springSecurity

最新推荐文章于 2022-12-29 20:56:25 发布
最新推荐文章于 2022-12-29 20:56:25 发布
阅读量156 收藏
点赞数
分类专栏: java
博主因公司使用springSecurity用户认证框架,学习其运行过程。介绍了UsernamePasswordAuthenticationFilter过滤器处理认证逻辑,AuthenticationManager管理认证,DaoAuthenticationProvider检查密码、获取用户信息,还可自定义验证逻辑。最后说明SecurityContextHolder与认证判断的关系。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一次写博客,由于公司用到了springSecurity 用户认证框架,简单的学习了一下运行过程.
流程图
在这里插入图片描述

 当用户第一次请求时会经过一个过滤器链 
   第一次登录请求  被SecurityContextPersistenceFilter拦截
       调用securityContextRepository 中的 loadContext()方法获取SecurityContext 

HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);
    SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);
将SecurityContext对象设置到SecurityContextHolder中 并放行.

在执行UsernamePasswordAuthenticationFilter过滤器,该过滤器是用来处理用户认证逻辑的.

 public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
	    private String usernameParameter = "username";
	    private String passwordParameter = "password";
	    private boolean postOnly = true;
    //只支持post请求
    public UsernamePasswordAuthenticationFilter() {
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
          //根据参数名为"username"和"password"来获取用户名和密码的
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
          (3)  UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
          (4)  this.setDetails(request, authRequest);
           (5) return this.getAuthenticationManager().authenticate(authRequest);
        }
    }
 (3)通过构造方法实例化一个UsernamePasswordAuthenticationToken对象,此时调用的是UsernamePasswordAuthenticationToken的两个参数的构造函数,如图:       


  public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
        super((Collection)null);
        this.principal = principal;
        this.credentials = credentials;
        this.setAuthenticated(false);
    }

其中super(null)调用的是父类的构造方法,传入的是权限集合,因为目前还没有认证通过,所以不知道有什么权限信息,这里设置为null,然后将用户名和密码分别赋值给principal和credentials,同样因为此时还未进行身份认证,所以setAuthenticated(false)
`
(4)setDetails(request, authRequest)是将当前的请求信息设置到UsernamePasswordAuthenticationToken中

(5)通过调用getAuthenticationManager()来获取AuthenticationManager,通过调用它的authenticate方法来查找支持该token(UsernamePasswordAuthenticationToken)认证方式的provider,然后调用该provider的authenticate方法进行认证
2.AuthenticationManager是用来管理AuthenticationProvider的接口,通过AuthenticationManager 的实现类ProviderManager执行authenticate()通过for循环遍历AuthenticationProvider对象的集合,找到支持当前认证方式的AuthenticationProvider,找到之后调用该AuthenticationProvider的authenticate方法进行认证处理:
Iterator var6 = this.getProviders().iterator();
while(var6.hasNext()) {
AuthenticationProvider provider = (AuthenticationProvider)var6.next();
if (provider.supports(toTest)) {
if (debug) {
logger.debug("Authentication attempt using " + provider.getClass().getName());
}

                try {
                //执行authenticate方法进行认证处理
                    result = provider.authenticate(authentication);
                    if (result != null) {
                        this.copyDetails(authentication, result);
                        break;
                    }
                } catch (AccountStatusException var11) {
                    this.prepareException(var11, authentication);
                    throw var11;
                } catch (InternalAuthenticationServiceException var12) {
                    this.prepareException(var12, authentication);
                    throw var12;
                } catch (AuthenticationException var13) {
                    lastException = var13;
                }
            }
        }

3.DaoAuthenticationProvider
(1)查看additionalAuthenticationChecks附加检查方法,它主要是检查用户密码的正确性,如果密码为空或者错误都会抛出异常
(2)它是调用了getUserDetailsService先获取到UserDetailsService对象,通过调用UserDetailsService对象的loadUserByUsername方法获取用户信息UserDetails,找到UserDetailsService,发现它是一个接口,查看继承关系,有很多实现,都是spring-security提供的实现类,并不满足我们的需要,我们想自己制定获取用户信息的逻辑,所以我们可以实现这个接口。比如从我们的数据库中查找用户信息.
(3) ###如果我们还有其他逻辑信息的验证,我们可以自定义MyProvider 继承DaoAuthenticationProvider 实现authenticate()进行验证

@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) authentication;
String captcha = request.getParameter(“captcha”);
String username = token.getName();
// UserDetails userDetails = this.getUserDetailsService().loadUserByUsername(username);
Admin admin = adminMapper.findByEmail(username);
//验证用户是否存在
if(admin==null){
throw new AuthenticationServiceException(“该用户名不存在”);
}

