Spring Security学习(二)认证管理器

最新推荐文章于 2023-05-05 22:27:02 发布
最新推荐文章于 2023-05-05 22:27:02 发布
阅读量832 收藏 4
点赞数
分类专栏: spring security spring java 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wf3155/article/details/104642623
版权
java 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
spring security
4 篇文章 0 订阅
订阅专栏
spring
3 篇文章 0 订阅
订阅专栏

前文分析到 UsernamePasswordAuthenticationFilter的时候,可以发现最终过滤器还是把用户登陆信息交给了认证管理器进行认证,如下面代码所示:

this.getAuthenticationManager().authenticate(authRequest);

本文继续分析认证过程

AuthenticationManager

AuthenticationManager 是一个抽象的认证接口,只定义了一个方法:

Authentication authenticate(Authentication authentication)	throws AuthenticationException;

其默认实现是 ProviderManager, ProviderManager 使用一组 AuthenticationProvider 来完成对一个认证令牌对象authentication的认证。

private List<AuthenticationProvider> providers;

ProviderManager

ProviderManager 的认证逻辑是遍历所有支持该认证令牌对象参数 authentication 的 AuthenticationProvider,找到第一个能成功认证的并返回填充更多信息的 authentication 对象,具体代码如下:

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		boolean debug = logger.isDebugEnabled();

		// 遍历当前认证提供者列表,找到和当前 authentication 匹配的
		for (AuthenticationProvider provider : getProviders()) {
			// 判断是否支持当前认证方式
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				// 使用当前的provider进行认证
				result = provider.authenticate(authentication);

				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException | InternalAuthenticationServiceException e) {
			// 捕获此类异常,认证会终止
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			} catch (AuthenticationException e) {
			// 捕获此异常认证不会终止,会继续执行下面的认证
				lastException = e;
			}
		}

		if (result == null && parent != null) {
			// 如果当前认证返回结果为空,则调用类初始化的上一级认证方式
			try {
				result = parentResult = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = parentException = e;
			}
		}

		if (result != null) {
		// 擦除认证中的凭证信息
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			// If the parent AuthenticationManager was attempted and successful than it will publish an AuthenticationSuccessEvent
			// This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
			if (parentResult == null) {
				eventPublisher.publishAuthenticationSuccess(result);
			}
			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		// If the parent AuthenticationManager was attempted and failed than it will publish an AbstractAuthenticationFailureEvent
		// This check prevents a duplicate AbstractAuthenticationFailureEvent if the parent AuthenticationManager already published it
		if (parentException == null) {
			prepareException(lastException, authentication);
		}

		throw lastException;
	}

// 发布认证失败事件
private void prepareException(AuthenticationException ex, Authentication auth) {
		eventPublisher.publishAuthenticationFailure(ex, auth);
	}

	// 采纳当前认证结果
	private void copyDetails(Authentication source, Authentication dest) {
		if ((dest instanceof AbstractAuthenticationToken) && (dest.getDetails() == null)) {
			AbstractAuthenticationToken token = (AbstractAuthenticationToken) dest;

			token.setDetails(source.getDetails());
		}
	}

根据以上认证过程可以看出实际认证还是不在providerManager中,他只是对系统中的 AuthenticationProvider进行统一的管理和应用。真正执行认证的还是AuthenticationProvider。

AuthenticationProvider

AuthenticationProvider 是抽象了认证提供者的接口

spring security 提供了一些AuthenticationProvide的默认实现,比如RemoteAuthenticationProvider(远程认证), DaoAuthenticationProvider (表单认证), LdapAuthenticationProvider(ldap认证) 等等。

重点学习最常用的DaoAuthenticationProvider ;

首先是父类AbstractUserDetailsAuthenticationProvider

...

// 实现了AuthenticationProvider  中的认证方法authenticate
public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				() -> messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
			// 获取用户
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				}
				else {
					throw notFound;
				}
			}

			Assert.notNull(user,
					"retrieveUser returned null - a violation of the interface contract");
		}

		try {
			preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException exception) {
			if (cacheWasUsed) {
				// There was a problem, so try again after checking
				// we're using latest data (i.e. not from the cache)
				cacheWasUsed = false;
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
				preAuthenticationChecks.check(user);
				additionalAuthenticationChecks(user,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			else {
				throw exception;
			}
		}

		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {
		// 缓存
			this.userCache.putUserInCache(user);
		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}

		return createSuccessAuthentication(principalToReturn, authentication, user);
	}
...




public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
	... 

