第5章 Spring Security 认证剖析

最新推荐文章于 2025-01-20 16:55:19 发布
原创 最新推荐文章于 2025-01-20 16:55:19 发布 · 182 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #单元测试 #java

本文深入分析了Spring Security的认证过程,包括AuthenticationProvider、DaoAuthenticationProvider的认证流程和ProviderManager的工作机制。通过时序图和类图,阐述了过滤器如何调用AuthenticationManager进行认证,以及AuthenticationProvider如何完成加载用户信息、密码比对等步骤,帮助读者理解Spring Security的认证机制。

在之前章节只是分析过滤器,并没有仔细地去分析认证这一块。现在我们来仔细分析一下认证详细流程。

认证时序图

UsernamePasswordAuthenticationFilter 过滤器会调用 attemptAuthentication 方法进行认证。在 attemptAuthentication 方法内部会根据传递进来的 usernamepassword 封装成 UsernamePasswordAuthenticationToken 对象,并由 AuthenticationManager 管理器调用 authenticate 方法进行认证。AuthenticationManager 管理器会把具体认证工作委派给 ProviderManager 。由 ProviderManager 类来完成加载用户信息、检查用户状态、密码比对等等,如果认证成功,会生产 Authentication 对象并返回。大致的时序图如下所示。

在这里插入图片描述

AuthenticationProvider

AuthenticationProvider 的实现类才是真正执行完成认证逻辑的地方,多个 AuthenticationProvider 可以被注入到 ProviderManager 类中。每个 AuthenticationProvider 都对应不同认证方式。例如 DaoAuthenticationProvider 支持用户名和密码进行认证;JwtAuthenticationProvider 支持JWT进行认证。

public interface AuthenticationProvider {
    Authentication authenticate(Authentication var1) throws AuthenticationException;
	
    // 是否支持该认证方式
    boolean supports(Class<?> var1);
}
DaoAuthenticationProvider认证流程

AbstractUserDetailsAuthenticationProvider 类会调用 authenticate 方法,然后根据参数 Authentication 对象获取用户名。根据用户名从缓存获取 UserDetails 对象,如果获取不到,则委派 UserDetailsService 类加载用户信息。然后对用户信息执行 preAuthenticationChecksadditionalAuthenticationCheckspostAuthenticationChecks 校验,如果都通过,则放入缓存并创建新的 Authentication 对象。

在这里插入图片描述

ProviderManager

ProviderManager 是认证管理器,它可以配置多种认证方式,而且还可以配置父类认证管理器。首先遍历集合 providers ,然后判断认证器是否支持该认证方式。如果支持,则由 provider 进行认证。如果认证结果为空,则调用父类的认证器集合进行认证,直到返回认证结果或者抛出异常。最后,如果需要进行凭证清除,就把凭证设置为空,防止凭证泄漏。

