Spring Acegi框架鉴权的实现 (2)

最新推荐文章于 2025-06-03 09:54:50 发布
原创 最新推荐文章于 2025-06-03 09:54:50 发布 · 150 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#框架 #Acegi #Spring #IE #Cache

本文深入解析了一个典型的应用程序用户认证流程,包括从用户输入验证、账户状态检查到最终的认证成功处理全过程。此外,还详细介绍了如何从数据库加载用户信息的具体实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

代码
  1. public Authentication authenticate(Authentication authentication)   
  2.     throws AuthenticationException {   
  3.      Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,   
  4.          messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports",   
  5.             "Only UsernamePasswordAuthenticationToken is supported"));   
  6.   
  7.     // 这里取得用户输入的用户名   
  8.      String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED" : authentication.getName();   
  9.     // 如果配置了缓存,从缓存中去取以前存入的用户验证信息 - 这里是UserDetail,是服务器端存在数据库里的用户信息,这样就不用每次都去数据库中取了   
  10.     boolean cacheWasUsed = true;   
  11.      UserDetails user = this.userCache.getUserFromCache(username);   
  12.     //没有取到,设置标志位,下面会把这次取到的服务器端用户信息存入缓存中去   
  13.     if (user == null) {   
  14.          cacheWasUsed = false;   
  15.   
  16.         try {//这里是调用UserDetailService去取用户数据库里信息的地方   
  17.              user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);   
  18.          } catch (UsernameNotFoundException notFound) {   
  19.             if (hideUserNotFoundExceptions) {   
  20.                 throw new BadCredentialsException(messages.getMessage(   
  21.                         "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));   
  22.              } else {   
  23.                 throw notFound;   
  24.              }   
  25.          }   
  26.   
  27.          Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");   
  28.      }   
  29.   
  30.     if (!user.isAccountNonLocked()) {   
  31.         throw new LockedException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.locked",   
  32.                 "User account is locked"));   
  33.      }   
  34.   
  35.     if (!user.isEnabled()) {   
  36.         throw new DisabledException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.disabled",   
  37.                 "User is disabled"));   
  38.      }   
  39.   
  40.     if (!user.isAccountNonExpired()) {   
  41.         throw new AccountExpiredException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.expired",   
  42.                 "User account has expired"));   
  43.      }   
  44.   
  45.     // This check must come here, as we don't want to tell users   
  46.     // about account status unless they presented the correct credentials   
  47.     try {//这里是验证过程,在retrieveUser中从数据库中得到用户的信息,在additionalAuthenticationChecks中进行对比用户输入和服务器端的用户信息   
  48.           //如果验证通过,那么构造一个Authentication对象来让以后的授权使用,如果验证不通过,直接抛出异常结束鉴权过程   
  49.          additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);   
  50.      } catch (AuthenticationException exception) {   
  51.         if (cacheWasUsed) {   
  52.             // There was a problem, so try again after checking   
  53.             // we're using latest data (ie not from the cache)   
  54.              cacheWasUsed = false;   
  55.              user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);   
  56.              additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);   
  57.          } else {   
  58.             throw exception;   
  59.          }   
  60.      }   
  61.   
  62.     if (!user.isCredentialsNonExpired()) {   
  63.         throw new CredentialsExpiredException(messages.getMessage(   
  64.                 "AbstractUserDetailsAuthenticationProvider.credentialsExpired", "User credentials have expired"));   
  65.      }   
  66.     //根据前面的缓存结果决定是不是要把当前的用户信息存入缓存以供下次验证使用   
  67.     if (!cacheWasUsed) {   
  68.         this.userCache.putUserInCache(user);   
  69.      }   
  70.   
  71.      Object principalToReturn = user;   
  72.   
  73.     if (forcePrincipalAsString) {   
  74.          principalToReturn = user.getUsername();   
  75.      }   
  76.     //最后返回Authentication记录了验证结果供以后的授权使用   
  77.     return createSuccessAuthentication(principalToReturn, authentication, user);   
  78. }   
  79. //这是是调用UserDetailService去加载服务器端用户信息的地方,从什么地方加载要看设置,这里我们假设由JdbcDaoImp来从数据中进行加载   
  80. protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)   
  81.     throws AuthenticationException {   
  82.      UserDetails loadedUser;   
  83.     //这里调用UserDetailService去从数据库中加载用户验证信息,同时返回从数据库中返回的信息,这些信息放到了UserDetails对象中去了   
  84.     try {   
  85.          loadedUser = this.getUserDetailsService().loadUserByUsername(username);   
  86.      } catch (DataAccessException repositoryProblem) {   
  87.         throw new AuthenticationServiceException(repositoryProblem.getMessage(), repositoryProblem);   
  88.      }   
  89.   
  90.     if (loadedUser == null) {   
  91.         throw new AuthenticationServiceException(   
  92.             "UserDetailsService returned null, which is an interface contract violation");   
  93.      }   
  94.     return loadedUser;   
  95. }   

下面我们重点分析一下JdbcDaoImp这个类来看看具体是怎样从数据库中得到用户信息的:

