Spring Security源码解析一:UsernamePasswordAuthenticationFilter之登录流程

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量2.2k 收藏 5
点赞数 2
分类专栏: it 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/www_xuhss_com/article/details/122593572
版权
本文是Spring Security源码解析的第一部分,主要探讨了UsernamePasswordAuthenticationFilter的登录认证流程。当POST请求发送到/login时,Spring Security会通过一系列过滤器进行处理,包括检查请求、尝试认证、数据库用户信息校验等步骤。
摘要由CSDN通过智能技术生成

Python微信订餐小程序课程视频

https://edu.csdn.net/course/detail/36074

Python实战量化交易理财系统

https://edu.csdn.net/course/detail/35475

一.前言

spring security安全框架作为spring系列组件中的一个,被广泛的运用在各项目中,那么spring security在程序中的工作流程是个什么样的呢,它是如何进行一系列的鉴权和认证呢,下面让我们走进源码,从源码的角度来从头走一遍spring security的工作流程。

二.spring security核心结构

当一个外部请求进入到我们应用中的时候,首先会通过我们的应用过滤器链ApplicationFilterChain,我们将遍历该过滤器链中每一个Filter进行对应的处理,下面我们来看下ApplicationFiterChain一般情况下有哪些Filter

  **//ApplicationFilterChain遍历内部Fiter进行doFilter()处理**private void internalDoFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException {
 if (this.pos < this.n) {
 ApplicationFilterConfig filterConfig = this.filters[this.pos++];

 try {
 Filter filter = filterConfig.getFilter();
 if (request.isAsyncSupported() && "false".equalsIgnoreCase(filterConfig.getFilterDef().getAsyncSupported())) {
 request.setAttribute("org.apache.catalina.ASYNC\_SUPPORTED", Boolean.FALSE);
 }

 if (Globals.IS\_SECURITY\_ENABLED) {
 Principal principal = ((HttpServletRequest)request).getUserPrincipal();
 Object[] args = new Object[]{request, response, this};
 SecurityUtil.doAsPrivilege("doFilter", filter, classType, args, principal);
 } else {
 filter.doFilter(request, response, this);
 }

从上面的图中我们可以看到,chain在一般情况下中主要存在着这么几个filter,其中有我们比较熟悉的characterEncodeingFilter字符编码的过滤器等等,以及我们本次内容的主角:springSecurityFiterChain spring security的过滤器链,可以说这就是spring security的核心所在,springSecurityFiterChain虽然为filter,但他在这里实际扮演的是一个filterChain的角色,从他的的BeanName也可以看出,那我们接下来进入springSecurityFiterChain.doFilter()方法中,看看它内部又有哪些filter,以及内部的逻辑是怎样的

可以看到springSecurityFiterChain其实是个代理bean,它的doFilter()中实际用的delegate.doFilter(),delegate是个FilterChainProxy,下面来看下FiterChainProxy的内部实现。

**FilterChainProxy.doFilter()方法内部逻辑** @Override
 public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException { //如果当前游标==additionalFilters的长度,即已经遍历完该列表内的Filter,则结束FilterChainProxy.doFilter()
 if (this.currentPosition == this.size) {
 if (logger.isDebugEnabled()) {
 logger.debug(LogMessage.of(() -> "Secured " + requestLine(this.firewalledRequest)));
 }
 // Deactivate path stripping as we exit the security filter chain
                this.firewalledRequest.reset();
 this.originalChain.doFilter(request, response);
 return;
 }
 this.currentPosition++; //获取列表中下一个Filter
 Filter nextFilter = this.additionalFilters.get(this.currentPosition - 1);
 if (logger.isTraceEnabled()) {
 logger.trace(LogMessage.format("Invoking %s (%d/%d)", nextFilter.getClass().getSimpleName(),
 this.currentPosition, this.size));
 } //执行下一个Filter的doFilter()方法
 nextFilter.doFilter(request, response, this);
 }

 }

我们看到FilterChainProxy中维护了一个Filter列表 additionalFilters,doFilter()中会顺序遍历这个列表,执行每一个Filter的doFilters,那这个列表中具体有哪些Filter呢,让我们来看一下

可以看到该列表中一共有13个spring security内置实现的Filter,系列文章中我们也主要来看SecurityContextPersistenceFilter security上下文持久化的过滤器,主要用来将认证过后的Authentication从session中提取注入本地线程变量中,以及UsernamePasswordAuthenticationFilter,用户密码认证过滤器,主要用来处理通过指定的登录的POST方式的请求url来进行认证…如果我们的项目中实现了JWT+Spring security的话,一般我们的我们会将自定义实现的JWT过滤器也加入到这条执行链中,并且执行位置放到UserNamePasswordAuthenticationFilter之前。

那么Spring security的大体工作流程就如下图:

