Spring Security 认证流程

最新推荐文章于 2024-02-23 15:52:29 发布
最新推荐文章于 2024-02-23 15:52:29 发布
阅读量193 收藏
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wq5350/article/details/108784307
版权

文章目录

认证相关

核心类理解

1.GrantedAuthority:表示授予对象的权限,通过getAuthority获得String
2.UserDetailsService接口:表示加载用户信息的服务,通过loadUserByUsername(String username)方法加载返回UserDetails类
3.UserDetailsManager:是UserDetailsService的拓展,提供UserDetails的增删改等操作,实现类InMemoryUserDetailsManager(内存)和JdbcUserDetailsManager(持久层)
4.AuthenticationProvider:调用UserDetailService中的方法获得库中用户信息,验证传入的Authentication是否匹配库中信息
5.ProviderManager:继承AuthenticationManager,管理多个AuthenticationProvider,遍历调用其中服务提供者的support方法,满足则调用authenticate方法

UserDetails

提供核心用户信息

public interface UserDetails extends Serializable {
	// 返回授予用户的权限,不能为null
	Collection<? extends GrantedAuthority> getAuthorities();
	// 用户名密码
	String getPassword();
	String getUsername();
}

InMemoryUserDetailsManager

用于在内存中存放用户信息,并对用户信息进行校验等处理

public class InMemoryUserDetailsManager implements UserDetailsManager,
		UserDetailsPasswordService {
	// 存放当前内存中的用户信息
	private final Map<String, MutableUserDetails> users = new HashMap<>();
	private AuthenticationManager authenticationManager;
}

AbstractAuthenticationProcessingFilter(认证入口)

用户认证的过滤器,用于处理基于浏览器交互的HTTP验证请求

1.将请求信息封装为Authentication,交付给AuthenticationManager验证
2.提供验证成功和失败的处理,失败清除SecurityContext调用对应失败处理器,成功添加令牌到SecurityContext并发布InteractiveAuthenticationSuccessEvent事件

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
		implements ApplicationEventPublisherAware, MessageSourceAware {
	// 事件发布器,验证发布InteractiveAuthenticationSuccessEvent
	protected ApplicationEventPublisher eventPublisher;
	// 核心验证
	private AuthenticationManager authenticationManager;	
	// 匹配的请求
	private RequestMatcher requiresAuthenticationRequestMatcher;
	
	// 验证成功或失败的处理器
	private AuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();
	private AuthenticationFailureHandler failureHandler = new SimpleUrlAuthenticationFailureHandler();
	
	// 记住我和Session实现
	private RememberMeServices rememberMeServices = new NullRememberMeServices();
	private SessionAuthenticationStrategy sessionStrategy = new NullAuthenticatedSessionStrategy();
}
// 核心过滤处理
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {

	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;
	// 如果请求不匹配则跳过
	if (!requiresAuthentication(request, response)) {
		chain.doFilter(request, response);

		return;
	}
	Authentication authResult;

	try {
		// 从请求中解析用户信息(Authentication),添加自定义detail信息,交给AuthenticationManager验证
		authResult = attemptAuthentication(request, response);
		if (authResult == null) {
			// 立即返回,因为子类指示它尚未完成
			return;
		}
		// Session处理
		sessionStrategy.onAuthentication(authResult, request, response);
	}
	···异常捕获,调用unsuccessfulAuthentication(request, response, failed)方法处理

	
	if (continueChainBeforeSuccessfulAuthentication) {
		chain.doFilter(request, response);
	}
	// 验证成功处理
	successfulAuthentication(request, response, chain, authResult);
}

例子

public static void main(String... args) {
    // 输入的身份信息
    UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("user", "pwd");
    // 提供验证服务
    DaoAuthenticationProvider daoProvider = new DaoAuthenticationProvider();
    // 创建内存获取用户信息的服务
    InMemoryUserDetailsManager memory = new InMemoryUserDetailsManager();
    // 在内存中存放一条用户信息,{noop}存放密码的加密方式,此处不加密
    memory.createUser(User.withUsername("user").password("{noop}pwd").roles("users","system").build());
    // 将查询用户信息服务放入验证服务中
    daoProvider.setUserDetailsService(memory);
    // 对所有提供的服务进行管理
    AuthenticationManager am = new ProviderManager(daoProvider);
    // 对输入的信息进行验证
    Authentication authenticate = am.authenticate(token);
    authenticate.getAuthorities().forEach((ag) -> System.out.println(ag.getAuthority()));
}
// 输出:ROLE_system ROLE_users

