SpringBoot集成Spring Security(7)——认证流程

最新推荐文章于 2024-09-11 21:04:43 发布
最新推荐文章于 2024-09-11 21:04:43 发布
阅读量6.7w 收藏 470
点赞数 118
分类专栏: # Spring Security 5 文章标签: springboot spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanlaijike/article/details/84703690
版权

文章目录

在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Security 的认证流程,这样才能理解为什么要这样写代码,也方便后续的扩展。

一、认证流程

上图是 Spring Security 认证流程的一部分,下面的讲解以上图为依据。

(1) 用户发起表单登录请求后,首先进入 UsernamePasswordAuthenticationFilter

在 UsernamePasswordAuthenticationFilter 中根据用户输入的用户名、密码构建了 UsernamePasswordAuthenticationToken,并将其交给 AuthenticationManager 来进行认证处理。

AuthenticationManager 本身不包含认证逻辑,其核心是用来管理所有的 AuthenticationProvider,通过交由合适的 AuthenticationProvider 来实现认证。

(2) 下面跳转到了 ProviderManager ,该类是 AuthenticationManager 的实现类:

我们知道不同的登录逻辑它的认证方式是不一样的,比如我们表单登录需要认证用户名和密码,但是当我们使用三方登录时就不需要验证密码。

Spring Security 支持多种认证逻辑,每一种认证逻辑的认证方式其实就是一种 AuthenticationProvider。通过 getProviders() 方法就能获取所有的 AuthenticationProvider,通过 provider.supports() 来判断 provider 是否支持当前的认证逻辑。

当选择好一个合适的 AuthenticationProvider 后,通过 provider.authenticate(authentication) 来让 AuthenticationProvider 进行认证。

(3) 传统表单登录的 AuthenticationProvider 主要是由 AbstractUserDetailsAuthenticationProvider 来进行处理的,我们来看下它的 authenticate()方法。

首先通过 retrieveUser() 方法读取到数据库中的用户信息:

user = retrieveUser(username,(UsernamePasswordAuthenticationToken) authentication);

retrieveUser() 的具体实现在 DaoAuthenticationProvider 中,代码如下:

当我们成功的读取 UserDetails 后,下面开始对其进行认证:

在上图中,我们可以看到认证校验分为 前校验附加校验后校验,如果任何一个校验出错,就会抛出相应的异常。所有校验都通过后,调用 createSuccessAuthentication() 返回认证信息。

在 createSuccessAuthentication 方法中,我们发现它重新 new 了一个 UsernamePasswordAuthenticationToken,因为到这里认证已经通过了,所以将 authorities 注入进去,并设置 authenticated 为 true,即需要认证。

(4)至此认证信息就被传递回 UsernamePasswordAuthenticationFilter 中,在 UsernamePasswordAuthenticationFilter 的父类 AbstractAuthenticationProcessingFilterdoFilter() 中,会根据认证的成功或者失败调用相应的 handler:

这里调用的 handler 实际就是在《SpringBoot集成Spring Security(6)——登录管理》中我们在配置文件中配置的 successHandler()failureHandler()

二、多个请求共享认证信息

Spring Security 通过 Session 来保存用户的认证信息,那么 Spring Security 到底是在什么时候将认证信息放入 Session,又在什么时候将认证信息从 Session 中取出来的呢?

下面将 Spring Security 的认证流程补充完整,如下图:

在上一节认证成功的 successfulAuthentication()方法中,有一行语句:

SecurityContextHolder.getContext().setAuthentication(authResult);

其实就是在这里将认证信息放入 Session 中。

查看 SecurityContext 源码,发现内部就是对 Authentication 的封装,提供了 equals、hashcode、toString等方法,而SecurityContextHolder 可以理解为线程中的 ThreadLocal

我们知道一个 HTTP 请求和响应都是在一个线程中执行,因此在整个处理的任何一个方法中都可以通过 SecurityContextHolder.getContext()来取得存放进去的认证信息。

从 Session 中对认证信息的处理由 SecurityContextPersistenceFilter 来处理,它位于 Spring Security 过滤器链的最前面,它的主要作用是:

