【SpringSecurity系列02】SpringSecurity 表单认证逻辑源码解读

最新推荐文章于 2022-10-24 11:05:23 发布
最新推荐文章于 2022-10-24 11:05:23 发布
阅读量347 收藏
点赞数
分类专栏: springboot 文章标签: SpringSecurity SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xp541130126/article/details/89335404
版权

概要

前面一节,通过简单配置即可实现SpringSecurity表单认证功能,而今天这一节将通过阅读源码的形式来学习SpringSecurity是如何实现这些功能, 前方高能预警,本篇分析源码篇幅较长

过滤器链

前面我说过SpringSecurity是基于过滤器链的形式,那么我解析将会介绍一下具体有哪些过滤器。

Filter Class 介绍
SecurityContextPersistenceFilter 判断当前用户是否登录
CrsfFilter 用于防止csrf攻击
LogoutFilter 处理注销请求
UsernamePasswordAuthenticationFilter 处理表单登录的请求(也是我们今天的主角)
BasicAuthenticationFilter 处理http basic认证的请求

由于过滤器链中的过滤器实在太多,我没有一一列举,调了几个比较重要的介绍一下。

通过上面我们知道SpringSecurity对于表单登录的认证请求是交给了UsernamePasswordAuthenticationFilter处理的,那么具体的认证流程如下:

Spring Security ç™"录流程.jpg

从上图可知,UsernamePasswordAuthenticationFilter继承于抽象类AbstractAuthenticationProcessingFilter

具体认证是:

  1. 进入doFilter方法,判断是否要认证,如果需要认证则进入attemptAuthentication方法,如果不需要直接结束
  2. attemptAuthentication方法中根据username跟password构造一个UsernamePasswordAuthenticationToken对象(此时的token是未认证的),并且将它交给ProviderManger来完成认证。
  3. ProviderManger中维护这一个AuthenticationProvider对象列表,通过遍历判断并且最后选择DaoAuthenticationProvider对象来完成最后的认证。
  4. DaoAuthenticationProvider根据ProviderManger传来的token取出username,并且调用我们写的UserDetailsService的loadUserByUsername方法从数据库中读取用户信息,然后对比用户密码,如果认证通过,则返回用户信息也是就是UserDetails对象,在重新构造UsernamePasswordAuthenticationToken(此时的token是 已经认证通过了的)。

接下来我们将通过源码来分析具体的整个认证流程。

AbstractAuthenticationProcessingFilter

AbstractAuthenticationProcessingFilter 是一个抽象类。所有的认证认证请求的过滤器都会继承于它,它主要将一些公共的功能实现,而具体的验证逻辑交给子类实现,有点类似于父类设置好认证流程,子类负责具体的认证逻辑,这样跟设计模式的模板方法模式有点相似。

现在我们分析一下 它里面比较重要的方法

1、doFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
   
		// 省略不相干代码。。。
    // 1、判断当前请求是否要认证
		if (!requiresAuthentication(request, response)) {
   
      // 不需要直接走下一个过滤器
			chain.doFilter(request, response);
			return;
		}
		try {
   
      // 2、开始请求认证,attemptAuthentication具体实现给子类,如果认证成功返回一个认证通过的Authenticaion对象
			authResult = attemptAuthentication(request, response);
			if (authResult == null) {
   
				return;
			}
      // 3、登录成功 将认证成功的用户信息放入session SessionAuthenticationStrategy接口,用于扩展
			sessionStrategy.onAuthentication(authResult, request, response);
		}
		catch (InternalAuthenticationServiceException failed) {
   
      //2.1、发生异常,登录失败,进入登录失败handler回调
			unsuccessfulAuthentication(request, response, failed);
			return;
		}
		catch (AuthenticationException failed) {
   
      //2.1、发生异常,登录失败,进入登录失败处理器
			unsuccessfulAuthentication(request, response, failed);
			return;
		}
		// 3.1、登录成功,进入登录成功处理器。
		successfulAuthentication(request, response, chain, authResult);
	}

2、successfulAuthentication

登录成功处理器

protected void successfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, Authentication authResult)
			throws IOException, ServletException {
   
