搬砖民工 Security 第一天

最新推荐文章于 2023-03-21 09:55:42 发布
最新推荐文章于 2023-03-21 09:55:42 发布
阅读量219 收藏
点赞数
分类专栏: Security 文章标签: Spring Security 核心组件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zx_xj/article/details/86083766
版权

拜读大佬博文

徐靖峰

1. 核心组件

  • SecurityContextHolder
      SecurityContextHolder用于存储安全上下文的信息。
public interface SecurityContext extends Serializable {
	//Authentication 封装了用户认证信息
	Authentication getAuthentication();
	void setAuthentication(Authentication authentication);
}
  • Authentication:
public interface Authentication extends Principal, Serializable {
	//权限信息列表,默认是GrantedAuthority的一些实现类,通常表现形式为代表用户权限信息的一系列字符串
    Collection<? extends GrantedAuthority> getAuthorities();
	//密码信息,用户输入的密码字符串,在认证过后通常会被移除,利于保障安全
    Object getCredentials();
	//细节性信息,记录了访问者的IP地址和sessionid的值。通常实现的接口为WebAuthenticationDetails
    Object getDetails();
	//最重要的用户身份信息,返回UserDetails接口的实现类
    Object getPrincipal();
	//用于告诉AbstractSecurityInterceptor 用户是否已经验证过
    boolean isAuthenticated();
	//设置用户认证状态
    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}
  • WebAuthenticationDetails
public class WebAuthenticationDetails implements Serializable {
    private static final long serialVersionUID = 510L;
    //用户的IP地址
    private final String remoteAddress;
    //用户的sessionId
    private final String sessionId;

    public WebAuthenticationDetails(HttpServletRequest request) {
        this.remoteAddress = request.getRemoteAddr();
        HttpSession session = request.getSession(false);
        this.sessionId = session != null ? session.getId() : null;
    }

    private WebAuthenticationDetails(String remoteAddress, String sessionId) {
        this.remoteAddress = remoteAddress;
        this.sessionId = sessionId;
    }
	... //还有实现的hashCode方法和equals方法
}
  • UserDetails
public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();
    String getPassword();
    String getUsername();
	//用户账户是否过期
    boolean isAccountNonExpired();
	//用户账户是否被锁定
    boolean isAccountNonLocked();
	//用户密码是否过期
    boolean isCredentialsNonExpired();
	//用户是否被启用
    boolean isEnabled();
}
  • AuthenticationManager
      本类是用户认证的核心接口,认证的发起方。
public interface AuthenticationManager {
	//核心的认证方法,由实现类来具体完成验证的逻辑
    Authentication authenticate(Authentication var1) throws AuthenticationException;
}
  • ProviderManager
      ProviderManager是AuthenticationManager的一个主要实现类,在里面维护了一个AuthenticationProvider的列表,存放多种认证方式的provider。默认情况下只要有一个认证方式能够通过那就是认证成功
public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		Authentication result = null;
		Authentication parentResult = null;
		boolean debug = logger.isDebugEnabled();
		//维护的认证Provider 列表
		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) {
				continue;
			}
			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}
			try {
				//这里去获取验证结果
				result = provider.authenticate(authentication);
				
				if (result != null) {
					copyDetails(authentication, result);
					//只要有一个获得了认证成功,就不再接着认证其它的Provider
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result == null && parent != null) {
			try {
				//TODO:这个地方有一个父类AuthenticationManager的实例,不知道在这里是什么作用。还有什么情况下parent引用不会为空,
				result = parentResult = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				((CredentialsContainer) result).eraseCredentials();
			}
			if (parentResult == null) {
				eventPublisher.publishAuthenticationSuccess(result);
			}
			return result;
		}
		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		prepareException(lastException, authentication);

		throw lastException;
	}
  • UserDetailsService
package org.springframework.security.core.userdetails;
public interface UserDetailsService {
	//这个方法的作用就是提供用户
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

大佬文章第一篇拜读完毕,效仿一下整理自己理解的UML图

Security 核心组件关联关系图

第一篇读完有点感觉了
  1. 用户信息的获取,UserDetailsService[loadUserByUsername(String username)]
  2. 用户信息认证, AuthenticationProvider[authenticate(Authentication authentication)]