  • 当请求时,检查 Session 中是否存在 SecurityContext,如果有将其放入到线程中。
  • 当响应时,检查线程中是否存在 SecurityContext,如果有将其放入到 Session 中。

三、获取用户认证信息

通过调用 SecurityContextHolder.getContext().getAuthentication() 就能够取得认证信息:

@GetMapping("/me")
@ResponseBody
public Object me() {
    return SecurityContextHolder.getContext().getAuthentication();
}

上面的写法有点啰嗦,我们可以简写成下面这种, Spring MVC 会自动帮我们从 Spring Security 中注入:

@GetMapping("/me")
@ResponseBody
public Object me(Authentication authentication) {
    return authentication;
}

如果你仅想获取 UserDetails 对象,也是可以的,写法如下:

@GetMapping("/me")
@ResponseBody
public Object me(@AuthenticationPrincipal UserDetails userDetails) {
    return userDetails;
}

Jitwxs
关注
专栏目录
Springboot+Spring-Security+JWT 实现用户登录和权限认证
congge
06-08 27万+
如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于处理权限方面的,另一个比较流行的后端框架是Spring-Security,该框架提供了一整套比较成熟,也很完整的机制用于处理各类场景下的可以基于权限,资源路径,以及授权方面的解决方案,部分模块支持定制化,而且在和oauth2.0进...
springboot整合springSecurity认证示例
weixin_45815520的博客
10-25 49
启动springboot,访问local host:8080/aaa,成功拦截后跳转到login页面。--引入spring security依赖-->自定义securtiy的过滤器。编写简易controller。
Spring Security的登录认证方式(spring boot篇)
m0_64783594的博客
10-07 284
springmvc版本的配置现在用得少了,可以私信,尽量帮助大家解决,也希望大家不吝赐教。第二步准备实体类(建议账号为username,密码为password):略。第三种:自定义编写实现类。第一种:通过配置文件。
基于Ruoyi学习SpringSecurity的简单使用
qq_42149981的博客
07-21 877
基于Ruoyi学习SpringSecurity的简单使用
【IDEA Sprintboot】简单入门:整合SpringSecurity依赖、整合Thymeleaf框架
水w的博客
05-04 1406
整合SpringSecurity依赖、整合Thymeleaf框架
SpringSecurity系列——基于SpringBoot2.7的登录接口(内有惊喜)day2-1
qq_51553982的博客
06-19 5127
这个JWT工具类是我自己写的,具体怎么使用都在README.md中了 高度封装使用简单 git@gitee.com:giteeforsyf/jjwtutil.gitSpringBoot版本:2.7 SpringSecurity版本:5.4+ 注:SpringSecurityConfigurationAdapter已过时在准备工作中我们需要准备数据库、实体类、配置、工具类等数据库设计如图: 实体类User UserMapper LoginService ResultUtil统一封装返回 LoginP
springboot + spring security验证token进行用户认证
热门推荐
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLoc...
SpringBoot使用security进行登录验证
qq_28503457的博客
08-05 3000
话不多说,直接搞代码 1.在pom.xml添加依赖 <!-- securityr认证--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependenc
Spring Boot、Spring Security登录认证及权限问题
Alanx的博客
06-28 1324
Spring Boot、Spring Security、登录验证
springboot2.7+springsecurity实现简单的登录登出
qq_31547897的博客
10-11 1389
springboot+springsecurity实现简单登录登出
SpringBoot集成SpringSecurity(七)简单分析认证流程
xinshengdelei的专栏
03-31 861
认证流程 用户提交后,默认走用户密码认证过滤器UsernamePasswordAuthenticationFilter,其继承了一个抽象的认证过滤器AbstractAuthenticationProcessingFilter。 AbstractAuthenticationProcessingFilter的doFilter方法负责认证流程,其关键过程包括: UsernamePasswordAuthenticationFilter.attemptAuthentication方法,认证过程。 succ
(六)Spring Security 认证流程
qq_40179479的博客
09-03 454
认证流程 图片来自于:黑马程序员SpringSecurity认证课程 认证过程: 用户提交用户名、密码被SecurityFilterChain中的UsernamePasswordAuthenticationFilter 过滤器获取到,封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证 认证成功后, Authen
