SpringSecurity认证过程源码解析

最新推荐文章于 2022-09-03 17:05:23 发布
最新推荐文章于 2022-09-03 17:05:23 发布
阅读量324 收藏 2
点赞数
分类专栏: springboot 源码解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoguangtouqiang/article/details/89088107
版权

一.认证过程

认证过程,校验用户名和密码是否正确,如果校验通过设置用户信息到session中;涉及的类是UsernamePasswordAuthenticationFilter和AbstractAuthenticationProcessingFilter;

1>请求的入口是AbstractAuthenticationProcessingFilter doFilter方法;代码如下所示

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
		implements ApplicationEventPublisherAware, MessageSourceAware {


public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);

			return;
		}

		if (logger.isDebugEnabled()) {
			logger.debug("Request is to process authentication");
		}

		Authentication authResult;

		try {
			authResult = attemptAuthentication(request, response);
			if (authResult == null) {
				// return immediately as subclass has indicated that it hasn't completed
				// authentication
				return;
			}
			sessionStrategy.onAuthentication(authResult, request, response);
		}
		catch (InternalAuthenticationServiceException failed) {
			logger.error(
					"An internal error occurred while trying to authenticate the user.",
					failed);
			unsuccessfulAuthentication(request, response, failed);

			return;
		}
		catch (AuthenticationException failed) {
			// Authentication failed
			unsuccessfulAuthentication(request, response, failed);

			return;
		}

		// Authentication success
		if (continueChainBeforeSuccessfulAuthentication) {
			chain.doFilter(request, response);
		}

		successfulAuthentication(request, response, chain, authResult);
	}

这里重点是这一行;authResult = attemptAuthentication(request, response);方法的实现在子类UsernamePasswordAuthenticationFilter

2>UsernamePasswordAuthenticationFilter 的attemptAuthentication方法进行用户校验,成功返回Authentication对象;

具体代码如下所示:

public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}

		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim();

		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);

		return this.getAuthenticationManager().authenticate(authRequest);
	}

这里最后一句,获取AuthenticationManager,去处理用户的认证;通过单步调试,这里的AuthenticationManager具体的实现是ProviderManager;

3>ProviderManager的authenticate方法

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		Authentication result = null;
		boolean debug = logger.isDebugEnabled();

		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				result = provider.authenticate(authentication);

				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}

具体的认证处理是交给AuthenticationProvider,首先去判断provider是否支持当前的认证方式;这里用到的是DaoAuthenticationProvider,就是基于数据库的方式进行认证;

4>DaoAuthenticationProvider的authenticate方法

authenticate实现是在父类AbstractUserDetailsAuthenticationProvider中,具体如下

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				}
				else {
					throw notFound;
				}
			}

其中DaoAuthenticationProvider实现了retrieveUser方法,如下所示

protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}

重点是this.getUserDetailsService().loadUserByUsername(username);通过userDetailService去获取用户的信息;所以需要定制用户信息获取的时候我们要自定义一个UserDetaillService;默认的是实现是DomainUserDetailsService,如下所示

可以看到是通过userRepository.findOneWithAuthoritiesByEmail(login);去获取用户信息的;最后返回到最开始的AbstractAuthenticationProcessingFilter类中,将用户信息保存到context中;