趁热打铁 大佬文章第二篇

码ge寂寞
关注
专栏目录
Java搬砖日记——基础知识第一天
qq_38222786的博客
11-22 595
Java搬砖日记——基础知识第一天前言一、Java程序基础结构是什么?二、使用步骤1.引入库2.读入数据总结 前言 最近刚结束开题答辩,忙的焦头烂额,感觉自己好菜,别人的开题都好高深,我的就很菜,好在答辩老师都很和蔼,没有让我下不来台,又浑浑噩噩的忙完一件事了,论文进展除了实验图,理论优化又是毫无进展的一周,愁啊,老板下周又要开会了!但这不是耽误我搬砖,Java基础我很快的过了一遍,整理了一套出来,基于某个牛逼的老师的视频以及某个牛逼的老师的官网。感觉两个人的一融合,也就差不多了。 一、Java程序基础
史上最简单的Spring Security教程(二十七):AuthenticationManager默认实现之ProviderManager详解
银河架构师的博客
09-17 3436
Spring Security 框架中的另一个重要接口AuthenticationManager, 被设计用于处理Authentication请求。 与AuthenticationProvider接口一致,AuthenticationManager接口中有且只有一个方法,即authenticate(Authentication authentication)方法。 Authentication authenticate(Authentication authentication) ...
Spring Security系列教程11--Spring Security核心API讲解
一一哥
09-24 2707
前言 经过前面几个章节的学习,一一哥 带大家实现了基于内存和数据库模型的认证与授权,尤其是基于自定义的数据库模型更是可以帮助我们进行灵活开发。但是前面章节的内容,属于让我们达到了 "会用" 的层级,但是 "为什么这么用",很多小伙伴就会一脸懵逼了。对于技术学习来说,我们追求的不仅要 "知其然",更要 "知其所以然"! 本篇文章中,壹哥 就跟各位小伙伴一起来了解剖析Spring Security源码内部,实现认证授权的具体过程及底层原理。接下来请各位做好心理准备,以下的学习过程可能会让你心理 “稍有不适”
SpringSecurity 提示ProviderNotFoundException: No AuthenticationProvider found for ****
zhouzhiwengang的专栏
01-13 1万+
今天在实现SpringSecurity 集成多种认证方式:密码模式+ 验证码模式 时,密码模式正常返回执行并返回Token ,验证码模式:总是提示上述错误信息:ProviderNotFoundException: No AuthenticationProvider found for **** 问题解决: 报错代码发生在:ProviderManager.authenticate()方法的235行,错误源码输出如下: 源码上已经标识产生错误的原因: provider.authenticat.
Spring Security之AuthenticationManagerProviderManager、AuthenticationProvider用户认证源码分析
OceanSky的专栏
08-07 6302
Spring Security之AuthenticationManagerProviderManager、AuthenticationProvider用户认证源码分析 AuthenticationManager类源码解析 public interface AuthenticationManager { Authentication authenticate(Authentication aut...
sowk11.github.io:一介互联网测试民工学习搬砖记录
04-17
Markdown是一种轻巧且易于使用的语法,可用于样式化您的文字。 它包括以下约定 Syntax highlighted code block # Header 1 ## Header 2 ### Header 3 - Bulleted - List 1. Numbered 2. List **Bold** and _Italic_ ...
2007高考满分作文:怀想天空-民工.doc
02-07
这篇高考满分作文“怀想天空——民工”以农民工为主题,揭示了社会上普遍存在的对农民工的偏见和误解,并通过作者亲身经历的故事,展现了农民工的高尚品质和爱国精神,以此来挑战并打破人们的固有观念。 文章描述了...
民工荒”为中国经济结构调整提供了一个契机.pdf
11-05
总的来说,【民工荒】为中国提供了一个反思和调整经济发展模式的机会。中国必须从依赖廉价劳动力转变为依靠技术进步和人才创新,才能在未来的全球竞争中保持优势,实现高质量的经济增长。这是一个不容忽视的信号,也...
民工建筑工地风车网页模板
04-02
在构建一个以“民工建筑工地风车”为主题的网页模板时,我们需要考虑多个方面的技术和设计要素,以确保网站能够有效地传达其目标信息并吸引目标受众。以下是一些关键的知识点: 1. **网页布局**:网页布局是网页...
初中语文文摘历史周述恒:一位中国式民工的文学梦
09-09
1. 文学创作背景:周述恒的长篇小说《中国式民工》是在个人经历的基础上创作的,他将自己的血泪辛酸和身边朋友的故事融入作品中,描绘了农民工的生活现状。 2. 人物形象:周述恒的形象与传统农民工不同,他有文化,...
