spring security (三)认证源码详解

最新推荐文章于 2024-04-17 05:32:39 发布
最新推荐文章于 2024-04-17 05:32:39 发布
阅读量438 收藏
点赞数 1
分类专栏: spring security 文章标签: spring java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54515490/article/details/132181917
版权

首先我们通过远程接口调用Security的对外接口 (/oauth/token)

@RequestMapping(
    value = {"/oauth/token"},
    method = {RequestMethod.POST}
)
public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSupportedException {
    if (!(principal instanceof Authentication)) {
        throw new InsufficientAuthenticationException("There is no client authentication. Try adding an appropriate authentication filter.");
    } else {
        String clientId = this.getClientId(principal);
        ClientDetails authenticatedClient = this.getClientDetailsService().loadClientByClientId(clientId);
        TokenRequest tokenRequest = this.getOAuth2RequestFactory().createTokenRequest(parameters, authenticatedClient);
        if (clientId != null && !clientId.equals("") && !clientId.equals(tokenRequest.getClientId())) {
            throw new InvalidClientException("Given client ID does not match authenticated client");
        } else {
            if (authenticatedClient != null) {
                this.oAuth2RequestValidator.validateScope(tokenRequest, authenticatedClient);
            }

            if (!StringUtils.hasText(tokenRequest.getGrantType())) {
                throw new InvalidRequestException("Missing grant type");
            } else if (tokenRequest.getGrantType().equals("implicit")) {
                throw new InvalidGrantException("Implicit grant type not supported from token endpoint");
            } else {
                if (this.isAuthCodeRequest(parameters) && !tokenRequest.getScope().isEmpty()) {
                    this.logger.debug("Clearing scope of incoming token request");
                    tokenRequest.setScope(Collections.emptySet());
                }

                if (this.isRefreshTokenRequest(parameters)) {
                    tokenRequest.setScope(OAuth2Utils.parseParameterList((String)parameters.get("scope")));
                }

                //获取token的核心代码
                OAuth2AccessToken token = this.getTokenGranter().grant(tokenRequest.getGrantType(), tokenRequest);
                if (token == null) {
                    throw new UnsupportedGrantTypeException("Unsupported grant type: " + tokenRequest.getGrantType());
                } else {
                    return this.getResponse(token);
                }
            }
        }
    }
}

首先我们看一下TokenGranter的实现类

往下走可以看到tokenGranters里边有两个对象,第一个里边放着的是springsecurity默认的五种认证方式,第二个则是我们自定义的验证码登录方式。

public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
    Iterator var3 = this.tokenGranters.iterator();

    OAuth2AccessToken grant;
    do {
        if (!var3.hasNext()) {
            return null;
        }

        TokenGranter granter = (TokenGranter)var3.next();
        grant = granter.grant(grantType, tokenRequest);
    } while(grant == null);

    return grant;
}

这里我们使用的是账号密码登录,走的第一个实现类的AuthorizationServerEndpointsConfigurer.tokenGranter

private TokenGranter tokenGranter() {
    if (this.tokenGranter == null) {
        this.tokenGranter = new TokenGranter() {
            private CompositeTokenGranter delegate;

            public OAuth2AccessToken grant(String grantType, TokenRequest tokenRequest) {
                if (this.delegate == null) {
                    this.delegate = new CompositeTokenGranter(AuthorizationServerEndpointsConfigurer.this.getDefaultTokenGranters());
                }

                return this.delegate.grant(grantType, tokenRequest);
            }
        };
    }

    return this.tokenGranter;
}

这里的this.delegate是CompositeTokenGranter.grant,现在传进来的是我们默认的我种认证方式

我们会循环的去调用granter.grant(grantType, tokenRequest);

寻找我们跟我们传进来的grantType相同的认证方式,当然就是我们的ResourceOwnerPasswordTokenGranter

这里也会校验我们设置的哪几种认证方式,没有设置的话也是不能通过认证的;

protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) {
    return this.tokenServices.createAccessToken(this.getOAuth2Authentication(client, tokenRequest));
}

