第2章 Spring Security登录认证流程

最新推荐文章于 2024-07-31 19:43:59 发布
原创 最新推荐文章于 2024-07-31 19:43:59 发布 · 296 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java

本文详细剖析了Spring Security的登录认证流程,包括认证流程图、重定向实现、默认登录页面的配置与实现,以及登录成功后的跳转策略。通过解析DefaultLoginPageGenerationFilter的属性和初始化过程,展示了Spring Security如何生成登录页面并处理登录请求。

Spring Security登录认证流程

在上一章节,我们看到未登录时,请求被拦截然后重定向到登录页面。那Spring Security登录认证流程是怎样的呢?现在,来分析一下。

认证流程图

在这里插入图片描述

这幅图大致描述登录认证流程:

  1. 首先访问未被授权的请求 /private 资源
  2. FilterSecurityInterceptor 过滤器拒绝这个请求并抛出 AccessDeniedException 的异常。
  3. 因为请求没有被认证,ExceptionTranslationFilter 将开始认证并且重定向到一个地址(这个地址由 AuthenticationEntryPoint 配置的,在多数情况下 AuthenticationEntryPoint 的实现类都是 LoginUrlAuthenticationEntryPoint)。
  4. 然后浏览器重定向到该地址。
重定向实现

我们先来看一下重定向流程,在重定向过程中主要涉及:FilterSecurityInterceptorExceptionTranslationLoginUrlAuthenticationEntryPoint 三个类。

在这里插入图片描述

(1)这个请求会被Spring Security的过滤器链的最后一个 FilterSecurityInterceptor 拦截下来。然后由父类判断没有授权,抛出 AccessDeniedException 异常。

(2)抛出的异常会被 FilterSecurityInterceptor 的前一个过滤器 ExceptionTranslationFilter 捕获,然后过滤器 ExceptionTranslationFilter 调用 LoginUrlAuthenticationEntryPoint#commence 方法返回给客户端302,要求客户端重定向到 /login 页面

(3)客户端发送/login请求,/login 请求会被 DefaultLoginPageGeneratingFilter 过滤器拦截,并在该过滤器生产登录页面并返回。

默认登录页面实现

默认登录页面是由过滤器 DefaultLoginPageGenerationFilter 生成的。我们先来看一下过滤器 DefaultLoginPageGeneratingFilter 的属性和初始化过程。

DefaultLoginPageGenerationFilter属性和初始化
public class DefaultLoginPageGeneratingFilter extends GenericFilterBean {
    private String loginPageUrl;  // 登录页地址
    private String logoutSuccessUrl; //登出成功后跳转地址
    private String failureUrl;   // 登录失败后跳转地址
    private String formLoginEnabled;
    private String usernameParameter; // 表单参数用户名
    private String passwordParameter; // 表单参数密码
    // 省略其他属性
    
    private void init(UsernamePasswordAuthenticationFilter authFilter, AbstractAuthenticationProcessingFilter openIDFilter) {
        this.loginPageUrl = "/login";
        this.logoutSuccessUrl = "/login?logout";
        this.failureUrl = "/login?error";
        if (authFilter != null) {
            this.formLoginEnabled = true;
            this.usernameParameter = authFilter.getUsernameParameter();
            this.passwordParameter = authFilter.getPasswordParameter();
        }
        
        //省略其他
    }
}
DefaultLoginPageGenerationFilter拦截部分实现
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest)req;
    HttpServletResponse response = (HttpServletResponse)res;
    // 判断请求地址是否为failureUrl指定的地址
    boolean loginError = this.isErrorPage(request);
    // 判断请求地址是否为logoutSuccessUrl指定地址
    boolean logoutSuccess = this.isLogoutSuccess(request);
    
    // 如果请求地址不是loginPageUrl地址&&不是failureUrl指定的地址&&不是logoutSuccessUrl指定地址
    // 不需要生成默认登录页
    if (!this.isLoginUrlRequest(request) && !loginError && !logoutSuccess) {
           chain.doFilter(request, response);
     } else {
       String loginPageHtml = this.generateLoginPageHtml(request, loginError, logoutSuccess);
        response.setContentType("text/html;charset=UTF-8");
                     response.setContentLength(loginPageHtml.getBytes(StandardCharsets.UTF_8).length);
            response.getWriter().write(loginPageHtml);
     }
}
登录表单配置