Spring Security 认证流程分析,带你Debugger
最新发布
Java技术攻略的博客
03-21 307
上面说到请求会来到,但是它继承了,所以请求会先进入抽象类中,它是一个Filter,那我们将断点打在 doFilter 方法中。介绍一下 chain 中的属性,originalChain 表示原生的过滤器链,也就是 Web Filter;additionalFilters 表示 Spring Security 中的过滤器链;firewalledRequest 表示当前请求;size 表示过滤器链中过滤器的个数;currentPosition 则是过滤器链遍历时候的下标。
SpringOauth2.0源码分析之ProviderManager(二)
有信仰的蜗牛
10-23 2895
1.概述 在SpringOauth2.0中,所有的认证服务,均通过ProviderManager认证管理中心进行认证。通过分析ProviderManager,可以理解SpringOauth2.0认证的细节。也是整个流程中最核心的环节之一。 2.ProviderManager 的类结构 ProviderManager 继承实现AuthenticationManager接口。 public class...
看清spring security 认证流程,自定义认证方式
麻雀的博客
01-30 2072
读懂spring security认证的具体实现,自定义认证方式可支持多种登录模式
spring-security-oauth2 登录或者认证成功后 做一些操作, 比如登录日志。
fsdf8sad7的博客
09-04 8571
通过跟踪代码,发现放当我们访问/oauth/token (这个请求的方法在TokenEndpoint)获取access_token 的时候,身份认证成功后会在 ProviderManager的authenticate 方法 通过eventPublisher.publishAuthenticationSuccess(result); 推出了一个认证成功的事件。 这样我们可以通过注册一个监听Auth...
spring security authenticationProvider用法及关闭不隐藏UserNotFoundException的解决
热门推荐
Luxy_wang的博客
04-21 1万+
这两天采用了spring security做登录验证,上一篇说到了增加图形验证码的解决办法,我们在config中增加了一个authenticationProvider的实现类。接下来我遇到的问题是用户登录失败(用户不存在或密码错误)之后,security框架直接返回的是验证失败。而我的需求是将用户不存在和密码错误区分开来,然后做不同的后续工作
Spring Security 用户名密码登录源码解析
jgzquanquan的博客
03-28 1170
简介 本文主要讲解SpringSecurity中账号密码登录部分的源码解析,其基本流程如下图所示。用户请求首先会进入到UsernamePasswordAuthenticationFilter中,此时的Authentication是未认证的。接着通过ProviderManager找到匹配的Provider,此处找到是DaoAuthenticationProvider,接着去校验相关相关逻辑。User...
爆破专栏丨千锋系列教程之Spring Security核心API讲解
qfzhangxu的博客
11-15 203
前言 经过前面几个章节的学习,一一哥带大家实现了基于内存和数据库模型的认证与授权,尤其是基于自定义的数据库模型更是可以帮助我们进行灵活开发。但是前面章节的内容,属于让我们达到了 "会用" 的层级,但是 "为什么这么用",很多小伙伴就会一脸懵逼了。对于技术学习来说,我们追求的不仅要 "知其然",更要 "知其所以然"! 本篇文章中,壹哥就跟各位小伙伴一起来了解剖析Spring Security源码内部,实现认证授权的具体过程及底层原理。接下来请各位做好心理准备,以下的学习过程可能会让你心理 “稍有不适” 哦
Spring Security运行流程原理分析
Demon_HL的博客
02-14 783
Spring Security流程 说白了,它就是一堆的拦截器。下面叙述以下其认证流程。 AbstractAuthenticationProcessingFilter 先看 AbstractAuthenticationProcessingFilter,其是UsernamePasswordAuthenticationFilter的父类。 在其Filter中调用了其子类的验证方法。 //核心方法 private void doFilter(HttpServletRequest request, HttpSe
中天建设集团提升民工素质:浙一医院病房楼项目创办民工学校
中天建设集团浙一医院综合病房楼项目部在面对城市建设中农民工队伍的特点和挑战时,深入贯彻以人为本的理念,认识到创办民工学校的重要性。该项目部针对农民工文化水平偏低、法制观念淡薄、技能需求以及流动性和管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码ge寂寞

谢谢老板,老板大气,老板入大厂

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值