这里主要是this.getOAuth2Authentication(client, tokenRequest)去认证

protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {
    Map<String, String> parameters = new LinkedHashMap(tokenRequest.getRequestParameters());
    String username = (String)parameters.get("username");
    String password = (String)parameters.get("password");
    parameters.remove("password");
    Authentication userAuth = new UsernamePasswordAuthenticationToken(username, password);
    ((AbstractAuthenticationToken)userAuth).setDetails(parameters);

    Authentication userAuth;
    try {
        //认证管理器认证
        userAuth = this.authenticationManager.authenticate(userAuth);
    } catch (AccountStatusException var8) {
        throw new InvalidGrantException(var8.getMessage());
    } catch (BadCredentialsException var9) {
        throw new InvalidGrantException(var9.getMessage());
    }

    if (userAuth != null && userAuth.isAuthenticated()) {
        OAuth2Request storedOAuth2Request = this.getRequestFactory().createOAuth2Request(client, tokenRequest);
        return new OAuth2Authentication(storedOAuth2Request, userAuth);
    } else {
        throw new InvalidGrantException("Could not authenticate user: " + username);
    }
}

authenticationManager认证管理器的主要实现类是ProviderManager,ProviderManager里边存在着账号密码的provider和我们定义的provider

@Override
public void configure(AuthenticationManagerBuilder auth) {
auth
//手机验证码
.authenticationProvider(smsCodeAuthenticationProvider())
//密码验证
.authenticationProvider(daoAuthenticationProvider());
}

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    Class<? extends Authentication> toTest = authentication.getClass();
    AuthenticationException lastException = null;
    AuthenticationException parentException = null;
    Authentication result = null;
    Authentication parentResult = null;
    boolean debug = logger.isDebugEnabled();
    Iterator var8 = this.getProviders().iterator();

    while(var8.hasNext()) {
        AuthenticationProvider provider = (AuthenticationProvider)var8.next();
        //supports校验是否支持当前的provider
        if (provider.supports(toTest)) {
            if (debug) {
                logger.debug("Authentication attempt using " + provider.getClass().getName());
            }

            try {
                //调用procider的认证方法,传参是账号密码信息
                result = provider.authenticate(authentication);
                if (result != null) {
                    this.copyDetails(authentication, result);
                    break;
                }
            } catch (InternalAuthenticationServiceException | AccountStatusException var13) {
                this.prepareException(var13, authentication);
                throw var13;
            } catch (AuthenticationException var14) {
                lastException = var14;
            }
        }
    }

    if (result == null && this.parent != null) {
        try {
            result = parentResult = this.parent.authenticate(authentication);
        } catch (ProviderNotFoundException var11) {
        } catch (AuthenticationException var12) {
            parentException = var12;
            lastException = var12;
        }
    }

    if (result != null) {
        if (this.eraseCredentialsAfterAuthentication && result instanceof CredentialsContainer) {
            ((CredentialsContainer)result).eraseCredentials();
        }

        if (parentResult == null) {
            this.eventPublisher.publishAuthenticationSuccess(result);
        }

        return result;
    } else {
        if (lastException == null) {
            lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound", new Object[]{toTest.getName()}, "No AuthenticationProvider found for {0}"));
        }

        if (parentException == null) {
            this.prepareException((AuthenticationException)lastException, authentication);
        }

        throw lastException;
    }
}

这里默认的provider会调用AbstractUserDetailsAuthenticationProvider.authenticate,如果我们自己定义的就会调用我们定义的认证方法

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, () -> {
        return this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports", "Only UsernamePasswordAuthenticationToken is supported");
    });
    String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
    boolean cacheWasUsed = true;
    UserDetails user = this.userCache.getUserFromCache(username);
    if (user == null) {
        cacheWasUsed = false;

        try {
            //数据库获取用户信息
            user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
        } catch (UsernameNotFoundException var6) {
            this.logger.debug("User '" + username + "' not found");
            if (this.hideUserNotFoundExceptions) {
                throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }

            throw var6;
        }

        Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
    }

    try {
        //校验用户的状态是否异常
        this.preAuthenticationChecks.check(user);
        //传进来的密码与数据库密码比较
        this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
    } catch (AuthenticationException var7) {
        if (!cacheWasUsed) {
            throw var7;
        }

        cacheWasUsed = false;
        user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
        this.preAuthenticationChecks.check(user);
        this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);
    }

    this.postAuthenticationChecks.check(user);
    if (!cacheWasUsed) {
        this.userCache.putUserInCache(user);
    }