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
以上就是关于"SpringBoot集成Spring Security登录管理 添加 session 共享"的详细讲解。通过这个过程,我们可以创建一个安全且具有session共享功能的SpringBoot应用,为用户提供一致的登录体验。实际操作时,应根据...
SpringBoot开发——整合Spring Security
最新发布
bjzhang75的博客
09-11 949
SpringBoot整合Spring Security
SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 667
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
SpringBoot整合Spring Security【超详细教程】
m0_54883970的博客
07-28 459
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将SpringSecurity整合SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。SpringBoot整合SpringSecurity到这里就结束了。https如果我的文章对你有些帮助,不要忘了,,转发,。...
Spring boot 项目(二十二)——集成Spring Security,完成用户登录
weixin_45974176的博客
06-05 1280
集成SpringSecurity + mybatisplus完成自定义登录验证
若依封装SpringSecurity+JWT
weixin_45943597的博客
08-19 1744
公司用的是若依管理系统封装了SpringBoot,权限使用了SpringSecurity+JWT令牌机制,今天花时间研究了一下若依是如何对Security进行封装的。 登录 1.用户存在性验证 首先将后台清了一下,访问系统登录的页面,发现控制台打印了如下SQL: 16:10:13.119 [http-nio-8082-exec-15] DEBUG c.r.s.m.S.selectUserByUserName - [debug,159] - ==> Preparing: select u.user_i
springboot2.7整合springSecurity
gzmyh的博客
02-28 6283
本着前人栽树,后人乘凉的这种思想,自己花了一些时间,用心的整理了一套springboot整合springsecurity的教程。该教程是基于前后端分离,会实现以下两种登录功能:用户名+密码+图片验证码手机号登录这两种方式可以同时存在,并且互不干预。本教程会通过阅读其内置的用户名密码登录的源码,以及结合官网文档来实现一些自定义的登录方式。注:教程主要是开发思路的讲解,其中涉及到的代码仅供参考,为了方便,很多地方忽略了一些细节打开源码可以看到是继承,因此我们就从它开始阅读。
springboot集成spring security
06-28
### 回答1: Spring Security是一个强大的安全框架,可以在Spring Boot应用程序中使用。Spring Boot可以轻松地集成Spring Security,为应用程序提供认证和授权的功能。 要集成Spring Security,需要完成以下步骤: 1.添加Spring Security依赖项:在pom.xml文件中添加Spring Security依赖项。 2.配置Spring Security:创建一个Security配置类,并在其中定义安全规则。 3.启用Spring Security:在应用程序的启动类中使用@EnableWebSecurity注释启用Spring Security。 通过这些步骤,您可以为Spring Boot应用程序添加安全性,并保护它免受未经授权的访问。 ### 回答2: Spring Boot是一个相当流行的Java框架,它能够极大地简化Java开发者的工作,并且支持大量的集成,其中包括集成Spring SecuritySpring Security是一个强大的框架,用于保护Web应用程序的安全性。在本文中,我们将讨论Spring Boot和Spring Security集成。 一、集成Spring Security依赖 要集成Spring Security,我们需要在我们的Spring Boot应用程序中添加Spring Security的依赖项。我们可以使用 Maven 或 Gradle 来管理我们的项目依赖关系。 在下面的示例中,我们将使用Maven。在pom.xml文件中,添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 二、配置Spring Security 完成依赖注入后,我们需要配置Spring Security,以确保我们的应用程序与身份验证和授权有关的所有部分都按照预期进行工作。 我们可以通过创建一个配置类来完成此操作。 首先,我们需要创建一个@Configuration注释的类,并使用@EnableWebSecurity注释进行注释。 然后,我们可以扩展WebSecurityConfigurerAdapter类,并覆盖configure方法。 ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // security配置具体实现 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } } ``` 在上面的示例中,我们创建了一个名为SecurityConfig的类,并使用@EnableWebSecurity注释进行注释。我们还覆盖了WebSecurityConfigurerAdapter的configure方法,并定义了我们的HTTP安全配置。 在此示例中,我们允许任何请求进行身份验证,并定义了基本身份验证。 三、添加用户和角色 我们已经定义了我们的安全配置,但还没有定义任何用户和角色。我们可以通过使用 @Configuration注释和@ConfigurationProperties注释来添加用户和角色。 