AuthenticationManager 的 authentication 过程

最新推荐文章于 2024-07-03 09:35:13 发布
最新推荐文章于 2024-07-03 09:35:13 发布
阅读量1.3w 收藏 62
点赞数 28
分类专栏: springsecurity springboot 源码 文章标签: SpringSecurity SpringBoot Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwang_dev/article/details/119107355
版权
1. 结论
// 调用链
AuthenticationManager.authenticate()  --> ProviderManager.authenticate() --> DaoAuthenticationProvider(AbstractUserDetailsAuthenticationProvider).authenticate()
// 处理
在最后的 authenticate() 方法中,调用了 UserDetailsService.loadUserByUsername() 并进行了密码校验,校验成功就构造一个认证过的 UsernamePasswordAuthenticationToken 对象放入 SecurityContext.
2. AuthenticationManager.authenticate()
public interface AuthenticationManager {
	// 就这一个方法
	Authentication authenticate(Authentication authentication)
			throws AuthenticationException;
}

ProviderManager 是它的是实现类,实际上调用的它的 authentication() 方法

image-20210726112523112

3. ProviderManager.authentication()
public class ProviderManager implements AuthenticationManager, MessageSourceAware,
		InitializingBean {

	// authenticate 方法
	public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
    	
    	// getProviders() -> debug发现其实就一个 DaoAuthenticationProvider.class
		for (AuthenticationProvider provider : getProviders()) {
            // toTest == UsernamePasswordAuthenticationToken.class
            // 其实就是判断 toTest 是不是UsernamePasswordAuthenticationToken类,成立
			if (!provider.supports(toTest)) {
				continue;
			}

			try {
=========================================================================================
				// 最终 DaoAuthenticationProvider.authenticate()
    			result = provider.authenticate(authentication);
=========================================================================================
}
4. DaoAuthenticationProvider.authenticate()

DaoAuthenticationProvider 的父类是 AbstractUserDetailsAuthenticationProvider,实际上调用的是父类的 authentication(),因为继承关系,所以有时候不好判断到底是父类的方法还是子类重写后的方法,建议 debug,非常清楚。

image-20210726114003984

这里主要有三个步骤:

  1. 子类的 retrieveUser(),里面调用了 UserDetailsService.loadUserByUsername() 进行身份查找
  2. 子类的 additionalAuthenticationChecks(),里面调用 passwordEncoder.matches() 进行密码匹配
  3. 子类的 createSuccessAuthentication(),认证完成,往 SecurityContext中放一个认证过的 auth 对象
public abstract class AbstractUserDetailsAuthenticationProvider implements
		AuthenticationProvider, InitializingBean, MessageSourceAware {

	// authentication
	public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
    		// ....
========================================================================================
			try {
                // 1. 这个 retrieveUser ,就是判断用户身份,查询内存或者数据库拿到用户对象
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			
			// 2. 密码校验
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);

		Object principalToReturn = user;

		// 3. 返回一个认证过的对象,注意这里 principle 传的是保存了用户信息的 user 对象,不是 String
		return createSuccessAuthentication(principalToReturn, authentication, user);
	}
5. DaoAuthenticationProvider
public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
    // 1. retrieveUser(),用户身份判断
    protected final UserDetails retrieveUser(String username,
      UsernamePasswordAuthenticationToken authentication) {
   try {
=========================================================================================
    // 就是在这里调用了 UserDetailsService  
    UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
=========================================================================================

} 
// 2. additionalAuthenticationChecks() 密码校验
protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			logger.debug("Authentication failed: no credentials provided");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}
		
		String presentedPassword = authentication.getCredentials().toString();

		if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			logger.debug("Authentication failed: password does not match stored value");

			throw new BadCredentialsException(messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.badCredentials",
					"Bad credentials"));
		}
	}
    // 3. 创建一个已认证的对象
    protected Authentication createSuccessAuthentication(Object principal,
			Authentication authentication, UserDetails user) {
		boolean upgradeEncoding = this.userDetailsPasswordService != null
				&& this.passwordEncoder.upgradeEncoding(user.getPassword());
        // 这里又回到 父类了,无语
		return super.createSuccessAuthentication(principal, authentication, user);
	}
    // 直接粘贴在这里 super.createSuccessAuthentication()
    protected Authentication createSuccessAuthentication(Object principal,
			Authentication authentication, UserDetails user) {
		// 调用 UsernamePasswordAuthenticationToken 类 三个构造参数的构造器(认证过的对象创建)
		UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(
				principal, authentication.getCredentials(),
				authoritiesMapper.mapAuthorities(user.getAuthorities()));
		result.setDetails(authentication.getDetails());

		return result;
	}
6. UsernamePasswordUnthenticationToken构造器

为什么说选择三个参数的构造器构造的就是一个已认证的对象。我们来看看

/**
 * 两个参数,构造待认证对象
 * principle 传 username
 * credentials 传 passord
 */
public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
   super(null);
   this.principal = principal;
   this.credentials = credentials;
   // 设置标识,未认证
   setAuthenticated(false);
}