Spring中基础过滤器介绍

  1. OncePerRequestFilter:在一次请求中只执行一次过滤,通过设置request中Attribute属性完成
  2. CharacterEncodingFilter:为请求指定字符编码
  3. FormContentFilter:对于PUT DELETE PATCH的表单请求,将数据保存在request中
  4. RequestContextFilter:将请求和请求中的locale国际化处理放入RequestContextHolder和LocaleContextHolder中(线程特有)

默认加载的配置类及过滤器

if (!disableDefaults) {
	// @formatter:off
	http
		.csrf().and()
		.addFilter(new WebAsyncManagerIntegrationFilter())
		.exceptionHandling().and()
		.headers().and()
		.sessionManagement().and()
		.securityContext().and()
		.requestCache().and()
		.anonymous().and()
		.servletApi().and()
		.apply(new DefaultLoginPageConfigurer<>()).and()
		.logout();
	// @formatter:on
	ClassLoader classLoader = this.context.getClassLoader();
	List<AbstractHttpConfigurer> defaultHttpConfigurers =
			SpringFactoriesLoader.loadFactories(AbstractHttpConfigurer.class, classLoader);

	for (AbstractHttpConfigurer configurer : defaultHttpConfigurers) {
		http.apply(configurer);
	}
}
  1. http.csrf()方法添加CsrfConfigurer:预防跨站伪造攻击,按照请求方法匹配,默认忽略(GET、OPTION、TRACE和HEAD)请求
    CsrfTokenRepository:存放CsrfToken令牌的仓库
    CsrfFilter:跨站伪造攻击过滤器;1.获得csrf令牌(CsrfTokenRepository) 2.判断请求是否匹配 3.从请求头或参数中获取请求的令牌
  2. WebAsyncManagerIntegrationFilter过滤器:用于集成SecurityContext到Spring异步执行机制中的WebAsyncManager
  3. http.exceptionHandling()添加ExceptionHandlingConfigurer:向应用程序添加Spring安全相关异常的异常处理
    ExceptionTranslationFilter:对执行过滤过程中抛出的异常统一处理
  4. http.headers()添加HeadersConfigurer:将Security相关的头部添加到response中
    HeaderWriterFilter:过滤链执行完或下一个过滤器执行前添加头部
  5. http.sessionManagement()添加SessionManagementConfigurer:允许配置会话管理
    SessionManagementFilter:固定保护机制或检查多个并发登录
  6. http.securityContext()添加SecurityContextConfigurer:为每个请求持久化SecurityContext
    SecurityContextPersistenceFilter:1.从Session中获取SecurityContext不存在则创建一个新的 2.将SecurityContext交给SecurityContextHolder全局使用
  7. http.requestCache()添加RequestCacheConfigurer:为spring security添加请求缓存
    RequestCacheAwareFilter:如果缓存了一个请求并与当前请求匹配,则负责重新构建保存的请求。
  8. http.anonymous()添加AnonymousConfigurer:为HttpSecurity配置匿名身份验证
    AnonymousAuthenticationFilter:如果在SecurityContextHolder中没有Authentication则默认填充一个匿名的令牌
  9. http.servletApi()添加ServletApiConfigurer:对request进行封装
    SecurityContextHolderAwareRequestFilter:对request进行封装,使其能够访问Servlet api信息相关接口
  10. 添加DefaultLoginPageConfigurer:未指定登录页,则该筛选器将生成登录页。
    DefaultLoginPageGeneratingFilter:
    DefaultLogoutPageGeneratingFilter:
  11. http.logout()添加LogoutConfigurer:添加退出登陆支持
    LogoutFilter:退出登陆操作,处理Authentication

授权和登录配置

protected void configure(HttpSecurity http) throws Exception {
	http
		.authorizeRequests()
			.anyRequest().authenticated()
			.and()
		.formLogin().and()
		.httpBasic();
}

12.http.authorizeRequests()添加ExpressionUrlAuthorizationConfigurer:为多组RequestMatcher配置不同的权限属性
ExpressionInterceptUrlRegistry:url与权限的映射管理
FilterSecurityInterceptor:是一个方法级的权限过滤器
13.http.formLogin()添加FormLoginConfigurer:添加基于表单的身份验证
UsernamePasswordAuthenticationFilter:对/login的post方法进行身份认证
14.http.httpBasic()添加HttpBasicConfigurer:添加基于HTTP基本身份验证
BasicAuthenticationFilter:处理HTTP请求头中包含认证信息的情况