    Object principalToReturn = user;
    if (this.forcePrincipalAsString) {
        principalToReturn = user.getUsername();
    }

    //返回封装好的UsernamePasswordAuthenticationToken
    return this.createSuccessAuthentication(principalToReturn, authentication, user);
}

数据库获取用户信息,我们通过实现UserDetailsService类来重写loadUserByUsername方法实现查询UserDetails

protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
    this.prepareTimingAttackProtection();

    try {
        //
        UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
        if (loadedUser == null) {
            throw new InternalAuthenticationServiceException("UserDetailsService returned null, which is an interface contract violation");
        } else {
            return loadedUser;
        }
    } catch (UsernameNotFoundException var4) {
        this.mitigateAgainstTimingAttack(authentication);
        throw var4;
    } catch (InternalAuthenticationServiceException var5) {
        throw var5;
    } catch (Exception var6) {
        throw new InternalAuthenticationServiceException(var6.getMessage(), var6);
    }
}

传进来的密码与数据库密码比较

protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
    if (authentication.getCredentials() == null) {
        this.logger.debug("Authentication failed: no credentials provided");
        throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
    } else {
        String presentedPassword = authentication.getCredentials().toString();
        //密码比较
        if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
            this.logger.debug("Authentication failed: password does not match stored value");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
    }
}