最低0.47元/天 解锁文章
www_xuhss_com
关注
专栏目录
Spring Security 登录密码验证过程(UsernamePasswordAuthenticationFilter
Qurite的博客
03-20 2万+
Spring-Security主要是一个由一堆Filter组成的过滤器链,每个Filter做自己的事情。今天我跟一下登录的密码认证过程,主要是UsernamePasswordAuthenticationFilter这个类 1.web.xml中配置security <filter> <filter-name>springSecurityFilterChain...
spring-security(二十一)核心Filter-UsernamePasswordAuthenticationFilter
高枫的博客
03-04 611
一、UsernamePasswordAuthenticationFilter功能和属性 到目前为止,我们已经探讨了三个主要的filter,当采用默认配置时spring security会自动给我们追加这三个filter,现在我们的filter中还差一个处理用户认证的filter,下面我们就主要讨论下最常用的认证filter-UsernamePasswordAuthenticationFilter...
SpringSecurity过滤器UsernamePasswordAuthenticationFilter
clyu的博客
01-01 5139
简介 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份认证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST请求。当我们登录的时候,也就是匹配到loginProcessingUrl,这个过滤器就会委托认证管理器authenticationManager来验证登录 登陆流程入口是Abstrac
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1337
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
SpringSecurity默认过滤器链之UsernamePasswordAuthenticationFilter
欢谷悠扬
07-12 1725
1.作用 这个Filter是通过用户名和密码进行认证(登录)的。系统默认有三种认证Filter。 ClientCredentialsTokenEndpointFilter: 基于oauth2 token的认证入口 Oauth2ClientAuthenticationProcessingFilter:oauth2 客户端用于从授权服务器获取accessToken进行认证 2.认证统一流程AbstractAuthenticationProcessingFilter public void doFilte
UsernamePasswordAuthenticationFilter
xiaomin1991222的专栏
04-18 245
springSecurity登录验证是由org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter这个过滤器来完成的,在该类的父类AbstractAuthenticationProcessingFilter中有一个AuthenticationManager接口属性,验证工作主如果经由...
Spring Security小教程 Vol 4. 使用用户名和密码验证身份-UsernamePasswordAuthenticationFilter
03-11 1208
https://www.jianshu.com/p/e98cdf23b991 前言 上一期我们分享了Spring Security是如何通过AbstractAuthenticationProcessingFilter向Web应用向基于HTTP、浏览器的请求提供身份验证服务的。 这一次我们针对最常用,也是Spring Security默认在HTTP上使用的验证过滤器转存失败重新上传取消即基于用户...
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8076
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
SpringSecurity源码
05-29
在学习SpringSecurity源码时,建议从以下几个方面入手: 1. **源码结构分析**:了解主要组件的类结构和它们之间的关系,如`Authentication`、`Authorization`、`FilterChainProxy`等。 2. **关键类的实现**:深入...
spring security 源码
05-28
Spring Security 是一个强大的安全框架,用于为Java应用提供身份验证和授权服务。它是一个高度可配置的库,可以轻松地集成到Spring MVC、Spring Boot和其他Spring项目中。本篇文章将深入探讨Spring Security的核心...
认证篇:Spring Security 表单登录认证源码解析
小奇学编程的博客
09-26 504
认证(二):表单登录源码解析 原理讲解 接上回分解,上回我们聊到了《基于表单登录的认证模式》【todo: 这里做一个文章的超链接】,正所谓:“知其然,然后知其所以然”;就让我们来一探究竟,瞅瞅 Spring Security到底是怎么实现表单登录的。 首先我们先来回顾一下上篇文章我们制作的 Spring Security的表单认证的流程图: 从流程图中我们可以简单的了解到,整个认证流程大致上分为3个模块: 登录信息的封装 认证 收尾处理(成功&失败处理) 核心模块为 认证模块,
Spring Security笔记:自定义Login/Logout FilterAuthenticationProvider、AuthenticationToken
weixin_33907511的博客
08-03 268
在前面的学习中,配置文件中的&lt;http&gt;...&lt;/http&gt;都是采用的auto-config="true"这种自动配置模式,根据Spring Security文档的说明: ------------------ auto-config Automatically registers a login form, BASIC authentication, logout se...
Spring Security 之用户名/密码 认证
console的博客
05-06 2288
验证用户身份的最常见方法之一是验证用户名和密码,Spring Security提供了很多内置机制来从HttpServletReques读取用户名和密码:
史上最简单的Spring Security教程(二十五):UsernamePasswordAuthenFilter详解
银河架构师的博客
08-28 3728
​在Spring Security框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。 下面我们就来一起详细了解一下这个 Filter 的具体功用。 首先,既然是Filter,势必要实现 Filter 接口吧,不过,确实实现了 Filter 接口。 从上图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系,也确实实现了 Filter 接口。 那么,我们便从..
Spring Security3源码分析-UsernamePasswordAuthenticationFilter分析
Dead_Knight的专栏
05-06 326
UsernamePasswordAuthenticationFilter过滤器对应的类路径为 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 实际上这个Filter类的doFilter是父类AbstractAuthenticationProcessingFilter的 ...
SpringSecurity------ Username/Password Authentication(九)
豢龙先生
06-18 2553
最常见的用户身份认证就是使用用户名密码,Spring Security为使用用户名和密码进行身份验证提供了全面的支持。 Spring Security提供了以下内置机制来从HttpServletRequest读取用户名和密码 (1)在未经过认证的情况下向/private发送了一个请求(2)FilterSecurityInterceptor通过抛出AccessDeniedException异常通知应用程序拒绝未经身份验证的请求(3)由于检测到用户没有经过身份认证,ExceptionTranslationFil
Spring Security Web 5.1.2 源码解析 -- UsernamePasswordAuthenticationFilter
Details Inside Spring
12-02 1859
概述 源代码解析 package org.springframework.security.web.authentication; import org.springframework.security.authentication.AuthenticationServiceException; import org.springframework.security.authentication...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值