Spring Security密码登录流程源码分析

最新推荐文章于 2023-09-04 21:05:29 发布
最新推荐文章于 2023-09-04 21:05:29 发布
阅读量321 收藏
点赞数
分类专栏: spring security 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youthsong/article/details/106291475
版权

初识

Spring Security是通过SecuriyFilterChains过滤器链来保证应用安全的,而这些过滤器链由FilterChainProxy(本质上是个Filter)来管理,每个uri都对应一个SecurityFilterChain,即对应SecurityFilterChain中的Filters。

FilterChainProxy中由SecurityFilterChain维护了很多Filter,debug进入可以看到:
image
SpringSecurity的密码登录就是由UsernamePasswordAuthenticationFilter过滤器来实现的,先上一张登录校验流程图:
spring-security-login

UsernamePasswordAuthenticationFilter

UsernamePasswordAuthenticationFilter 继承了 AbstractAuthenticationProcessingFilter,doFilter()方法由其父类实现。
image
doFilter()方法中调用了attemptAuthentication()方法,该方法尝试进行身份验证,由UsernamePasswordAuthenticationFilter实现,关键代码如下:

public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
    // 判断请求方式
    if (postOnly && !request.getMethod().equals("POST")) {
        throw new AuthenticationServiceException(
            "Authentication method not supported: " + request.getMethod());
    }

    // 获取用户名密码
    String username = obtainUsername(request);
    String password = obtainPassword(request);

    if (username == null) {
        username = "";
    }

    if (password == null) {
        password = "";
    }

    username = username.trim();

    // 使用用户名密码生成token
    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
        username, password);

    // Allow subclasses to set the "details" property
    setDetails(request, authRequest);

    // 根据token,匹配合适的provider认证
    return this.getAuthenticationManager().authenticate(authRequest);
}

ProviderManager

ProviderManager#authenticate() 会获取所有的AuthenticationProvider,然后遍历,找出与封装的 Token 匹配的 Provider,调用其 authenticate()方法。

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
    Class<? extends Authentication> toTest = authentication.getClass();
    AuthenticationException lastException = null;
    AuthenticationException parentException = null;
    Authentication result = null;
    Authentication parentResult = null;
    boolean debug = logger.isDebugEnabled();

    for (AuthenticationProvider provider : getProviders()) {
        // 遍历所有Providers,找到与token相匹配的provider
        if (!provider.supports(toTest)) {
            continue;
        }

        if (debug) {
            logger.debug("Authentication attempt using "
                         + provider.getClass().getName());
        }

        try {
            // 调用authenticate方法认证,拿到认证结果
            result = provider.authenticate(authentication);

            if (result != null) {
                copyDetails(authentication, result);
                break;
            }
        }
        catch (AccountStatusException | InternalAuthenticationServiceException e) {
            prepareException(e, authentication);
            // SEC-546: Avoid polling additional providers if auth failure is due to
            // invalid account status
            throw e;
        } catch (AuthenticationException e) {
            lastException = e;
        }
    }

    if (result == null && parent != null) {
        // Allow the parent to try.
        try {
            result = parentResult = parent.authenticate(authentication);
        }
        catch (ProviderNotFoundException e) {
            // ignore as we will throw below if no other exception occurred prior to
            // calling parent and the parent
            // may throw ProviderNotFound even though a provider in the child already
            // handled the request
        }
        catch (AuthenticationException e) {
            lastException = parentException = e;
        }
    }

    if (result != null) {
        if (eraseCredentialsAfterAuthentication
            && (result instanceof CredentialsContainer)) {
            // 认证完成,移除密码等敏感信息
            // Authentication is complete. Remove credentials and other secret data
            // from authentication
            ((CredentialsContainer) result).eraseCredentials();
        }

        // If the parent AuthenticationManager was attempted and successful than it will publish an AuthenticationSuccessEvent
        // This check prevents a duplicate AuthenticationSuccessEvent if the parent AuthenticationManager already published it
        if (parentResult == null) {
            eventPublisher.publishAuthenticationSuccess(result);
        }
        return result;
    }

    // Parent was null, or didn't authenticate (or throw an exception).

    if (lastException == null) {
        lastException = new ProviderNotFoundException(messages.getMessage(
            "ProviderManager.providerNotFound",
            new Object[] { toTest.getName() },
            "No AuthenticationProvider found for {0}"));
    }