/**
 * This constructor should only be used by <code>AuthenticationManager</code> or
 * <code>AuthenticationProvider</code> implementations that are satisfied with
 * producing a trusted (i.e. {@link #isAuthenticated()} = <code>true</code>)
 * authentication token.
 *
 * 两个参数,构造待认证对象
 * principle 传 保存了用户信息的对象(实现了UserDetails接口的对象)
 * credentials 传 passord,也可以传null,因为认证过后,我们不需要知道密码,也是一种保护
 * authorities 传 用户的权限列表
 */
public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
      Collection<? extends GrantedAuthority> authorities) {
   super(authorities);
   this.principal = principal;
   this.credentials = credentials;
   // 标记已认证 
   super.setAuthenticated(true); 
}

从这里也可以看出为什么 pinciplecredentials 的类型都是 Object,因为 pinciple 认证前需要传 String 类型的 username,认证后需要传实现了UserDetails 接口的用户对象;而 credentials 认证前需要传前端传来的String类型的password,认证后需要传 String类型的密码 或者 null

通常都是,接收 前端传来的 usernamepassword,调用 两个参数的构造器,创建一个未认证的对象,交给AuthenticationManager进行认证。认证成功后,调用三个参数的构造器,创建一个已认证的对象。

wwang_dev
关注
  • 28
    点赞
  • 62
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
也该来学习微服务网关与用户身份识别,SpringSecurity原理和实战(1)
ghfgjfg679的博客
05-01 34
针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题上述的面试题答案都整理成文档笔记。也还整理了一些面试资料&最新2021收集的一些大厂的面试真题最新整理电子书最新整理大厂面试文档以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。etails,然后构造一个“用户名+密码”类型的UsernamePasswordAuthenticationToken令牌实例,提交给AuthenticationManager进行验证。
浅浅记录一下springSecurity的学习
qq_59036996的博客
07-20 1680
浅浅记录以下近期学习的springSecurity的登录认证过程
springboot+Oauth2实现自定义AuthenticationManager和认证path
08-29
本篇文章主要介绍了springboot+Oauth2实现自定义AuthenticationManager和认证path,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringSecurity 的登录流程
qq_67929543的博客
05-08 3231
用过SpringSecurity的小伙伴,都知道Authentication 这个接口,我们在任何地方通过这个接口来获取到用户登录的信息,而我们用的频繁的一个它的一个实现类就是UsernamePasswordAuthenticationToken。那么我们的登录信息是如何保存在这个类中的?那我们就需要知道SpringSecurity 的登录流程了。这两个类很重要! 在SpringSecurity 中 认证和授权的校验是通过一系列的过滤器链。 首先到AbstractAuthenticationPro...
学习若依框架----之----authenticationManager.authenticate()调用UserDetailsServiceImpl.loadUserByUsername过程
XuDream的博客
09-07 7077
就调用了UserDetailsServiceImpl.loadUserByUsername的方法。authenticationManager.authenticate()调用其实就是ProviderManager.authenticate()其中的过程想要了解的建议参考。
spring security Ⅲ—— authenticationManager.authenticate()验证流程
qq_45947664的博客
10-14 9700
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
SpringSecurity AuthenticationManager 进行用户认证
weixin_46256404的博客
11-15 885
SpringSecurity AuthenticationManager 进行用户认证
Spring Security账号密码认证源码解析(1)
2401_84011132的博客
04-18 717
大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享,把Kafka的实现脉络展示在读者面前,帮助读者更好地研读Kafka代码。麻烦帮忙转发一下这篇文章+关注我《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />大型分布式系统犹如一个生命,系统中各个服务犹如骨骼,其中的数据犹如血液,而Kafka犹如经络,串联整个系统。
Authentication Manager-开源
04-24
它作为一个Web界面,简化了与mod_auth_mysql模块以及Apache HTTP服务器配合使用的用户和组管理过程。通过使用这个工具,管理员能够轻松地控制对网站内容的访问权限,确保只有经过验证的用户能够访问特定的资源。 ...
Spring Security通过AuthenticationManager的逻辑实现多种认证方式.docx
07-04