返回封装好的UsernamePasswordAuthenticationToken,即认证成功

protected Authentication createSuccessAuthentication(Object principal, Authentication authentication, UserDetails user) {
    UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(principal, authentication.getCredentials(), this.authoritiesMapper.mapAuthorities(user.getAuthorities()));
    result.setDetails(authentication.getDetails());
    return result;
}
Graon程序猿
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Oauth2--- 授权码模式(authorization_code)过程
silmeweed的博客
09-28 8250
一、获取授权码Code: 访问授权服务器 /oauth/authorize 端点:(只用于"implicit", "authorization_code") GET: http://127.0.0.1:8080/oauth/authorize?client_id=client&response_type=code&redirect_uri=http://www.baidu...
话说Spring Security权限管理(源码详解
08-31
`AccessDecisionManager`是Spring Security授权流程的核心接口,它负责决定一个认证的用户是否被允许访问特定的受保护资源。`AccessDecisionManager`的`decide()`方法是授权过程的关键,它接收个参数:`...
oauth2源码级别解析报错原因:There is no client authentication. Try adding an appropriate authentication filter
qq_37084490的博客
10-05 3809
【代码】oauth2源码级别解析报错原因:There is no client authentication. Try adding an appropriate authentication filter。
默认SpringSecurity大致启动流程源码分析
HHoao的博客
05-05 605
默认SpringSecurity大致启动流程源码分析
SpringSecurity源码解析
zjl1638908711的博客
10-21 1451
SpringSecurity源码浅解析
Spring Security 源码解读:OAuth2 Authorization Server
weixin_41866717的博客
02-15 2855
Spring Authorization Server刚发展不久,还没有springboot版本,而Resource Server有,但是两个底层很多不兼容,会重复引入不同版本的jar包。这里我将AuthorizationServer和ResourceServer分开实现,但是都用的是spring-security的依赖:
Spring Security 源码解读 :基本架构及初始化
weixin_41866717的博客
02-02 1488
Spring Security 源码解读
Spring Security 3多用户登录实现一
04-13
**Spring Security 3 多用户登录实现详解** Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java EE平台上的安全解决方案。在本文中,我们将深入探讨如何在Spring Security 3中实现...
spring-security-oauth2
03-17
Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
SPRING SECURITY配置
07-30
**Spring Security配置详解** Spring Security是一款强大的安全框架,它为Java应用提供了全面的安全服务,包括认证、授权和访问控制。本文将深入探讨Spring Security的核心概念、配置方式以及常见应用场景。 ### 1...
Spring Security 3.2.x 配置
08-06
**Spring Security 3.2.x配置详解** Spring Security是一款强大的安全框架,用于处理Java应用程序的安全需求,包括身份验证、授权和访问控制等。在3.2.x版本中,它提供了许多改进和新特性,使得安全配置更加灵活和...
Spring Security账号密码认证源码解析
最新发布
Y1567409的博客
04-17 710
/ 该接口有两个方法,该接口的实现类主要做认证的。// supports是用来检测该类型的认证信息是否可以被自己处理。可以被处理则调用自身的authenticate方法。> var1);// 拿到全部的provider// 遍历provider// 挨着个的校验是否支持当前tokentry {// 找到后直接break,并由当前provider来进行校验工作if(result!// 若没有一个支持,则尝试交给父类来执行。
SpringSecurity认证流程详解
WGH100817的博客
06-14 84
SpringSecurity基本原理 在之前的文章《SpringBoot + Spring Security 基本使用及个性化登录配置》中对SpringSecurity进行了简单的使用介绍,基本上都是对于接口的介绍以及功能的实现。 这一篇文章尝试从源码的...
Spring Security OAuth2 源码分析(一) TokenEndpoint
咖啡的博客
03-20 1994
通过请求 oauth/token 来获取 token。大致为以下流程: 从 principal 中获取 clientId, 进而装载 ClientDetails 。 从 parameters 中获取 clientId、scope、grantType 以组装 TokenRequest。 校验 Client 信息。 根据 grantType 设置 TokenRequest 的 scope。 ...
Spring Security(二)OAuth2认证详解
热门推荐
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
Spring Security OAuth2源码解析(一)
demon7552003的小本本
08-07 1056
目录 引入 AuthorizationServerEndpointsConfiguration 属性 AuthorizationEndpoint OAuth2RequestFactory DefaultOAuth2RequestFactory TokenEndpoint TokenGranter AuthorizationServerTokenServices DefaultTokenServices TokenStore AuthorizationServerSecu...
OAuth2.0原理分析
qq_43843037的博客
01-24 818
OAuth2.0原理分析 授权服务器 @EnableAuthorizationServer解析 我们都知道 一个授权认证服务器最最核心的就是 @EnableAuthorizationServer , 那么 @EnableAuthorizationServer 主要做了什么呢? 我们看下 @EnableAuthorizationServer 源码: @Target({ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented @Impo
oauth2.0源码分析之oauth/token申请令牌
保护我方程序员
09-02 4451
本期介绍的是在oauth2.0中 , 通过调用oauth/token接口 , 框架是如何给我们申请到JWT令牌的 , 内部做了些什么事情 ? 在分析源码之前 , 我们首先需要知道的是我们需要具备哪些调试条件 , 不然会发现许多奇奇怪怪的错误 (比如通过/oauth/token时出现401) 1.一张oauth2.0的内置表(oauth_client_details) 注意:这里的密码需要用Bcript加密 , 因为源码内部是用Bcript解密的 2.两把钥匙: 一本是后缀为jks的私钥 另一本是后缀为k
(四)Spring Security Oauth2.0 源码分析--客户端端鉴权(token校验)
Instanceztt的博客
12-06 2781
在上篇文章我们分析了token的获取过程,那么拿到token后,将token放在请求头中进行资源的访问,客户端是如如何对token进行解析的呢,本文带你走进token校验的源码解析,基本流程如下所示 请求被FilterChainProxy拦截到(ps:通过前面的文章查看其底层原理),通过作为权限校验的入口进行token校验 认证服务器根据token鉴权 1 首先进入BasicAuthenticationFilter,对clientId进行校验(这里不做分析 参考上篇文章) 2、然后进入Che
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值