    // If the parent AuthenticationManager was attempted and failed than it will publish an AbstractAuthenticationFailureEvent
    // This check prevents a duplicate AbstractAuthenticationFailureEvent if the parent AuthenticationManager already published it
    if (parentException == null) {
        prepareException(lastException, authentication);
    }

    throw lastException;
}

provider.supports方法,以token(authentication)的类型为标准,判断是否是UsernamePasswordAuthenticationToken类或其子类,为扩展UsernamePasswordAuthenticationToken提供了基础。

public boolean supports(Class<?> authentication) {
    return (UsernamePasswordAuthenticationToken.class
            .isAssignableFrom(authentication));
}

认证完成后,还会调用eraseCredentials()方法,进行密码擦除工作,比如把密码置空。

AbstractUserDetailsAuthenticationProvider

ProviderManager#authenticate() 方法,进入AbstractUserDetailsAuthenticationProviderauthenticate 方法。

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
    // 支持多语言的信息提示
    Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
                        () -> messages.getMessage(
                            "AbstractUserDetailsAuthenticationProvider.onlySupports",
                            "Only UsernamePasswordAuthenticationToken is supported"));

    // 获取用户名
    // Determine username
    String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
        : authentication.getName();

    // 先从缓存中获取UserDetails
    boolean cacheWasUsed = true;
    UserDetails user = this.userCache.getUserFromCache(username);

    if (user == null) {
        cacheWasUsed = false;

        try {
            // 获取UserDetails
            user = retrieveUser(username,
                                (UsernamePasswordAuthenticationToken) authentication);
        }
        catch (UsernameNotFoundException notFound) {
            logger.debug("User '" + username + "' not found");

            if (hideUserNotFoundExceptions) {
                // 隐藏用户不存在异常,统一抛出BadCredentialsException
                throw new BadCredentialsException(messages.getMessage(
                    "AbstractUserDetailsAuthenticationProvider.badCredentials",
                    "Bad credentials"));
            }
            else {
                throw notFound;
            }
        }

        Assert.notNull(user,
                       "retrieveUser returned null - a violation of the interface contract");
    }

    try {
        // 用户状态前置校验:账户锁定、不可用、过期
        preAuthenticationChecks.check(user);
        // 这里主要是校验密码是否正确
        additionalAuthenticationChecks(user,
                                       (UsernamePasswordAuthenticationToken) authentication);
    }
    catch (AuthenticationException exception) {
        if (cacheWasUsed) {
            // There was a problem, so try again after checking
            // we're using latest data (i.e. not from the cache)
            cacheWasUsed = false;
            user = retrieveUser(username,
                                (UsernamePasswordAuthenticationToken) authentication);
            preAuthenticationChecks.check(user);
            additionalAuthenticationChecks(user,
                                           (UsernamePasswordAuthenticationToken) authentication);
        }
        else {
            throw exception;
        }
    }

    // 用户状态后置校验:账户密码过期
    postAuthenticationChecks.check(user);

    if (!cacheWasUsed) {
        this.userCache.putUserInCache(user);
    }

    Object principalToReturn = user;

    if (forcePrincipalAsString) {
        principalToReturn = user.getUsername();
    }

    return createSuccessAuthentication(principalToReturn, authentication, user);
}

重点关注获取用户信息retrieveUser()和密码校验additionalAuthenticationChecks()方法,他们都是抽象方法,由其子类 DaoAuthenticationProvider 实现。

DaoAuthenticationProvider

retrieveUser()
protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
    prepareTimingAttackProtection();
    try {
        // 根据username获取UserDetails
        UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
        if (loadedUser == null) {
            throw new InternalAuthenticationServiceException(
                "UserDetailsService returned null, which is an interface contract violation");
        }
        return loadedUser;
    }
    catch (UsernameNotFoundException ex) {
        mitigateAgainstTimingAttack(authentication);
        throw ex;
    }
    catch (InternalAuthenticationServiceException ex) {
        throw ex;
    }
    catch (Exception ex) {
        throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
    }
}

最终调用了 UserDetailsService 的 loadUserByUsername()方法,来获取用户信息,我们可以实现 UserDetailsService 接口,从数据库中查出用户的信息。

additionalAuthenticationChecks()
protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
    if (authentication.getCredentials() == null) {
        logger.debug("Authentication failed: no credentials provided");

        throw new BadCredentialsException(messages.getMessage(
            "AbstractUserDetailsAuthenticationProvider.badCredentials",
            "Bad credentials"));
    }

