Spring Security的认证流程 附实例展示

最新推荐文章于 2024-07-22 22:27:46 发布
最新推荐文章于 2024-07-22 22:27:46 发布
阅读量604 收藏 2
点赞数 2
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47847063/article/details/129382680
版权
SpringSecurity的验证涉及用户提交登录请求,UsernamePasswordAuthenticationFilter处理,AuthenticationManager认证,UserDetailsService查询用户,PasswordEncoder对比密码,以及成功后的Authentication对象存储和重定向。
摘要由CSDN通过智能技术生成

spring security的验证流程是什么?

简单来说Spring Security的验证流程如下:

  1. 用户提交认证请求,Spring Security将其拦截。
  2. 调用UserDetailsService实现类,通过用户名查询用户信息。
  3. 将用户信息和密码提交给PasswordEncoder进行密码比对。
  4. 如果密码正确,则创建Authentication对象并存入SecurityContextHolder上下文中。
  5. 重定向到原始页面。

如果密码不正确,则返回错误消息并重新显示登录表单。

更具体地说,Spring Security的验证流程如下:

  1. 用户在登录页面输入用户名和密码,然后提交表单。
  2. Spring Security的过滤器链会拦截该请求,并调用UsernamePasswordAuthenticationFilter进行验证。
  3. UsernamePasswordAuthenticationFilter将用户输入的用户名和密码封装成一个
  4. UsernamePasswordAuthenticationToken对象。
  5. 调用AuthenticationManager的实现类进行认证。
  6. AuthenticationManager通过调用UserDetailsService实现类来获取用户信息,并将用户信息封装成一个包含权限信息的Authentication对象。
  7. 如果用户信息不存在或者密码不正确,则抛出相应异常。如果认证成功,则将Authentication对象存入SecurityContextHolder上下文中。
  8. 认证成功后,用户被重定向到访问受保护的资源的URL;否则,用户将被重定向回登录页面并显示错误消息。

这个过程可以通过配置文件进行自定义,例如更改认证方式、添加额外的过滤器等等。

以下是一个简单的Spring Security认证流程示例,包括了UserDetailsService和PasswordEncoder的实现:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Autowired
    private MyUserDetailsService userDetailsService;
    
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .logout();
    }
    
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

@Service
public class MyUserDetailsService implements UserDetailsService {
    
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("Invalid username or password.");
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), 
                user.getPassword(), getAuthority(user));
    }

    private List<GrantedAuthority> getAuthority(User user) {
        return Arrays.asList(new SimpleGrantedAuthority(user.getRole()));
    }
}

public class UserController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @PostMapping("/login")
    public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest loginRequest) {

        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword()));

        SecurityContextHolder.getContext().setAuthentication(authentication);

        String jwt = tokenProvider.generateToken(authentication);
        return ResponseEntity.ok(new JwtAuthenticationResponse(jwt));
    }
}

在该示例中,Spring Security的认证流程如下:

  1. 用户提交登录请求,该请求会被UserController的authenticateUser()方法处理。该方法使用AuthenticationManager进行认证并返回JWT令牌。
  2. AuthenticationManager调用MyUserDetailsService的loadUserByUsername()方法来获取用户信息。
  3. MyUserDetailsService从数据库中获取用户信息,并返回一个包含该用户信息和角色的UserDetails对象。
  4. AuthenticationManager使用BCryptPasswordEncoder进行密码比对,如果密码正确则创建Authentication对象并将其存入SecurityContextHolder上下文中。
  5. authenticateUser()方法返回JWT令牌给客户端。

在上述示例中,MyUserDetailsService实现了UserDetailsService接口,它从数据库中获取用户信息并返回一个包含该用户信息和角色的UserDetails对象。AuthenticationManager通过调用loadUserByUsername()方法来获取用户信息,并使用BCryptPasswordEncoder进行密码比对。此外,UserController中的authenticateUser()方法使用AuthenticationManager进行认证,并将Authentication对象存入SecurityContextHolder上下文中。