我们可以先定义一个自定义属性的Java类,如下: ``` @ConfigurationProperties(prefix = "myapp") public class SecurityProperties { private String username; private String password; private String role; // getter和setter方法 } ``` 然后,在我们的配置类中,我们可以使用 Java Config 的方式将其注入到类中: ``` @Configuration @EnableWebSecurity @EnableConfigurationProperties(SecurityProperties.class) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private SecurityProperties securityProperties // security配置具体实现 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser(securityProperties.getUsername()) .password("{noop}" + securityProperties.getPassword()) .roles(securityProperties.getRole()); } } ``` 上面的示例中,我们首先使用@EnableConfigurationProperties注释了SecurityProperties类,并将其自动注入到我们的配置类中。然后,我们将使用该类中的属性来创建内存身份验证,然后配置用户名,密码和角色,这将使用我们在配置文件中定义的账号密码。 四、使用自定义登录页面 Spring Security提供了默认的登录页面,但如果我们希望使用自己的自定义登录页面,则需要添加一个控制器来处理登录请求,并在配置类中进行设置。 ``` @Controller public class LoginController { @GetMapping("/login") public String getLoginPage() { return "login"; } } @Configuration @EnableWebSecurity @EnableConfigurationProperties(SecurityProperties.class) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private SecurityProperties securityProperties // security配置具体实现 @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() // 添加需要放过的静态资源 .antMatchers("/", "/home", "/register").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") // 设置自定义登录页面 .permitAll() .and() .httpBasic() .and() .logout() .permitAll(); } } ``` 上面的示例中,我们创建了一个名为LoginController的控制器,用于处理登录请求。 然后,我们在configure方法中定义了需要允许所有用户访问的页面。 最后,我们配置了自定义登录页面,并将其设置为/login。 总结 在这篇文章中,我们讨论了如何集成 Spring SecuritySpring Boot 的应用程序中。 我们首先添加了Spring Security的依赖项,并创建了一个配置类。 然后,我们添加了用户和角色,并定义了如何使用自定义登录页面。 通过完成这些步骤,我们可以确保我们的应用程序安全,并保护客户端免受攻击。 ### 回答3: Spring Boot是一种用于轻松构建Java应用程序的框架,而Spring Security是一个用于保护应用程序的身份验证和授权框架。在这里,我们将讨论如何将Spring Boot集成Spring Security。 首先,我们需要在pom.xml文件中添加Spring Security依赖项: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 接下来,我们需要配置Spring Security。这可以通过创建一个类来完成,并使用@Configuration注释来进行注释。我们还需要扩展WebSecurityConfigurerAdapter类。 ``` @EnableWebSecurity @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/", "/home").permitAll() .antMatchers("/admin").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("{noop}password").roles("USER") .and() .withUser("admin").password("{noop}password").roles("USER", "ADMIN"); } } ``` 在此示例中,我们启用了Web Security,并配置了以下内容: 1. 除了主页之外的所有页面都需要身份验证 2. 如果用户拥有ADMIN角色,则允许访问/admin页面 3. 禁用跨站点请求伪造(CSRF)保护 4. 配置表单登录和跳转页面 5. 使用内存身份验证管理器配置了两个用户 现在,我们可以通过以下方式测试Spring Security: 1. 启动应用程序 2. 访问http://localhost:8080/login 3. 输入用户名和密码(user/password 或 admin/password) 4. 尝试访问http://localhost:8080/admin 如果用户拥有ADMIN角色,则允许访问/admin页面,否则将显示403错误页面。 总之,Spring Boot集成Spring Security是一种用于保护应用程序的身份验证和授权框架。我们可以轻松地使用Spring Security通过添加依赖项和配置文件来保护我们的应用程序。
评论 28
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值