基于SpringSecurity OAuth2实现单点登录——未认证的请求是如何重定向到登录地址的?(SpringSecurity的认证流程)

最新推荐文章于 2024-07-17 15:25:08 发布
原创 最新推荐文章于 2024-07-17 15:25:08 发布 · 3.5k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SpringSecurity #OAuth2

本文深入剖析了SpringSecurity框架中未认证请求如何被重定向到登录页面的过程。通过FilterChainProxy和FilterSecurityInterceptor等关键组件的分析,揭示了从触发AccessDeniedException异常到调用LoginUrlAuthenticationEntryPoint完成重定向的完整逻辑。

1、《入门示例和流程分析》
2、《未认证的请求是如何重定向到登录地址的》
3、《应用A是如何重定向到授权服务器的授权地址呢?》
4、《授权服务器是如何实现授权的呢?》
5、《登录访问应用A后再访问应用B会发生什么呢?》

1、前言

  在上一篇《入门示例和流程分析》的流程分析过程中,当第一次(未认证的情况下)访问应用A(http://localhost:8082/index)时,会重定向到应用A的登录http://localhost:8082/login地址(Get请求),从浏览器这个视角我们看到的是这样的情况,那么在应用A的服务端又经历了什么呢?我们通过代码进行分析。

2、SpringSecurity过滤器链

  这节分析的问题,其实就是SpringSecurity关于认证过程的逻辑。SpringSecurity实现认证逻辑,就是通过SpringSecurity 过滤器链实现的,我们先了解一下SpringSecurity过滤器链中的核心类FilterChainProxy。

2.1、FilterChainProxy

在这里插入图片描述
  在SpringSecurity中,SpringSecurity 的过滤器并不是直接内嵌到Servlet Filter中的,而是通过FilterChainProxy来统一管理的,即所有的Spring Security Filter的执行,都在FilterChainProxy中进行管理的,所以我们选择从FilterChainProxy类入手进行分析。

  为了实现上述描述的功能,SpringSecurity 过滤器由FilterChainProxy统一管理,然后在在内部定义了一个VirtualFilterChain内部类,用于表示SpringScurity内部的过滤器链,其中doFilter()方法用于执行过滤器链中的过滤器。如下所示:

//FilterChainProxy#VirtualFilterChain,省略了Debug相关信息
@Override
public void doFilter(ServletRequest request, ServletResponse response)
		throws IOException, ServletException {
   
   
	if (currentPosition == size) {
   
   
		// Deactivate path stripping as we exit the security filter chain
		this.firewalledRequest.reset();
		//执行Web中的过滤器
		originalChain.doFilter(request, response);
	}
	else {
   
   //执行SpringSecurity过滤器链中的过滤器
		currentPosition++;
		//additionalFilters中定义了SpringSecurity过滤器链中的所有过滤器
		Filter nextFilter = additionalFilters.get(currentPosition - 1);
		nextFilter.doFilter(request, response, this);
	}
}

  我们通过断点,可以查看additionalFilters变量中的过滤器集合,即SpringSecurity过滤器链中所有过滤器,下面是应用A中的SpringSecurity 过滤器,如下所示:
nextFilter.doFilter

3、FilterSecurityInterceptor过滤器

  通过Debug执行代码,我们发现,在执行完FilterSecurityInterceptor过滤器时,前端页面重定向到了应用A的登录http://localhost:8082/login地址(Get请求)。在执行过滤器FilterSecurityInterceptor过滤器时,发生了什么呢?我们通过Debug方式,进行逐步的分析。

  首先,我们进入FilterSecurityInterceptor过滤器的doFilter()方法,在doFilter()方法中又调用了invoke()方法,而在invoke()方法中,又调用了父类AbstractSecurityInterceptor的beforeInvocation()方法,如下所示:

//FilterSecurityInterceptor.java

public void doFilter(ServletRequest request, ServletResponse response,
		FilterChain chain) throws IOException, ServletException {
   
   
	FilterInvocation fi = new FilterInvocation(request, response, chain);
	invoke(fi);
}
	