奧你丫
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity 认证详解
流楚丶格念的博客
09-17 2755
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的(如下图密码)。但是在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。}// 获取所有权限 Collection
SpringSecurity和OAuth2认证授权流程
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
04-24 2992
1、SpringSecurity认证授权流程 1.1、SpringSecurity认证流程 1.2、SpringSecurity授权流程 2、SpringSecurityOAuth2认证授权流程 2.1、SpringSecurityOAuth2认证流程 2.2、刷新token(refresh_token)的流程 2.3、SpringSecurityOAuth2授权流程
SpringSecurity 完整认证流程
woruosuifenglang的博客
07-06 1044
springSecurity 完整认证流程
SpringSecurity认证流程
msq16021的博客
08-03 5742
SpringSecurity认证流程
Spring Security 认证流程分析及多方式登录认证实践
最新发布
07-22 978
在项目开发过程中,会涉及到安全框架的配置。其中常用的就是shiro和, 在本文中将介绍的工作流程和实践应用,并基于此总结其使用心得和项目配置关键。本文主要介绍了登录相关的核心配置,以及验证码方式登录的实践,作为系统开发中常用的权限认证框架,在此基础上拓展了项目的多种登录方式,即手机验证码和邮箱验证码的方式,同时也介绍了前后端分离与不分离情况下的差异。本文总结了常用的使用方式,可以很好的为后续开发提供借鉴。所涉及的代码已经上传至gitee项目gitee地址。
spring security认证过程详解
欢迎来到【战羽】的博客
11-15 1109
spring security 主要有两大功能,即认证和授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
spring-security认证过程
sl369777的专栏
06-30 473
spring-security认证的过程 认证过程 1、接收登录请求,获取用户密码参数,构建UsernamePasswordAuthenticationToken对象 2、通过注解的authenticationManager对象的authenticate的方法进行验证(实际由其实现类ProviderManager完成) 验证的步骤: 在ProviderManager的authen...
springSecurity 认证流程
yuzheh521的博客
01-01 532
认证流程是在UsernamePasswordAuthenticationFilter过滤器中处理的,具体流程如下所示: UsernamePasswordAuthenticationFilter源码 当前端提交的是一个 POST 方式的登录表单请求,就会被该过滤器拦截,并进行身份认证。该过滤器的 doFilter() 方法实现在其抽象父类 AbstractAuthenticationProcessingFilter中,查看相关源码: *** 上述的 第二 过程调用了UsernamePassword
(六)Spring Security 认证流程
qq_40179479的博客
09-03 452
认证流程 图片来自于:黑马程序员SpringSecurity认证课程 认证过程: 用户提交用户名、密码被SecurityFilterChain中的UsernamePasswordAuthenticationFilter 过滤器获取到,封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证 认证成功后, Authen
Spring Security用户认证流程
qq_36316125的博客
11-15 219
用户认证流程 在这里使用用户名密码的登录方式。 登录流程 通过UsernamePasswordAuthenticationFilter获取用户名和密码,并封装成UsernamePasswordAuthenticationToken。如下图: 再通过getAuthenticationManager()方法获取AuthenticationManager进行验证。如下图: authenticate()...
Spring security认证两类用户代码实例
08-19
这个实例有助于理解Spring Security的用户认证流程以及如何根据用户类型定制认证策略。 首先,为了实现自定义认证,我们需要创建一个实现`UserDetailsService`接口的类。`UserDetailsService`是Spring Security的...
spring security认证授权流程
weixin_47618391的博客
05-27 5445
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security认证和授权机制,并提供详细的步骤和示例代码认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
spring security数据库表结构实例代码
08-29
Spring Security 数据库表结构实例代码 Spring Security 是一个基于 Java 的安全框架,它提供了强大的身份验证、授权和访问控制机制。在本文中,我们将介绍 Spring Security 数据库表结构实例代码,帮助开发者快速...
Spring Security用户认证流程源码详解
热门推荐
不清不慎的博客
04-21 1万+
上篇文章讲解了Spring Security的基本原理以及如何自定义用户认证逻辑,这篇文章将在上篇的基础上解读Spring Security的源码更清楚的了解它的认证逻辑流程。 本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一、用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求来的时...
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
spring security认证流程
qq_37667759的博客
09-29 644
spring security认证流程
springsecurity认证流程
m0_56722864的博客
02-28 808
Spring-security认证过程 1.请求会进入AuthticationFilter, AuthticationFilter的作用在于验证系统设置受限资源的过滤器。 2.第二步,跳转到UsernamePasswordAuthticationToken进行账号密码验证,如:UsernamePasswordauthtication(authtication),UsernamePasswordAuthticationToken的作用在于验证请求,生成authtication。 第三步,把authticati
spring security身份认证流程
m0_37911384的博客
03-11 699
spring security身份认证大致流程 下面是本人学习spring security时总结的大致认证流程,对于理解spring security认证过程应该可以有初步的了解,代码从网上学习文章摘取。 总结: 1、请求进入UsernamePasswordAuthenticationFilter ,不知道用户名密码是不是对的,所以构造一个未认证的Token 2、this.getAuthenti...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值