个Authentication实际上就是封装登录这的认证信息,接着上面构建UsernamePasswor
架构师:搭建Spring Security、OAuth2和JWT 的安全认证框架
木头
05-06 325
搭建Spring Security、OAuth2和JWT 的安全认证框架
Spring Security 自动登录源码分析
qq_34125999的博客
04-13 245
1 RememberMeServices 源码解析 描述: 实现自动登录核心类。查看UsernamePasswordAuthenticationFilter(认证)过滤器。 描述: RememberMeServices 会创建token并且会存入cookie中。 描述: 创建token有两种方式,基于内存,基于数据库、这里看基于数据库。 描述: JdbcTokenRepositoryImpl该类封装了很多sql语句,用于操作token。第一条比较重要,建表语句。 CREATE TABLE p
Spring Security 认证源码超详细分析
最新发布
緑水長流*z
08-30 3116
AbstractAuthenticationProcessingFilter 为处理认证请求提供了一个基础框架。这个抽象类主要用于处理 HTTP 请求,并将其转换为 Authentication 对象,然后提交给 AuthenticationManager 进行认证。这不就是我们前面介绍的 UsernamePasswordAuthenticationFilter 吗?
Spring Security登录认证源码分析
Charge8的博客
01-04 1508
Spring Security登录认证源码分析
华为ac配置radius认证服务器_华为AC配置802.1X认证(示例代码)
weixin_42550614的博客
01-13 1028
system-view[AC6005]vlan batch 10 to 14[AC6005]int vlan 10[AC6005-Vlanif10]ip address 192.168.10.254 24[AC6005-Vlanif10]quit[AC6005]capwap source interface vlan 10[AC6005]wlan[AC6005-wlan-view]ap auth-...
华为ac配置radius认证服务器_华为防火墙配置DHCP Snooping保护DHCP服务器
weixin_28900989的博客
12-09 690
DHCP Snooping是一种DHCP安全特性,通过MAC地址限制、DHCP Snooping安全绑定、IP + MAC绑定、Option82特性等功能过滤不信任的DHCP消息,解决了设备应用DHCP时遇到DHCP DoS攻击、DHCP Server仿冒攻击、ARP中间人攻击及IP/MAC Spoofing攻击的问题。组网需求如图1所示,USG作为DHCP Relay,部署在DHCP Clien...
认证Spring Security 基于表单登录认证模式
小奇学编程的博客
09-13 665
认证(一):基于表单登录认证模式 原理探讨 当我们在项目中引入 Spring Security的相关依赖后,默认的就是表单登录形式;俗话说:“听人劝,吃饱饭”,既然 Spring Security已经给我们安排的明明白白了,我们就从表单登录开始吧。 在开始之前,我们可以站在 Spring Security的角度上思考:如果我自己来实现表单登录的功能,那么我需要做哪些工作呢? 就我个人而言,我可能会考虑以下几点: 配置用户信息,存储如账号、密码等;密码不能以明文传输,需要加密功能 执行校验 认证
认证Spring Security 自定义验证码登录(下)之登录流程讲解
小奇学编程的博客
10-09 1527
认证(三)下:验证码登录流程讲解 本为自定义验证码登录的下,主要会对自定义登录的流程进行讲解;我们曾在认证(二):表单登录源码解析中对 Spring Security认证流程有过比较详细的学习。 “模仿不是创作,但创作不能不有模仿”————周谷城。 我们可以从表单登录认证流程中寻找灵感,定制化开发出验证码登录认证。 流程分析 首先先回顾一下表单登录认证流程: 大致上有这么几个比较核心的类/接口: UsernamePasswordAuthenticationFilter过滤器,用以捕获表单
百度地图开发java源码-zx-security:SpringSecurity/Social框架实现了社交登录/OAuth2协议/单点登录/动
06-06
基于SpringSecurity框架的表单/验证码/手机验证码登录方式. 基于SpringSocial的社交登录(qq和微信) 基于SpringSecurityOAuth2的,将自己作为认证服务器和资源服务器.并使用社交/表单/验证码/手机验证码登录方式 获取...
细看spring security单点登陆源码的验证过程
哦绝影
12-15 567
分析得比较好的文章: http://blog.csdn.net/java_mr_zheng/article/details/52385071     https://www.cnblogs.com/drizzlewithwind/p/6196080.html 1.form表单请求被UsernamePasswordAuthenticationFilter拦截,先判断请求(请求必
login:使用spring security登录机制
06-10
登录 使用spring security登录机制
华为radius认证
11-16
主要讲述怎样在华为设备上配置radius,学CISCO的可以看看
Authentication_form
04-01
认证表格
华为ac配置radius认证服务器_华为AC配置OpenPortal Portal协议WEB认证WIFI认证系统Portal认证示例 1/3...
weixin_39629679的博客
12-22 1910
配置外置Portal认证示例组网需求如图1所示,某公共区域部署AC连接出口网关Router、RADIUS服务器和Portal服务器,并通过接入交换机SwitchA与AP连接。通过WLAN部署,提供SSID为test的无线网络方便用户随时随地接入。网关作为DHCP服务器为无线用户提供10.10.10.0/24网段的IP地址,AC上对用户进行集中控制和管理。由于无线网络开放性的特点,存在安全风险。为了...
华为ac配置radius认证服务器_常用交换机802.1x配置步骤手册.doc
weixin_36079387的博客
01-04 5462
在路上目录一. H3C设备配置模板二. 迈普交换机802.1X模板三. 锐捷交换机802.1X模板四. 思科交换机802.1X配置模板五. 华为交换机802.1X配置模板不同类型交换机配置步骤不同,以下提供交换机配置步骤,以供参考。一. H3C设备配置模板(1) CMWV3平台(S5600/ S3900/ S5100 EI/ S5100SI/ S3600 EI/S3600 SI/ S3100-52...
华为ac配置radius认证服务器_WIFI怎样用域用户认证?用Windows Server 2019搭建Radius服务器...
weixin_42364640的博客
01-06 4162
在实际的网络环境中,很多企业往往要求WIFI至少分为两个VLAN,一个VLAN给员工用,要求用域用户登录;另一个VLAN给访客使用,一般输入密码就可以了。要想采用域用户的形式作为无线网络的认证,AC控制器必须支持访问外部服务器,现在一般企业级的AC控制器都标配此功能,今天的这文章,暂时不写AC控制器的配置,我们先只讨论Radius服务器的搭建。1、添加服务器角色:“网络策略和访问服务”2、添加服...
spring-security入门6---表单登陆认证原理源码解析
nrsc
06-26 965
看再多的视频,读再多的博客,不如亲自debug跟一遍源代码,而要想真正比较彻底的搞明白这个知识点,必须将其用自己的文字表达出来.━━━━━这就是我写博客的初衷! 1. 基于表单登陆认证所要经过的类 下面将对各个类进行解析 1.1 SecurityContextPersistenceFilter 请求进来时,检查session,如果有SecurityContext(已认证用户对象的一个封装类)拿出...
Spring-Security(一)-源码分析及认证流程
lbmydream的博客
06-06 1067
快速了解Spring Security 认证流程
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值