    //1、登录成功 将认证成功的Authentication对象存入SecurityContextHolder中
    // 	 SecurityContextHolder本质是一个ThreadLocal
		SecurityContextHolder.getContext().setAuthentication(authResult);
    //2、如果开启了记住我功能,将调用rememberMeServices的loginSuccess 将生成一个token
  	//   将token放入cookie中这样 下次就不用登录就可以认证。具体关于记住我rememberMeServices的相关分析我					们下面几篇文章会深入分析的。
		rememberMeServices.loginSuccess(request, response, authResult
最低0.47元/天 解锁文章
余空~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
3.springSecurity源码分析1
08-03
在深入分析SpringSecurity源码之前,我们先了解一些基础概念。 1. DelegatingFilterProxy:这是一个Spring框架提供的过滤器,它作为代理来调用实际的Filter。在web.xml中,filter-name设置为...
SpringSecurity中 出现UserDetailsService returned null, which is an interface contract violation
热爱生活の李
10-24 2915
SpringSecurity中 出现UserDetailsService returned null, which is an interface contract violation
Spring Security 认证流程
qq_44131750的博客
04-17 1087
参考资料 官方指引 官方文档 白话让你理解什么是oAuth2协议 最简单易懂的Spring Security 身份认证流程讲解 Spring Security零基础入门之一 SpringSecurity+JWT认证流程解析 How Spring Security Authentication works - Java Brains(这个视频教程讲的超级详细!!!整个流程的理解可以看它) Spring Security 采用 AOP,基于 Servlet 过滤器实现的安全框架。它提供了完善的认证机构和授权功能
springboot集成springSecurity(总结篇)
qqzhengwei的专栏
02-25 950
SpringSecurity核心是什么? 过滤器链 有哪些组件? AuthenticationManager 认证管理器(所有的认证都是他负责完成)【注意它是一个接口,一般使用实现类是ProviderManager】 认证 SpringSecurity底层认证默认是通过UsernamePasswordAuthenticationFilter进行处理的 什么叫认证? 如何认证? 1、UsernamePasswordAuthenticationFilter 通过这...
简单的Spring Security实例(自定义登录验证)
热门推荐
萧逸才的博客
08-28 1万+
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企
最详细Spring Security学习资料(源码
最新发布
11-16
身份验证:Spring Security支持多种身份验证方式,包括基本认证表单登录、LDAP认证、OAuth等,同时也支持自定义的认证方式。 授权:Spring Security提供了细粒度的授权机制,可以根据角色、权限进行访问控制。...
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证
security:Spring Security 开发安全的REST服务 —— JoJozhai
05-13
本来是 fork 了 老师的源码的() 跟着学了两章后,发现还是少了点感觉,干脆自己重新码一遍吧 :beaming_face_with_smiling_eyes: 小目标 ...第4章 使用Spring Security开发基于表单的登录 4-1 简介 4-2
SpringSecurity登陆失败后页面回显错误信息.pdf
09-10
SpringSecurity自定义登陆页面,当登陆失败后,需要在页面上回显错误信息,但是错误信息又是由SpringSecurity自己封装的,我们如何去获取并且如何将错误信息转换成中文显示在页面上,本资源对其进行了详情的解决,方便后期使用。
springSecurity 登录以及用户账号密码解析原理
weixin_33910137的博客
01-15 1929
springSecurity 拦截器链 用户登录基本流程处理如下: 1 SecurityContextPersistenceFilter 2 AbstractAuthenticationProcessingFilter 3 UsernamePasswordAuthenticationFilter 4 AuthenticationManager 5 AuthenticationProvider 6...
SpringSecuritySpringSecurity基础
qq_44530108的博客
03-26 5213
框架简介 概要 一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录 (2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说
SpringSecurity(一)表单登录之登录认证
黄沙客栈
08-17 555
SpringSecurity(一)表单登录之登录认证 springsecurityspring推荐的安全权限框架,今天我们来看看它的原理,后面会放github地址 springsecurity包含了两部分:登录认证和访问授权 1.登录认证 –首先我们来看看表单登录,表单登录需要在security配置类里面配置HttpSecurity 的 formLogin @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnable
SpringSecurity登录流程
weixin_45802793的博客
09-27 4074
SpringSecurity登录流程 1.无处不在的Authentication 实现类中,我们最常用的是UsernamePasswordAuthenticationToken 2.登录流程 Spring Security中,认证和授权的校验都是在一系列过滤器链完成的,和认证相关的过滤器就是UsernamePasswordAuthenticationFilter public Authentication attemptAuthentication(HttpServletRequest reque
7. Spring Security缓存UserDetails
一个人的人生
11-29 1483
Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类,CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetails时,其首先会从缓存中获取,如果缓存中没有对应的UserDetails存在,则使用持有的UserD
Spring Security之AuthenticationManager、ProviderManager、AuthenticationProvider用户认证源码分析
OceanSky的专栏
08-07 6165
Spring Security之AuthenticationManager、ProviderManager、AuthenticationProvider用户认证源码分析 AuthenticationManager类源码解析 public interface AuthenticationManager { Authentication authenticate(Authentication aut...
Project1_07_过渡2_SpringBoot整合Security实现用户登录验证&用户身份认证&用户权限获取
qq_41368113的博客
07-30 525
一、项目环境 后端技术栈:SpringBoot, SpringSecurity, jwt 后端软体:IntelliJ IDEA2020, jdk1.8 数据库:mySql 二、文章主题 内容概述:为将Project07与SpringSecurity/Shiro+jwt整合,主要参考了MarkerHub_前后端分离后台管理系统进行改写,本文是关于该视频P30~46内容的学习整理,前端内容在传送门。 项目源码:shoppingProject01_pub : version7.1 三、用户登录验证&am
SpringSecurity——基于SpringSpringMVC和MyBatis自定义SpringSecurity权限认证规则
weixin_30537391的博客
12-20 196
本文在SpringMVC和MyBatis项目框架的基础上整合Spring Security作为权限管理。并且完全实现一套自定义的权限管理规则。 1.权限管理 在本例中所使用的权限管理的思路如下图所示,在系统中存在着许多帐号,同时存在着许多资源,在一个Web系统中一个典型的资源就是访问页面的URL,控制了这个就能够直接控制用户的访问权。 由于资源非常多,直接针对资源与用户进行设置关系会比...
springsecurity 源码
09-13
Spring Security 是一个用于身份验证和授权的框架,它的源码中包含了很多关于过滤器链和认证流程的实现。 在 Spring Boot 启动时,会加载 spring.factories 文件,该文件中包含了对 Spring Security 过滤器链的配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值