这里给出一些表单登录配置项,和之前讲解地方有涉及到,如下所示。

public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/loginPage.html")
                .loginProcessingUrl("/doLogin")
                .defaultSuccessUrl("/hello/security").permitAll()
                .and()
                .csrf().disable();
    }
}

formLogin() 开启表单配置,loginPage() 配置表单页面地址,loginProcessingUrl() 配置表单处理地址,defaultSuccessUrl() 配置表单登录成功后的跳转地址。

这里除了 defaultSuccessUrl() 可以用来登录成功做跳转还可以使用 successForwardUrl() 来做跳转。

  • defaultSuccessUrl() :如果用户在未认证的情况下,访问 /hello ,会被重定向到登录页面,登录成功时,会重定向到/hello;如果用户直接访问的登录页面,登录成功时,会重定向到defaultSucessUrl()指定的URL。
  • successForWardUrl():该方法不会考虑之前用户访问的地址,登录成功时,由服务自动转发到 successForwardUrl() 指定的地址。
登录成功跳转实现

defaultSuccessUrl() 还是 successForwardUrl() ,他们都是基于 AuthenticationHandler 接口的实现类。AuthenticationHandler 接口有是 SimpleUrlAuthenticationSuccessHandlerSavedRequestAwareAuthenticationSuccessHandlerForwardAuthenticationSuccessHandler 三个实现类。其中 defaultSuccessUrl() 方法是依托类 SavedRequestAwareAuthenticationSuccessHandler 来做重定向的;而 successForwardUrl() 方法是依托类 ForwardAuthenticationSuccessHandler 来做服务端转发的。他们都是在过滤器 UsernamePasswordAuthenticationFilter 认证成功后,调用父类的 successfulAuthentication() 方法进行处理。下图是接口继承关系。