xiaoguangtouqiang
关注
专栏目录
SpringSecurity 认证详解
流楚丶格念的博客
09-17 2763
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的(如下图密码)。但是在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。}// 获取所有权限 Collection
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8078
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
SpringSecurity 源码剖析(1)–用户登录过程发生了什么
paraller_15的博客
10-31 656
SpringSecurity 源码剖析(1)–用户登录过程发生了什么
从原码的角度分析springsecurity登录过程
victoyr的博客
03-11 271
springsecurity在访问我们的控制层之前会经过会多的filter如下图 当在项目中添加了springsecurity的依赖后,springboot就会自动的把这些filter添加进去,上图中绿色的过滤器是可以自己配置的(usernamepasswordfilter就是表单登录的过滤器),蓝色和橙色的过滤器是必须执行的 ...
Spring Security 用户名密码登录源码解析
jgzquanquan的博客
03-28 1165
简介 本文主要讲解SpringSecurity中账号密码登录部分的源码解析,其基本流程如下图所示。用户请求首先会进入到UsernamePasswordAuthenticationFilter中,此时的Authentication是未认证的。接着通过ProviderManager找到匹配的Provider,此处找到是DaoAuthenticationProvider,接着去校验相关相关逻辑。User...
jhipster入门疑问之路
LIUHUA121的博客
12-20 1308
最近要用到jhipster开发,遇到好多疑问,整理第一个 1 如何实现的数据查询功能。 从以下代码查看 首先是controller层代码如下controller层package cn.com.yusys.uaa.web.rest;import cn.com.yusys.uaa.domain.AdminSmUser; import cn.com.yusys.uaa.repository.Adm
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3592
spring security 记住我 rememberMe
Spring Security使用和源码解析
yange1025的博客
12-02 363
一个web工程,如果涉及到私人信息或不可公开的资源,则必然要对访问者做过滤和认证,访问者只能获取跟自己相关或有权限访问的信息,这就是我们所熟知的登陆。简单的登陆通常是这样实现的:提供一个登陆接口,和一个过滤器。登陆接口用来用户名和密码校验,并将用户信息保存在http session中。过滤器则用来拦截所有未经授权的访问。 @RestController @RequestMapping("/lo...
SpringSecurity源码
05-29
本教程配套源码旨在帮助开发者深入理解SpringSecurity的工作原理,通过实践提升在安全领域的技能。 在SpringSecurity中,核心概念主要包括以下几个部分: 1. **过滤器链**:SpringSecurity的核心是基于过滤器的Web...
spring security 源码
05-28
本篇文章将深入探讨Spring Security的核心概念和源码分析。 1. **核心组件** - `SecurityContextHolder`: 它是Spring Security的核心,存储当前请求的安全上下文,包含认证信息和权限。 - `Authentication`: 表示...
Spring Security教程外篇(1)---- AuthenticationException异常详解
热门推荐
z69183787的专栏
03-13 1万+
这个异常是在登录的时候出现错误时抛出的异常,比如账户锁定,证书失效等,先来看下AuthenticationException常用的的子类: UsernameNotFoundException 用户找不到 BadCredentialsException 坏的凭据 AccountStatusException 用户状态异常它包含如下子类 AccountExpiredExcept
SpringSecurity源码解析
lz710117239的博客
06-07 735
SpringSecurityspring家族中的一份子,关于使用方式我们不多说,我们看下其执行源码路径如何,介绍依赖于注解的配置。因为我们的项目中采用了Spring5的Reactor响应式框架,它底层是基于netty的网络编程。所以程序入口是在NioEventLoop的run方法中:如下:try { processSelectedKeys(); ...
Spring Security源码分析一:Spring Security认证过程
weixin_34138377的博客
01-03 250
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了...
Spring Security源码分析七:Spring Security 记住我
郑龙飞
01-17 3678
有这样一个场景——有个用户初访并登录了你的网站,然而第二天他又来了,却必须再次登录。于是就有了“记住我”这样的功能来方便用户使用,然而有一件不言自明的事情,那就是这种认证状态的”旷日持久“早已超出了用户原本所需要的使用范围。这意味着,他们可以关闭浏览器,然后再关闭电脑,下周或者下个月,乃至更久以后再回来,只要这间隔时间不要太离谱,该网站总会知道谁是谁,并一如既往的为他们提供所有相同的功能和服务——与
未登录用户访问受Spring Security保护的Web页面/API时发生了什么 ?
Details Inside Spring
08-07 4675
在应用Spring Security的Web应用中,假定全部采用缺省配置,如果用户在未登录状态试图访问一个受保护的HTTP资源,可能是我们的一个页面,也可能是一个Restful API,此时: Spring Security会抛出异常AuthenticationException; ExceptionTranslationFilter过滤器捕获到该异常,调用其属性authenticationE...
Spring Security认证系统浅析
没有比脚更长的路,没有比人更高的山
05-04 274
Spring Security是个安全框架众所周知,同时也提供了一整套基于Web的认证机制和安全服务,当然如果你要通过其他协议的来实现安全服务,你也可以使用SpringSecurity来帮助你。   今天主要是讲解基于web端的安全认证机制,其他的留着以后有空再整理成博文。   首先SpringSecurity Web是基于它所提供的一整套Filter链来实现的,我们来看下它所提供的有...
Springboot整合Security实现登录权限验证
java_zhaoyu的博客
10-12 9409
绪:              通过这个查,参照别人的demo实现了security权限认证,可能有些地方写的不对,供参考!希望对你有帮助 本文参照 https://www.cnblogs.com/ealenxie/p/9293768.html 一.配置     1.pom配置 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;proje...
SpringSecurity登录验证步骤和源码浅析
Twilight blog
08-26 6294
该博客可能需要结合https://blog.csdn.net/XlxfyzsFdblj/article/details/8208344来看。 下面主要浅析spring security登录校验的过程源码。 主要说说一些重要的filter &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;nbsp;
spring elasticsearch 按条件删除_实战:项目数据源转为Elasticsearch
weixin_39560066的博客
12-01 553
原本项目是基于MYSQL的,现因需求将其转换为MYSQL+Elasticsearch,MYSQL的ORM使用的是Spring Data Jpa,Mybatis的转换与其类似,有人看再更先看原项目原项目的DAO层@Repository public interface UserRepository extends JpaRepository<User, Long> { Opt...
Spring Security登录验证源码深度解析
"本文详细解析Spring Security的登录验证流程,主要关注于源码层面,涵盖了Spring Security中的多种登录认证方式,以及以用户名和密码登录为例的登录验证详细步骤。" 在Spring Security框架中,登录验证流程是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值