在这里插入图片描述

类图

在这里插入图片描述

备注
本系列都是学习《深入浅出Spring Security》的笔记

学习Spring Boot:(二十八)Spring Security 权限认证
追光者的博客
05-07 1万+
前言 主要实现 Spring Security 的安全认证,结合 RESTful API 的风格,使用无状态的环境。 主要实现是通过请求的 URL ,通过过滤器来做不同的授权策略操作,为该请求提供某个认证的方法,然后进行认证,授权成功返回授权实例信息,供服务调用。 基于Token的身份验证的过程如下: 用户通过用户名和密码发送请求。 程序验证。 程序返回一个签名的token 给客户端。 ...
超详解(源码)SpringSecurity认证过程!!
qq_42682745的博客
10-11 3427
目录AbstractAuthenticationProcessingFilter1.UsernamePasswordAuthenticationFilter的创建2.attemptAuthentication()方法整个认证过程梳理:1. 一号选手UsernamePasswordAuthenticationFilter2.二号选手ProviderManager3.三号选手DaoAuthenticationProvider(主力部队)4.四号选手SecurityContextPersistenceFilt
SpringBoot集成SpringSecurity(七)简单分析认证流程
xinshengdelei的专栏
03-31 957
认证流程 用户提交后,默认走用户密码认证过滤器UsernamePasswordAuthenticationFilter,其继承了一个抽象的认证过滤器AbstractAuthenticationProcessingFilter。 AbstractAuthenticationProcessingFilter的doFilter方法负责认证流程,其关键过程包括: UsernamePasswordAuthenticationFilter.attemptAuthentication方法,认证过程。 succ
java 安全框架_Java安全框架Shiro和Spring Security对比
weixin_32512381的博客
02-12 634
Shiro简介Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码学和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。Shiro架构与功能介绍1.认证与授权相关基本概念两个基本的概念安全实体:系统需要保护的具体对象数据权限:系统相关的功能操作,例如基本的CRUDAuthenticatio...
安全框架Shiro和SpringSecurity的比较
weixin_30294021的博客
07-24 1561
两个基本的概念 安全实体:系统需要保护的具体对象数据 权限:系统相关的功能操作,例如基本的CRUD  Shiro   首先Shiro较之 Spring Security,Shiro在保持强大功能的同时,还在简单性和灵活性方面拥有巨大优势。 Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。如下是它所具有的特点: 易于理解的 Jav...
Spring Security 认证流程分析及多方式登录认证实践
07-22 1306
在项目开发过程中,会涉及到安全框架的配置。其中常用的就是shiro和, 在本文中将介绍的工作流程和实践应用,并基于此总结其使用心得和项目配置关键。本文主要介绍了登录相关的核心配置,以及验证码方式登录的实践,作为系统开发中常用的权限认证框架,在此基础上拓展了项目的多种登录方式,即手机验证码和邮箱验证码的方式,同时也介绍了前后端分离与不分离情况下的差异。本文总结了常用的使用方式,可以很好的为后续开发提供借鉴。所涉及的代码已经上传至gitee项目gitee地址。
Spring Security 认证源码超详细分析
最新发布
qq_35485206的博客
01-20 1026
目录Spring Security 认证源码超详细分析3.1 认证架构组件分析3.1.1 SecurityContextHolder3.1.2 AuthenticationManager(1)AuthenticationProvider(2)UserDetailsService(3)UserDetails3.1.3 A...
Spring Security认证流程分析
qq_62646841的博客
04-27 1543
EnableWebSecurity //@EnableWebSecurity是开启SpringSecurity的默认行为@EnableGlobalMethodSecurity(prePostEnabled = true)//开启注解功能,默认禁用注解@Resource@Resource@Resource@Bean@Override@Override// 这是配置的关键,决定哪些接口开启防护,哪些接口绕过防护http//关闭csrf。
Spring Security认证过程
weixin_38927257的博客
11-08 5127
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringSecurity框架【认证
m0_65078452的博客
07-11 1510
Spring SecuritySpring家族中的一个安全管理框架,相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说大型项目用Spring Security比较多,小项目用Shiro比较多,因为相比于Spring Security,Shiro上手比较简单。一般Web应用需要进行认证和授权。认证:验证当前访问系统的是不是本系统用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
spring security、shiro
qq_48501521的博客
09-09 1669
spring security介绍定义:为基于spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架,实现了认证和授权,提供了基于账号和密码的认证,通过安全配置实现请求拦截、授权。但不仅仅是这些认证spring security默认提供认证界面,无需额外开发安全配置:spring security提供了用户名密码登录、退出、会话认证等功能,只需配置即可。自定义类继承WebSecurityConfigurerAdapter,使用@EnableWebSecurity注解修饰。
安全框架shiro -- springsecurity.
WanWenQingqijia的博客
07-08 651
=身份认证==,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。对于采用指纹等系统,则出示指纹;对于硬件Key等刷卡系统,则需要刷卡。==授权,即访问控制==,控制谁能访问哪些资源。主体进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无法访问的如果自己完成认证和授权相对来说比较麻烦。可以使用第三方框架帮你完成认证和权限的绑定。
Shiro Or Spring Security
qq_24920043的博客
11-26 883
前言:公司想要把之前的框架重新弄一下,然后这边让我和另外一位同事负责搭建框架部分和基础数据部分,这边按照要求对两大权限框架啊做一个比较,也是记录下来,方便以后查阅。 Shiro: http://shiro.apache.org/ 是Shiro的官网     这是shiro官方对于shiro的的介绍。以下是Shiro官方对于Shiro大概功能的介绍: 这边我们结合Spring Se...
Shiro和SpringSecurity
温室的侠客的博客
09-04 1395
Shiro有很多地方都比Spring Security方便简单直接,比起Spring Security的庞大模式更容易理解和切入一些,而Spring Security比Shiro功能上要多一点,再就是和spring框架的无缝对接,比如支持spel等,有时候比Shiro更方便灵活。2.Spring Security 基于Spring开发,项目若使用Spring作为基础,配合Spring Security 做权限更便捷,而Shiro需要和Spring 进行整合开发;Shiro则是一个轻量级的安全管理框架。
spring security安全认证登录全流程分析
HarryChenj的专栏
12-12 928
spring security安全认证,登录全流程
比较一下 Spring Security 和 Shiro 各自的优缺点
weixin_42759582的博客
02-18 5914
比较一下 Spring Security 和 Shiro ? 一、安全框架 安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。 用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行
安全框架 Shiro 和 Spring Security 如何选择?
热门推荐
良月柒
09-25 4万+
点击上方"程序员的成长之路",选择"置顶或星标"你关注就是我关心的!安全框架安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)...
Shiro & Spring Security - 小记
ଳxin的博客
02-11 292
实际开发中: 1. shiro已经满足基本的安全需求,使用简单。 (1)相关注解: @RequiresRoles("admin") //角色控制 @RequiresPermissions("sys:delete") //功能权限控制 (2)配置类ShiroConfig: package com.kevin.springbootkevin1.config;...
Spring Security 和 Shiro
Flying_Fish_roe的博客
08-14 2221
无论选择 Spring Security 还是 Apache Shiro,都需要确保:- **合规的身份验证**:确保用户身份得到有效验证。- **适当的授权**:根据用户的角色和权限控制访问。- **数据保护**:对敏感数据进行加密和保护。- **应用程序配置**:配置安全的 HTTP 头部和 HTTPS。选择合适的框架取决于你的项目需求和技术栈,以及团队的熟悉度。无论选择哪种框架,良好的安全实践和定期的安全审计都是保障应用安全的关键。
SpringSecurity第三深度解析与实践技巧
5. **记住我认证**:SpringSecurity支持“记住我”功能,允许用户在一定时间内无需再次登录。该机制通过持久化一个token来实现,开发者需要了解如何配置和处理token的生成、存储和验证。 6. **会话管理**:在Web...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值