    String presentedPassword = authentication.getCredentials().toString();

    // 校验密码是否相同
    if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
        logger.debug("Authentication failed: password does not match stored value");

        throw new BadCredentialsException(messages.getMessage(
            "AbstractUserDetailsAuthenticationProvider.badCredentials",
            "Bad credentials"));
    }
}

使用了passwordEncoder.matches()方法来匹配密码是否相同。

总结

最后再看下这张流程图,就比较清晰了
spring-security-login.png
梳理一下整个认证流程:
通过过滤器获取请求参数,封装成token,调用 ProviderManager 管理的 Provider (认证逻辑的实现类) 的 authenticate 方法,最后调用 UserDetailService 去获取用户的信息,之后做一下前置、后置和密码的校验。

可以留言说下你学习源码的感受,你的评论、在看、转发,都能让我高兴好久。

我的最新文章会先发到公众号【读钓的YY】上,建议关注一下!也可以添加我得个人微信:wxh8960,备注CSDN

读钓
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security认证和授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.csdn.net/u014572215/article/details/80309161
SpringSecurity登录流程
weixin_45802793的博客
09-27 4128
SpringSecurity登录流程 1.无处不在的Authentication 实现类中,我们最常用的是UsernamePasswordAuthenticationToken 2.登录流程 Spring Security中,认证和授权的校验都是在一系列过滤器链完成的,和认证相关的过滤器就是UsernamePasswordAuthenticationFilter public Authentication attemptAuthentication(HttpServletRequest reque
模拟密码登陆过程
weixin_30575309的博客
04-18 139
知识点: 1.当查看手册发现头文件上面有宏定义的要在文件程序的最上方加上该宏定义。 2用到的函数:   getpwnam(name);//根据用户输入的name来查找passwd表,看是否有该用户   getspnam(name)//通过用户名在shadow中找到该用户的密钥,返回的是结构体指针   crypt(pas.sp->sp_pwdp)//通过crypt函数校验密...
Spring Security源码解析
格局决定一切,智恒方远
03-20 1781
      现在流行的通用授权框架有apache的shiro和Spring家族的Spring Security,在涉及今天的微服务鉴权时,需要利用我们的授权框架搭建自己的鉴权服务,今天总理了Spring Security,便于在微服务架构体系中拓展.对于shiro之前用过,单体应用使用起来还是很灵活轻便的.##############################################...
【Python3】Python简单的登录小程序
weixin_34337265的博客
05-10 116
#!/usr/bin/env python # -*- coding: utf-8 -*- # Author:Chuncheng.Fan <xmzncc@gmail.com> f1 = open('db','r') data = f1.read() f1.close() # 1.格式化数据 user_info_list ...
springsecurity源码(鉴权有缺陷)
05-20
- **身份验证(Authentication)**:当用户尝试访问受保护的资源时,Spring Security 会检查请求中的凭证(如用户名和密码)。如果凭证有效,将创建一个`Authentication`对象并存储在`SecurityContextHolder`中。 ...
Spring security oauth源码
10-28
通过分析这些源码,我们可以深入理解OAuth的工作原理,以及Spring Security OAuth如何支持这些功能。同时,Sparklr2和Tonr2示例能帮助我们直观地看到OAuth流程的每个步骤,包括授权、令牌交换和资源访问。 在实际...
Spring_Security3_源码分析
06-22
总结,Spring Security 3的源码分析是一个深度学习的过程,涵盖了安全领域的多个方面。通过理解其内部工作机制,开发者可以更好地利用这一强大的框架,为应用程序提供安全的保障。同时,源码分析也能帮助开发者解决...
spring-security-oauth2源码
06-30
Spring Security OAuth2 是一个强大的框架,用于为Java应用提供OAuth2和OpenID Connect...通过阅读和分析`spring-security-oauth-master`中的源码,可以更深入地了解其实现细节,有助于在实际项目中灵活运用和定制。
Spring Security 用户名密码登录源码解析
jgzquanquan的博客