public void invoke(FilterInvocation fi) throws IOException, ServletException {
   
   
	if ((fi.getRequest(
最低0.47元/天 解锁文章
基于SpringSecurity OAuth2实现单点登录——应用A是如何重定向到授权服务器的授权地址呢?
向心行者
06-12 2571
1、前言   通过前面两篇的内容,我们知道:当第一次(认证的情况下)访问应用A(http://localhost:8082/index)时,首先,会重定向到应用A的登录http://localhost:8082/login地址(Get请求),然后,又会重定向到授权服务器的http://localhost:8080/oauth/authorize地址上,那么为什么会重定向到授权服务器呢,这中间发生了什么呢?我们继续通过代码进行分析。 2OAuth2ClientContextFilter和OAuth2Cl
实际开发中,关于单点登录之前后端结合
zhanghuaiwei
05-05 2121
单点登录之前后结合方式
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
热门推荐
向心行者
09-24 2万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
单点登录与权限管理本质:HTTP重定向
weixin_34351321的博客
02-28 248
继续介绍「单点登录与权限管理」系列的第一部分:单点登录与权限管理本质,本篇说说HTTP重定向,它也是完成单点登录的基础知识。 该系列的完整写作计划,可见:系列概述 单点登录需要在多个web项目之间相互跳转,使用重定向技术,自动完成登录操作。另外,当实际资源被迁移到其他URL时,可使用重定向技术,将访问原有URL的请求,自动跳转到新URL,保持原有URL有效。 本篇主要从以下几个方面介绍: 重定向...
springcloud oauth2 实现单点登录时 login 循环重定向问题
n_rts的博客
01-10 1769
springcloud oauth2 实现单点登录时 login 循环重定向问题
基于spring-security-oauth2实现单点登录(持续更新)
weixin_34008784的博客
06-02 1577
为什么80%的码农都做不了架构师?>>> ...
精选资源
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
使用Spring Security OAuth2实现单点登录
08-25
使用Spring Security OAuth2实现单点登录 概述: 在本教程中,我们将讨论如何使用Spring Security OAuth和Spring Boot实现单点登录(SSO)。单点登录是一种身份验证机制,允许用户使用一个身份验证凭证访问多个相关...
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
Spring Security——关闭认证重定向(302)登录页面(loginPage)
无限迭代中......
07-28 8017
问题描述 当访问该web服务的一个请求/test且该请求需要用户认证,那么Spring Security会将请求302到通过httpSecurity.formLogin().loginPage("/login")设定的页面里。 问题分析 暂无。 解决方案 httpSecurity.exceptionHandling() //没有认证时,在这里处理结果,不要重定向 .authenticationEnt...
基于Oauth2.0的单点登录Oauth2.0(二)
qq_39847635的博客
02-03 827
一. 概念及解决的问题 一种开放授权的标准,即一种授权机制。 阮一峰大佬对Oauth2.0的解释 二. 认证授权流程中的4个角色 用户:资源的拥有着 客户端:要访问/获取用户资源的服务 认证服务器:对用户与客户端认证授权的服务器 资源服务器:保存用户资源的服务器 三. 四种授权模式 (一) 授权码模式(authorization code) 1. 适用场景 有后端的web应用,是目前最常用的授权模式,安全性也是最高的。授权码通过前端传送,令牌存储在后端,所有与资源服务器之间的通信都在后端完成,避免令牌的
SSO单点登录重定向解决方案
吴就业
01-16 4345
关注 “Java艺术” 我们一起成长!继上篇《实现SSO单点登录的思考》当我们写好SSO单点登录服务的代码后,通过调用接口方式验证,流程看似正常,但开始与前端联调就出现问题了。流程是这样的...
SpringSecurityOAuth2整合SpringCloud+Gateway后Session不一致导致的用户登录重定向问题
weixin_44070655的博客
05-06 2517
SpringSecurity 整合Gateway 后 登陆前请求的问题解决
SpringSecurity+OAuth2实现单点登录SSO(详细教程+源码)
空夜's Blog
10-24 1万+
文章目录一、父级项目sso-oauth2-demo二、授权服务器auth-server三、客户端应用client-a与client-b四、启动与测试 本节源码在https://github.com/laolunsi/spring-boot-examples/tree/master/04-sso-oauth2-demo上,请放心食用 本节利用Spring Security Oauth2实现Spri...
Spring Cloud Security:Oauth2实现单点登录
smart_an的专栏
04-18 1721
单点登录(Single Sign On)指的是当有多个系统需要登录时,用户只需登录一个系统,就可以访问其他需要登录的系统而无需登录
SpringSecurityOauth实现单点登陆
喝醉的咕咕鸟
03-20 823
单点登陆介绍: 相关介绍:https://www.cnblogs.com/EzrealLiu/p/5559255.html 图片来源:https://my.oschina.net/merryyou/blog/1613235 单点登陆 : 各个业务系统围绕着一个认证服务器进行身份认证和授权,并且 各个业务系统客户端从认证服务器获取到的令牌不是一样的,但是,其都获取到当前...
(二)spring security:使用 OAuth2 SSO 实现单点登录
yanfei_1986的博客
10-30 1983
一、前言 在阅读这篇文章时,原理和配置细节,我就不再写了(不一定有别人写的好o(* ̄︶ ̄*)o)。最好先阅读以下参考文献,详细阅读 OAuth 2.0相关文章;这样,你去看别人的博客时,才不会手忙脚乱、不知所措。而且,你会领悟 spring OAuth 2是如何配置、如何实现、原理是什么,才能已"架构师"的思想,在企业的应用环境中熟练应用与掌握它。 下一篇文章,我将已截图和UML图的形式,展示 spring OAuth 2设计的精华所在,堪称艺术品! 本文所采用的模式是最复杂的...
SpringBoot Security OAuth2实现单点登录SSO(附源码)
最新发布
A的博客
07-17 3721
OAuth2 允许用户使用第三方认证提供者(如Google、GitHub等)的凭据进行认证,而不需要在你的应用中存储用户的密码。如果在你的应用程序中配置了多个 OAuth2 客户端(例如同时配置了 Google 和 GitHub),用户在其中一个认证成功后,在访问其他配置的客户端时不需要重新认证。登陆界面,进行上述整篇都在说的认证服务器,但如果先登录认证服务器,在进行登陆8082端口这个服务,会直接进入8082页面,这就是所谓的已经授权过的无需在重复登陆的实现。登陆页面–点击登陆进行授权。
【springboot+vue项目(十五)】基于Oauth2的SSO单点登录(二)vue-element-admin框架改造整合Oauth2.0
shanglin1122的博客
02-16 2148
第三步拿token放到请求头(在请求拦截器中),头信息根据约定好的具体修改,根据提供的接口发请求, 就会返回用户信息对象{},拿到用户放cookie。第一步前端拿到后端传来的token ,我们放到cookie里(用中间页存token,处理一些逻辑)第二步取cookie中的token 实现登录(permission.js中修改逻辑)还有一个前端实现登出,点击退出,删除用户信息以及token。第四步就是从cookie中拿到用户信息,渲染到页面上。
基于Spring Security OAuth2单点登录系统设计与实现
本文所描述的“单点登录设计与实现”项目代码正是围绕这一理念展开,深入探讨了SSO的技术背景、架构设计、实现方式以及具体技术栈的应用,特别是基于Spring Security与OAuth2协议构建统一认证中心的完整解决方案。...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姠惢荇者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值