在这里插入图片描述

备注
本系列都是学习《深入浅出Spring Security》的笔记

SpringSecurity(四)表单配置-登录成功及页面跳转原理
陈橙橙
03-11 5830
登录表单配置 在上一篇文中,我们介绍了,基本认证以及默认用户名和密码以及页面SpringSecurity是怎样帮我们生成的,这里我们就来看一下登录表单的详细配置。 项目准备 导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId&gt
springsecurity6】关于重定向次数过多的延伸验证loginProcessingUrl(““)
hfssss的博客
01-24 1551
设置了loginProcessingUrl(“/toLogin”),不走controller的(“/toLogin”)逻辑。
Spring Security 自定义login-processing-url 访问返回403
csdnluolq的博客
01-09 1万+
1.自定义form-page 如下图所示(使用xml方式,Spring Security 版本是5.2.0.RELEASE) 结果访问报403-Forbidden,如下图所示: 而且后台没有任何提示,如下图所示: 一头雾水,经过度娘,加以下配置即可 (xml和java选择其一即可): xml配置 : java 配置 : http.csrf().disable(); ...
Spring Security认证流程
chenjiangquan的博客
12-14 228
Spring Security认证流程
spring security 登录、权限管理配置
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
Spring Security 认证流程分析及多方式登录认证实践
07-22 1306
在项目开发过程中,会涉及到安全框架的配置。其中常用的就是shiro和, 在本文中将介绍的工作流程和实践应用,并基于此总结其使用心得和项目配置关键。本文主要介绍了登录相关的核心配置,以及验证码方式登录的实践,作为系统开发中常用的权限认证框架,在此基础上拓展了项目的多种登录方式,即手机验证码和邮箱验证码的方式,同时也介绍了前后端分离与不分离情况下的差异。本文总结了常用的使用方式,可以很好的为后续开发提供借鉴。所涉及的代码已经上传至gitee项目gitee地址。
SpringSecurity登录认证流程及源码分析
最新发布
m0_63624484的博客
07-31 1174
10.既然如此,我们只需要实现这个接口重写loadUserByUsername方法,然后从数据路根据用户名查询到用户信息,然后封装成一个loginUser对象,并且对这个用户的基本信息进行一个校验,没问题后就可以返回了,到这里根据用户名查找用户这个验证已经完成了。(配置类的代码最后会统一给)我们直接找到源头,发现这个加密方法是一个PasswordEncoder接口的抽象方法,里面主要两个方法,分别用于对前端输入的密码加密,还有把加密后的密码和用户信息中的密码进行比对。7.那么不用多说,直接进入这个方法。
详解最简单易懂的Spring Security 身份认证流程讲解
08-26
"Spring Security 身份认证流程讲解" Spring Security 是一个功能强大且复杂的框架,对于 JavaEE 工程师来说是一个必备的知识点。本文将从身份认证的角度讲解 Spring Security 的原理和实现过程。 身份认证是 Web...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
在实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBoot、SpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
Spring Security认证流程
l688899886的博客
08-05 637
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:转存失败重新上传取消图 3-3图中显示的流程是一个通用的架构。AbstractAuthenticationProcessingFilter作为一个抽象类,如果使用用户名/密码的方式登录, 那么它对应的实现类是。...
spring security认证和授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.youkuaiyun.com/u014572215/article/details/80309161
SpringBoot集成SpringSecurity(二) 登录认证流程解析
罗伯特是疯子丶
03-23 3101
需求 公司打算重构权限系统,主要因为现有的系统存在这些问题: 查询用户步骤繁琐:选系统(主要是这一点)——用户名——查询按钮; 简化权限只分配到角色:现在权限全部汇总到一起,不知道权限从何而来; 角色承担职责过多,杂而乱; 登录名不唯一,无账号找回功能 … 总之就是一个很乱的权限系统,考虑到security的强大功能,灵活易拓展(各种自定义),耦合性低,所以打算用security去是实现。 上...
深入浅出理解Spring Security loginPage和loginProcessingUrl
m0_59196543的博客
08-13 8965
Spring Security 相关配置
Spring Security执行原理流程
热门推荐
我神级欧文的博客
06-18 2万+
1.基本配置使用 (1)创建配置类 创建一个配置类SecurityConfig继承自WebSecurityConfigurerAdapter,重写里面的configure(HttpSecurity http)这个方法,配置好需要认证登录url,以及提交表单的url,这里除了登录url不需要认证之外,其他的url都需要认证才能访问,并且formLogin表名这是一个表单提交,loginproc...
011SpringBoot--Security(安全)
gh_xiaohe的博客
02-11 3515
源码 http.logout(); 三、注销http.logout(); 源码auth.inMemoryAuthentication() 一、授权 源码 formLogin 二、身份验证 核心类:Authentication 身份验证 源码auth.inMemoryAuthentication() RouterController
spring security loginProcessingUrl无效问题
gyn201204的博客
03-22 887
loginProcessingUrl的作用是用来拦截前端页面对/login/doLogin这个的请求的,拦截到了就走它自己的处理流程(例如这个UserDetailsService的loadUserByUsername这个方法,UserDetailsService是security的提供的一个接口,一般我们开发的时候需要去实现这个接口),所有我们自己后端写的/login/doLogin这个接口有写跟没写是一样的。//UserDetails是security提供的一个接口,一般实体类的用户需要去实现它,
(77条消息) SpringSecurity中表单验证loginProcessingUrl和loginPage问题
jiaoqi6132的博客
01-26 2044
SpringSecurity中表单验证loginProcessingUrl和loginPage问题 没问题之前状态: 之前使用SpringSecurity用户登录验证的时候 一直用的是/login请求跳转到自定义登陆页面 表单提交用的也是action=/login 而Security配置中loginPage用的也是/login,没有什么问题! 修改的过程: 而后面因为觉得跳转页面和用户验证请求url都是 /login 换成了表单用户验证用:/toLogin Security配置login..
spring security设置自定义登录loginProcessingUrl不生效的问题
LiangDongPath的博客
09-13 2796
spring security设置自定义登录loginProcessingUrl不生效的问题
Spring Security03--自定义登录页面、接口、参数、记住我等功能
fengxianaa的博客
05-11 1839
spring security
Spring Security自定义form登录流程与实现详解
本文将深入探讨Spring Security自定义登录原理及其实现过程,旨在帮助读者理解和实践在Spring Security框架中设计可扩展、灵活的表单登录功能。首先,让我们回顾一下Spring Security的核心概念和基础,它是一个强大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值