King77777777777
关注
专栏目录
SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案
江南烟雨却痴缠丶
03-28 2376
花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。 JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点 认证流程及授权流程 我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。 一、登录认证阶段 实现SpringSecurity的UsernameP
spring security认证过程详解
最新发布
CVPR收割机的博客
04-18 4012
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
SpringSecurity
weixin_66822145的博客
05-23 1981
Spring Security是基于Spring的安全框架,它提供了一种声明式的安全访问控制解决方案。它提供了包括身份验证、授权、运行时访问控制、单点登录、注销等功能。Spring Security提供了许多集成选项,包括集成WebMVC、REST、SOAP等应用程序,也支持和Spring Boot等常见框架进行集成。Spring Security的核心原则是基于过滤器链(FilterChain)来实施安全策略。
浅谈 SpringSecurity使用方式——认证流程及原理(三)
小爽帅到拖网速的博客
09-11 1183
3、Spring Security认证原理 3.1、认证流程 Spring Security是如何完成身份认证的? 1、用户名和密码被UsernamePasswordAuthenticationFilter过滤器获取到,封装成 Authentication ,通常情况下是UsernamePasswordAuthenticationToken 这个实现类。 2、AuthenticationManager 身份管理器(委托给DaoAuthenticationProvider调用UserDeatilsServic
[SpringSecurity5.6.2源码分析十]:HeaderWriterFilter
qq_41662584的博客
09-16 180
【代码】[SpringSecurity5.6.2源码分析十]:HeaderWriterFilter。
Spring Security-- 验证码功能的实现
weixin_34001430的博客
05-27 305
spring security4 添加验证码 http://www.itwendao.com/article/detail/165400.html http://www.itdadao.com/articles/c15a754492p0.html     @Bean public EmbeddedServletContainerCustomizer containerCustomi...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring Security认证流程
l688899886的博客
08-05 519
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:转存失败重新上传取消图 3-3图中显示的流程是一个通用的架构。AbstractAuthenticationProcessingFilter作为一个抽象类,如果使用用户名/密码的方式登录, 那么它对应的实现类是。...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring Security是Java世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
用户认证:如何基于 Spring Security 构建用户认证体系?———————————————— 版权声明:本文为博主原创文章,遵循
dabin147369的博客
02-23 473
从上述代码中,我们看到 withUser 方法返回的是一个 UserDetailsBuilder 对象,通过该对象可以实现类似 .withUser("springcss_user").password("password1").roles("USER") 这样的链式语法,从而完成用户信息的设置。通过前面内容的分析,我们明确了用户信息存储的实现过程实际上是完全可定制化,而 Spring Security 所做的工作只是把常见、符合一般业务场景的实现方式嵌入框架中。
Spring Security学习(一)认证与授权
德玛西亚
03-07 1573
Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。简单来说springsecurity主要对用户进行认证以及授权。认证是指验证用户是否为当前系统中的用户, 授权是指验证用户是否有权限执行某个操作。故此本文着重从认证以及授权两个方向对springsecurity进行分析。 核心组件 Security...
spring-cloud-starter-oauth2 密码模式认证过程
yx444535180的专栏
07-12 4343
上文讲到在密码模式下 OAuth2主要用于校验客户端合法性、产生token、校验token Sercurity主要用于用户名密码校验、接口权限控制 OAuth2与Sercurity整合之后,校验顺序: 获取token请求:校验客户端合法性——校验用户名密码——产生token 受保护的接口请求:校验token——校验接口权限 下面就来看下,每个步骤在源码中是如何实现的客户端合法性校验,第一步校验client_id、client_secret,就是客户端id和密码;第二步校验grant_type;第三步校验sc
spring security webflux 自定义登录页面
weixin_43931625的博客
06-05 2826
springsecuritywebFlux自定义登录页面
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 3429
SpringSecurity 中的请求路径匹配接口 RequestMatcher
iOS--富文本推送UIMutableUserNotificationAction
叫我龙哥的CSDN
07-18 1229
iOS10富文本推送--UIMutableUserNotificationAction
UserDetailsService接口及子类实现
程序缘
01-09 2099
继承图 UserDetailsService(位于org.springframework.security.core.userdetails包下) 用户详情信息服务,此接口定义了获取用户详细信息的唯一的一个方法,通过用户名称获取用户信息;但是获取用户信息的源头有很多自己也可定义只要实现了此接口重写loadUserByUsername方法,在方法内部定义自己获取用户信息的逻辑,后续认证工作交由SpringSecurity来完成即可: public interface UserDetailsService {
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
热门推荐
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
Spring Security基础理论学习
qq_38586378的博客
08-19 394
前言 想着既然项目中用到Spring Security框架,那为了以后面试说到这个项目的时候不害怕被问框架问题,干脆就好好学一下,基础、实战、源码分析一个一个来。 参考资料 Spring Security参考手册: https://www.springcloud.cc/spring-security-zhcn.html#true-java https://docs.spring.io/spring-security/site/docs/5.1.12.RELEASE/reference/htm...
springsecurity认证流程
07-27
- *1* *2* [SpringSecurity认证流程分析](https://blog.csdn.net/chisuisi5702/article/details/126281839)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值