如果认证成功,`AuthenticationManager`会返回一个包含用户信息的新的`Authentication`对象;如果认证失败,会抛出`AuthenticationException`。 认证失败时,`unsuccessfulAuthentication`方法会被调用,这里可以...
shiro认证授权的过程
05-01
Shiro的认证和授权流程主要集中在`DefaultSubjectExecutor`、`AuthenticationManager`、`AuthorizingRealm`等类中。这些类通过回调接口和事件驱动的方式协调工作。 **4. 工具使用** Shiro 提供了一些工具类和配置...
AuthenticationManager:一个用于帮助管理各种身份验证方法的 iOS 框架
05-31
Authentication Manager 是一个用 Swift 编写的 iOS 框架,旨在帮助应用程序内身份验证。 身份验证管理器当前支持单一身份验证类型:PIN。 PIN 正是它在罐头上所说的:个人识别码,在这种情况下是一个 4 位长的...
AuthenticationManager认证
Leon_Jinhai_Sun的博客
05-03 1854
在Spring Security中认证是由AuthenticationManager接口来负责的,接口定义为: public interface AuthenticationManager { Authentication authenticate(Authentication authentication) throws AuthenticationException; } 返回 Authentication 表示认证成功 返回 Authent
Security AuthenticationManagerAuthentication
最新发布
jinwenjieok的博客
07-03 576
spring security -AuthenticationManager & Authentication
【Spring】Spring Security 账号密码登录的认证流程源码解析
高远的博客
05-20 1192
Spring Security 简述 认证是通过 AuthenticationManager 来管理的,即认证管理器; public interface AuthenticationManager { Authentication authenticate(Authentication var1) throws AuthenticationException; } 认证完成,authenticate() 会返回一个完整的 Authentication 对象,包含主体 (principal) 和凭证
AuthenticationManager和UserDetailsService的关系
feng905001561的专栏
08-23 2272
项目中用到 Spring Security 进行权限管理,其中刚开始的代码就有构造登陆者的身份信息进行认证和授权。 // 用户验证 Authentication authentication = null; try { // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername authentication = authenticationManager
Spring Security:身份验证令牌Authentication介绍与Debug分析
写写平时的技术与感想
05-23 2353
它是接口的基类,使用此类的实现应该是不可变的(模板模式)。-- -- > // 权限列表 private final Collection < GrantedAuthority > authorities;// 存储有关身份验证请求的其他详细信息,可能是IP地址、证书序列号等 private Object details;// 是否已验证,默认为false private boolean authenticated = false;/*** 使用提供的权限列表创建一个身份验证令牌。
springsecurity:authenticationManager.authenticate报StackOverflowError异常
qq_63815371的博客
12-25 1404
authenticationManager()和WebSecurityConfigurerAdapter的authenticationManagerBean()是两个不同的方法,并且您正在调用超类的 authenticationManagerBean() 方法,据我所知,这取决于 authenticationManager() 方法.这反过来会创建方法的循环调用,最终导致异常。
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
AuthenticationManager身份验证过程解释
05-10
AuthenticationManager是Spring Security框架中用于处理身份验证的核心接口。它负责管理所有的AuthenticationProvider,并用它们来验证一个身份验证请求的凭证。一般来说,一个AuthenticationManager实例包含多个AuthenticationProvider实例,每个AuthenticationProvider负责一种身份验证方式。在验证一个请求时,AuthenticationManager会依次调用每个AuthenticationProvider的authenticate()方法进行验证,直到其中一个AuthenticationProvider成功验证了请求的凭证,或者所有的AuthenticationProvider都无法验证请求的凭证为止。 当一个用户请求需要身份验证的资源时,Spring Security会将用户的凭证封装成一个Authentication对象,然后将该对象传递给AuthenticationManager进行身份验证。AuthenticationManager会根据Authentication对象中的信息来确定使用哪种AuthenticationProvider进行验证。如果验证成功,AuthenticationManager会返回一个已经填充完整的Authentication对象,否则会抛出AuthenticationException异常。 总之,AuthenticationManager是Spring Security框架中用于处理身份验证的核心接口,它管理多个身份验证提供者,用于验证请求的凭证。身份验证过程是通过调用每个身份验证提供者的authenticate()方法来实现的。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值