SpringSecurity认证授
qq_49474843的博客
09-11 1427
RBAC模型详解,SpringSecurity入门到精通一文搞定
认证框架之—sa-token
weisian的博客
10-30 2758
设置到sa-token的缓存中,这样在之后的接口中,我们需要获取当前用户信息或当前用户信息的限等信息时,就可以直接从sa-token缓存中获取,就无需从数据库中再次查询。当调用完成sa-token的登录接口后,我们可以构建当前登录用户的对象SaBaseLoginUser,该对象可以添加限,角色,组织等信息。验证成功时,调用sa-token提供的登录接口,创建token。如上的创建token,到给前端设置token的过程,只需要后端调用sa-token的登录接口,其他无需我们做任何事情。
Spring源代码解析(九):Spring Acegi框架实现
jiwenke的专栏
08-16 198
简单分析一下Spring Acegi的源代码实现: Servlet.Filter的实现AuthenticationProcessingFilter启动Web页面的验证过程 - 在AbstractProcessingFilter定义了整个验证过程的模板: [code] public void doFilter(ServletRequest request, ServletRespons...
通用框架
汪子涵的博客
09-07 556
Cookie、Token 的区别 Cookie 主要指 Session ID 存储到 Cookie 中进行的验证的方式,该方式存在一些弊端: 服务端需要存储 Session 信息,扩展性差 跨域资源共享成本高,容易出现限问题 教室后台无法获取宿主的 Session 信息 Token 是无状态的,服务端不需要保存用户信息,方便服务端扩展,可以跨域共享 客户端流程 宿主端:通过账户名、密码登陆 实现 Token 获取接口(需要特殊处理无网、SDK未初始化的情况) 登出后主动调用教室的 Tok
Shiro(认证框架
最新发布
asdurt的博客
06-03 1120
super();} /*** 重写: 从token中获取SessionId} // token不为空,从token中取出sessionId if(StringUtils . isNotEmpty(token)) {
SaToken框架
大大怪将军的博客
07-27 2714
SaToken框架介绍及使用。
Java认证框架:Sa-Token
love_eat_peach的博客
06-06 2811
(调用角色校验和限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的限码集合后,再将限码和待校验的字符串进行判断是否有限)(调用角色校验和限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的限码集合后,再将限码和待校验的字符串进行判断是否有限)?SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"))
sa-token 框架springboot集成)
qq_34751170的博客
03-07 2803
一个轻量级java限认证框架,让变得简单、优雅(官方文档描述 哈哈) 一、pom依赖 <dependency> <groupId>cn.dev33</groupId> <artifactId>sa-token-spring-boot-starter</artifactId> <version>1.27.0</version> </dependency> 二、yml文件配置
Spring Acegi框架源码解析
Spring源代码解析()Spring_Acegi框架实现.doc” 在Spring框架的历史发展中,Spring_Acegi是一个用于安全控制的模块,后来被Spring Security所取代。Spring_Acegi提供了全面的身份验证和授功能,允许...
Spring源代码解析()Spring_Acegi框架实现.doc
08-04
Spring_Acegi框架实现中,我们主要关注的是如何处理用户的登录验证以及在验证成功或失败后系统如何响应。 首先,Spring_Acegi通过实现Servlet的`Filter`接口来介入HTTP请求的生命周期。`...
Spring源代码解析9:SpringAcegi框架实现.pdf
10-05
Spring Acegi框架中,是安全控制的核心部分,用于确保只有经过验证的用户能够访问受保护的资源。在Spring源代码解析9中,我们关注的是如何实现这个过程,特别是涉及用户账户状态检查和密码验证的部分。这部分...
Spring框架源码深度解析
9. **Spring Acegi框架实现**:Spring Acegi(现已被Spring Security替代)提供了一套安全框架。这部分可能涉及用户认证、限检查的源码实现。 10. **Spring Acegi框架实现**:授是系统安全的重要...
限和处理框架
2201_75382167的博客
03-14 621
限和处理框架 1.OAuth2、shiro、spring Security、jwt 2.单点登录解决方案 3.限的基本模型
认证框架SpringSecurity-1--概念和原理篇
weisian的博客
11-14 977
1、基本概念 Spring Security 是一个强大且高度可定制的框架,用于构建安全的 Java 应用程序。它是 Spring 生态系统的一部分,提供了全面的安全解决方案,包括认证、授、CSRF防护、会话管理等功能。 2、认证、授 (1)、认证 认证是判断一个用户的身份是否合法的过程。用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 (2)、授是对系统中的用户赋予
管理系统(JWT技术架构)——SpringBoot2+Vue2(一定惊喜满满,万字长文)
IT小辉同学
05-18 3566
愿梦想不被辜负,终将温柔回报!!!
SpringSecurity】认证与框架SpringSecurity——授
低调做人,低调编码,神码都是浮云
06-24 1560
认证与框架SpringSecurity——授
Spring Boot整合Spring Security+JWT+OAuth 2.0 实现认证登录(框架介绍)
weixin_49999835的博客
08-30 2350
该模式针对客户端而言,对用户是透明的,不需要用户参与,非用户层面授。客户端向授服务器发送自己的的 client_id 和client_secrect 请求 access_token ,用户中心仅校验客户端应用身份。客户端通过授后可以获得授范围内所有用户的信息,对客户端应用需要极高的信任。
用户登录--shiro框架
qq_24574189的博客
08-03 220
用户登录--shiro框架
Spring Security和 Shiro简单十倍的认证开源框架你晓得么?
猿小许的博客
08-24 1465
Sa-Token 介绍 Sa-Token 是一个轻量级 Java 限认证框架,主要解决:登录认证、限认证、Session会话、单点登录、OAuth2.0、微服务网关 等一系列限相关问题。 前几天无意在一个论坛中看到一个博文,有关讨论认证的开源框架的问题,在众多大佬的言语中,我们不用猜能想到我们所熟知的两个开源框架 Spring Security 和Shiro,但是这肯定不是我今天写这篇博文的重点,重点是一个不起眼的评论吸引了我。 一个坛友把Sa-Token(此处高光)吹的神乎其神,无所能无所不
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值