03-28 1149
简介 本文主要讲解SpringSecurity中账号密码登录部分的源码解析,其基本流程如下图所示。用户请求首先会进入到UsernamePasswordAuthenticationFilter中,此时的Authentication是未认证的。接着通过ProviderManager找到匹配的Provider,此处找到是DaoAuthenticationProvider,接着去校验相关相关逻辑。User...
Linux-SSH介绍与认证方式
萌兔兔MMQ!!
08-15 2747
当客户端尝试连接服务器的时候,会首先将自己的公钥发送给服务器端,当服务器端对比客户端与自己所存储的公钥一致后,会向客户端发送检查信息,这个检查信息需要客户端使用私钥进行解密,继而应答服务器的消息进行确认验证。在实际的生产环境中,运维人员经常要使用本地的计算机对远程主机进行控制工作,TCP/IP协议提供了两种协议来完成这样的操作,分别为Telnet协议和SSH协议。设置登录的连接方式是密钥登录,设置用户名为root,载入私钥并输入添加私钥时设置的密码,使用SSH登录连接,发现登录成功。...
ssh的PasswordAuthentication不生效的问题(by quqi99)
最新发布
技术并艺术着
09-04 1470
想禁用ssh的密码登录时,都是设置PasswordAuthentication no, 用了这么多年,从来没有怀疑过,但今天就遇到了这个问题居然不生效。再后来将PasswordAuthentication no移到了/etc/ssh/sshd_config文件的最开头,居然就work了。后来设置了ChallengeResponseAuthentication no还是不生效。
系统学习ssh服务
m0_59371732的博客
08-03 1724
概念:SSH([Secure Shell]) 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。如何搭建ssh服务?软件来实现某个功能–》远程登录opensshOpenSSH是使用SSH协议进行远程登录的首要连接工具。它对所有通信进行加密,以消除窃听、连接劫持和其他攻击。此外,OpenSSH提供了大量的安全隧道功能、几种身份验证方法和复杂的配置选项。...
/etc/ssh/sshd_config 配置文件中的 PasswordAuthentication & PermitRootLogin 参数作用
qq_50247813的博客
09-04 5074
是一种身份验证方式,通常用于远程服务器的登录。当用户连接到远程服务器并进行身份验证时,服务器会根据。用户名进行验证,如果验证成功允许用户访问服务器。用户使用密码远程访问,但是可以用其他方式访问,比如公钥。,则必须使用其他的身份验证方式,如公钥身份验证。表示 不允许 root 用户远程访问,,以指示是否允许密码身份验证。允许 root 用户远程访问,表示 不允许 root。测试结果: 可以远程访问。#可以看出密码被拒绝了。
SSH 免密登录配置与Permission denied (publickey,gssapi-with-mic,password)问题
码农杰森
06-28 6509
为了SSH的登录安全,将SSH配置为使用公私钥的方式进行登录配置SSH使用公私钥登录来实现免密的方法,减少了每次登录都需要输入复杂密码登录的安全问题,配置过程如下通过上面的配置基本就完成了SSH使用公私钥登录的配置。客户端登录提示: Permission denied (publickey,gssapi-with-mic)当我们关闭了gssapi认证,password认证登录方式,只开启pubkeyAuthentication时会提示:Permission denied (publickey)...
spring security 一个验证码登录例子
热门推荐
ry的专栏
07-11 2万+
看完shiro,在看spring security感觉快了很多,最开始看spring security的时候,非常晕,看完我觉得spring security做了太多事,以至于程序员都不知道,是怎么实现的,这样的 后果就是 当出现错误,或者需要修改的时候感觉无从下手。 个人理解,若有错误,请指正。 spring security跟shiro类似,都是使用过滤器来认证和授权,不同的
spring-Security(二):校验流程
liyu121的博客
05-11 1301
spring-Security登录流程图如下,请仔细看AbstractAuthenticationProcessingFilter 抽象类/** * 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。 * 如果需要验证,则会调用 #attemptAuthenticat...
Spring源代码解析(九):Spring Acegi框架鉴权的实现
子夜轻风
03-18 149
简单分析一下Spring Acegi的源代码实现: Servlet.Filter的实现 AuthenticationProcessingFilter启动Web页面的验证过程 - 在AbstractProcessingFilter定义了整个验证过程的模板: Java代码 public   void  doFilter(ServletRequest reque...
Spring Security3 深度源码剖析
"Spring_Security3_源码分析" Spring Security 是一个强大且高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java Web 应用程序。本资源主要聚焦于Spring Security 3版本的源码分析,由作者Dead_Knight在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值