	// ~ Methods
	// ========================================================================================================

	@SuppressWarnings("deprecation")
	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			logger.debug("Authentication failed: no credentials provided");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}

		String presentedPassword = authentication.getCredentials().toString();

		// 比较凭证
		if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			logger.debug("Authentication failed: password does not match stored value");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}
	}

	protected void doAfterPropertiesSet() {
		Assert.notNull(this.userDetailsService, "A UserDetailsService must be set");
	}

	protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			// 通过UserDetailsService检索用户信息
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}

	@Override
	protected Authentication createSuccessAuthentication(Object principal,
			Authentication authentication, UserDetails user) {
			// 判断凭证是否加密
		boolean upgradeEncoding = this.userDetailsPasswordService != null
				&& this.passwordEncoder.upgradeEncoding(user.getPassword());
		if (upgradeEncoding) {
		// 如果凭证已加密,则将认证请求提供的凭证进行相同的加密
			String presentedPassword = authentication.getCredentials().toString();
			String newPassword = this.passwordEncoder.encode(presentedPassword);
			user = this.userDetailsPasswordService.updatePassword(user, newPassword);
		}
		return super.createSuccessAuthentication(principal, authentication, user);
	}
...
}

上面代码中的getUserDetailsService即是获取再项目启动时配置的userDetailService,我们可以自定义实现UserDetailService接口,完成自己系统的用户校验。

司马老峰
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring Scurity终于测试OK了
01-13
pring Scurity终于测试OK了,复杂的功能还待深入研究!发布出来一起探讨吧! 就是因 为研究它,我的个天啦!头都大了一圈!还待修改完整版!我的目标不是每个项目拿到它就能使用!到时再说啦。。。 虽然只是一个登陆,但里面的知识真是太广了!什么md5 盐值 加密 生成,cookie 生成序列保存数据库, sessionID防护的一大堆安全,资源权限分配和保护 等。。。值得一学的框架! sql 脚本也在一起
SpringSecurity.zip
06-08
什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 ​ Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 Apache Shiro 是一个功能强大且易于使用的Java安全框架,提供了认证,授权,加密,和会话管理。
Spring Security身份认证Authentication
daiwuliang的博客
04-26 5995
文章目录Authentication(身份认证框架)的架构SecurityContextHolderAuthenticationManagerAbstractAuthenticationProcessingFilter关于密码存储密码存储的历史Spring Scurity中的密码存储机制用户/密码认证根据HttpRequest提取用户密码的方式区分FormLogin 页面表单登陆默认页面登陆认证自...
Spring Security篇】身份认证Authentication
m0_46638350的博客
05-05 1169
SecurityContextHolder中包含了SecurityContext对象,SecurityContext中包含了Authentication对象。验证,具体验证流程如下。
Spring Security 自定义认证管理器和讲解()
给自己一个smile
03-12 862
目录 一、概述 、自定义认证管理器 小结 三、Spring Security 核心组件 小结 Spring Security 学习专栏 1. Spring Security 入门学习(一) 2. Spring Security 自定义认证管理器和讲解() 一、概述 上一篇Spring Security 入门学习带大家搭建一个简单Demo,认识SpringSecurity,这篇文章讲自定义认证管理器和讲解 、自定义认证管理器 SpringSecurity为我们提供了一个「h.
cas 入门之四:认证管理器
snoopy
06-22 9684
之前我分析过cas的spring配置文件,其中有一个spring文件名为:
spring security3.x学习(4)_认证管理的过程
杜雷的技术博客
09-17 1731
spring security3这本书中、有这样的一个图,很形象的描绘出了一个用户的认证过程,如下: 用户发送一个请求,这时候被一个过滤器拦截(AbstractAuthenticationProcessingFilter),拦截以后将请求信息分装成一个包含凭证信息的一个Authentication对象,然后将此对象交给认证管理器(AtuthenticationManager)进行操作,A
Spring Security : 概念模型 AuthenticationManager 认证管理器
热门推荐
Details Inside Spring
05-14 2万+
Spring Security中,接口AuthenticationManager用于抽象建模认证管理器,用于处理一个认证请求,也就是Spring Security中的Authentication认证令牌。 AuthenticationManager接口只定义了一个方法: Authentication authenticate(Authentication authentication) throw...
SpringSecurity(认证和授权)&权限控制
weixin_61300833的博客
10-14 1236
认证和授权: 用户登录系统---认证: 系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录,其实就是在进行认证 用户登录后拥有不同的权限操作---授权: 用户认证成功后需要为用户授权,就是指定当前用户能够操作那些功能 权限模块数据模型: 要实现最终的权限控制,需要有一套表结构支撑: 用户表t_user、权限表t_permission、角色表...
基于SSM框架的健康项目管理源码,整合Dubbo分布式与SpringSecurity权限认证
最新发布
03-25
项目整合了Dubbo分布式服务框架,以及SpringSecurity进行权限认证,确保系统的安全性和高效性。技术栈多元,主要使用JavaScript进行开发,同时涵盖了CSS、HTML、Java、PHP等多种语言。 文件构成:项目共包含3390个...
最详细Spring Security学习资料(源码)
11-16
身份验证:Spring Security支持多种身份验证方式,包括基本认证、表单登录、LDAP认证、OAuth等,同时也支持自定义的认证方式。 授权:Spring Security提供了细粒度的授权机制,可以根据角色、权限进行访问控制。...
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的...Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
基于 SpringBoot、Spring Security、JWT 的前后端分离的通用权限管理系统,个人学习,快速搭建模板
06-16
- 后端采用Spring Boot、Spring Security、Redis & Jwt。 - 权限认证使用Jwt,支持多终端认证系统。 - 支持加载动态权限菜单,多方式轻松权限控制。 - 高效率开发,使用代码生成器可以一键生成前后端代码。 ## 功能...
Spring Boot视频教程大合集,完美帮助你学习Spring Boot,百度网盘
04-16
Spring Boot视频教程大合集,完美帮助你学习Spring Boot,内部有3套Spring Boot学习视频教程,另附一篇Security Oauth2.0认证授权视频教程
Spring Security学习(一)认证与授权
德玛西亚
03-07 1505
Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。简单来说springsecurity主要对用户进行认证以及授权。认证是指验证用户是否为当前系统中的用户, 授权是指验证用户是否有权限执行某个操作。故此本文着重从认证以及授权两个方向对springsecurity进行分析。 核心组件 Security...
Tomcat 源码分析(一)
德玛西亚
12-02 1041
准备工作
Spring Security学习(三)授权管理器
德玛西亚
03-29 941
在第一篇的授权部分,有分析到 授权主要由AbstractSecurityInterceptor及其子类完成 具体到实际代码中其实是 // 用户通过了认证,基于当前用户信息,和目标对象的安全属性配置,进行相应的权限检查 this.accessDecisionManager.decide(authenticated, object, attributes); AccessDecisi...
记一次解决线上 CPU 飙升问题经历
德玛西亚
09-05 728
记录一次解决线上cpu飙升的经历
springsecurity认证为什么失败
08-29
### 回答1: Spring Security 认证失败的原因可能有很多,下面列举一些常见的情况: 1. 用户名或密码错误:请检查用户输入的用户名和密码是否正确。 2. 认证服务器配置错误:请检查认证服务器的 URL 地址是否正确,以及服务器是否正在运行。 3. 证书问题:如果使用 HTTPS 进行认证,请确保服务器证书是有效的。 4. 访问限制:请检查是否存在 IP 地址或用户组限制,限制了该用户的访问权限。 5. 应用程序配置错误:请检查您的应用程序的 Spring Security 配置是否正确,是否启用了正确的认证方法。 如果仍然无法解决问题,建议查看应用程序和服务器的日志,以确定问题的具体原因。 ### 回答2: SpringSecurity认证可能失败的原因有很多,以下列举了一些可能的原因: 1. 用户名或密码错误:在登录时输入的用户名或密码与数据库中存储的用户信息不匹配,导致认证失败。此时需要确认输入的凭证信息是否正确,或者检查数据库中的用户信息是否准确。 2. 密码加密算法不匹配:SpringSecurity默认使用BCrypt算法对用户密码进行加密存储,如果数据库中的存储密码与用户输入的密码加密算法不匹配,会导致认证失败。此时可以尝试将数据库中的密码重新使用BCrypt算法进行加密。 3. 用户被锁定:在一些情况下,系统会对用户进行锁定,例如连续登录失败超过一定次数、账户过期等。当用户被锁定时,即使凭证信息正确,也会导致认证失败。此时需要检查用户是否被锁定,并解除锁定状态。 4. 认证过期:在一些场景下,认证信息可能会设置过期时间,当认证信息过期时,会导致认证失败。此时需要重新进行认证,或者延长认证信息的有效期。 5. 认证方式不匹配:SpringSecurity支持多种认证方式,例如表单认证、基于HTTP的认证、OAuth 2.0等。如果使用的认证方式与配置不匹配,也会导致认证失败。此时需要检查认证方式的配置,并确保与实际使用的方式相符。 以上仅列举了一些可能导致SpringSecurity认证失败的原因,具体失败原因需要根据实际情况进行分析和排查。可以通过查看错误日志、调试代码等方式来定位和解决认证失败的问题。 ### 回答3: Spring Security认证失败可能有多种原因。以下是一些可能导致认证失败的常见原因: 1. 用户名或密码错误:最常见的原因之一是用户提供的用户名或密码与存储在身份验证服务器上的凭据不匹配。在这种情况下,用户需要检查他们输入的凭据是否正确。 2. 用户账号被锁定:有时用户账号可能会被锁定,这可能是由于多次连续的认证失败引起的。在这种情况下,用户可能需要联系系统管理员以解锁账户。 3. 凭据过期或失效:用户的凭据(例如密码)可能已经过期或不再有效。这可能是由于系统要求用户定期更改密码或由于安全问题而导致的。用户需要按照系统要求更改凭据或联系系统管理员以获得有效的凭据。 4. 认证过程配置错误:如果Spring Security配置不正确,可能导致认证失败。这可能涉及到用户提供的凭据无法与配置文件中的凭据验证机制匹配,或者用户权限不正确等问题。用户需要检查Spring Security配置以确保准确性。 5. 服务器问题:在某些情况下,认证失败可能是由于身份验证服务器或相关服务的故障引起的。这可能意味着用户需要等待服务器恢复正常,或者需要联系系统管理员以解决服务器问题。 用户在遇到认证失败时应该首先检查自己提供的凭据是否正确,并尝试解决可能的身份验证问题。如果问题仍然存在,用户应该与系统管理员或支持团队联系以获取进一步的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值