账号状态验证
if(admin.getStatus().equals("1")){
    throw new AuthenticationServiceException("该用户已被禁用,请联系管理员");
}
// 验证码验证

if (!StringUtils.isNotEmpty(captcha)){
throw new SessionAuthenticationException(“验证码为空”);
}

if(!authCodeManage.verifyVerifyCode(username, EMailTplCodeDefine.VERIFY_CODE_ADMIN_LOGIN_VERIFY.getNo(),captcha)){
    throw new AuthenticationServiceException("验证码错误!");
}
Admin adminUpdate = new Admin();
// 验证密码是否正确
if (!new BCryptPasswordEncoder().matches((CharSequence) token.getCredentials(), userDetails.getPassword())) {

    if(admin.getLoginErrorCount()>=2){
        adminUpdate.setId(admin.getId());
        adminUpdate.setStatus("1");
        adminService.update(adminUpdate);
        throw new AuthenticationServiceException("密码错误");

    }
    adminUpdate.setId(admin.getId());
    adminUpdate.setLoginErrorCount(admin.getLoginErrorCount()+1);
    adminService.update(adminUpdate);
    throw new AuthenticationServiceException("密码错误");
}
return new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities());

}

执行完后面的过滤并经过servlet处理之后,响应给浏览器之前再次经过此过滤器SecurityContextPersistenceFilter
SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
SecurityContextHolder.clearContext();
this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());

通过SecurityContextHolder获取SecurityContext对象,然后清除SecurityContext,最后将获取的SecurityContext对象放入session中
其中SecurityContextHolder是与ThreadLocal绑定的,即本线程内所有的方法都可以获得SecurityContext对象,而SecurityContext对象中包含了Authentication对象,即用户的认证信息,spring-security判断用户是否认证主要是根据SecurityContext中的Authentication对象来判断
在这里插入图片描述

转载:https://blog.youkuaiyun.com/abcwanglinyong/article/details/80981389

【详解】Spring Security 之 SecurityContext
dieqiuxie4160的博客
01-20 860
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
学习理解SpringSecurity的几个关键问题
Kim_
12-02 821
1、默认存在哪些filter,具体执行顺序 ChannelProcessingFilter,如果你访问的 channel 错了,那首先就会在channel 之间进行跳转,如 http 变为 https。 SecurityContextPersistenceFilter,这样的话在一开始进行 request 的时候就可以在 SecurityContextHolder 中建立一个Securit...
SpringSecurity(八)用户数据获取之SpringSecurityContextHolder深度剖析(下)
陈橙橙
03-13 2176
在上一篇中我们大致的说明了从Security中获取登录数据的逻辑以及SecurityContextHolder保存数据的策略,最后也遗留下了一个问题。—SpringBoot中不同的请求都是由不同的线程处理的,那为什么每一次请求都还能从SecurityContextHolder中获取到登录用户信息呢,这就得提到SpringSecurity过滤器链中最重要的一环了。 SecurityContextPersistenceFilter 前面几篇我们也介绍了SpringSecurity常见的过滤器,在这些过滤器中.
一文搞懂SecurityContext
m0_55878559的博客
12-29 4万+
学习SecurityContext接口的功能以及异步环境下安全上下文的使用姿势~
史上最简单的Spring Security教程(四十):SecurityContextPersistenceFilter详解
银河架构师的博客
11-11 2466
SecurityContextPersistenceFilter,为Spring Security框架Filter Chain过滤器链的第一个 Filter,具有不可或缺的作用。 /** * Populates the {@link SecurityContextHolder} with information obtained from the * configured {@link SecurityContextRepository} prior to the request an...
spring security 学习笔记(一)
m0_37723564的博客
02-19 757
目录 引言 框架概述 过滤器SecurityFilter 引言 之前写了几篇有关shiro和spring之间整合的文章。在实际的开发过程中除了用shiro作为安全管理框架之外,用的比较多的就是spring security框架了。相对于shiro而言spring security作为spring全家桶中的一员和spring boot的整合也会更加方便,同时功能也更加的丰富,属于重量级的安全框架。而且随着spring框架体系的日益完善,java 开发中spring框架的比重...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
spring security 4 filter SecurityContextPersistenceFilter(三)
it帝国的博客-辉
03-13 1753
今天我们讲的filter是SecurityContextPersistenceFilter,通过其名字,就能大概猜出来这个过滤器的作用,就是用来持久化SecurityContext实例用的,也是spring security filter 核心的过滤器之一。 接下去我们将根据其源码分析一下其作用,先看看doFilter这个方法 public void doFilter(Servl...
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
第一章:Spring Security(四):Security的第一次资源访问流程
ayong95的专栏
01-12 445
文章目录 第一节:SpringSecurity(一)入门学习规划 第二节:SpringSecurity(二):SpringSecurity入门 第三节:Spring Security(三):Security中重要的几个类 研究:我有点好奇,我在访问 http://localhost:8080/hello 资源的时候,security让页面自动跳转到了/login请求,所以我查了下资料,并走了下流程。 文章目录 文章目录 前言 一、Security资源访问流程 ​​​​​​​FilterC
Spring Security完整教程
IT哈哈的博客
04-27 1452
Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。本教程对 Spring Security 的使用进行一个比较全面的简要介绍。 Spring Security初体验 Spring Security关于登陆 Spring Security核心类简介:A...
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
少儿编程scratch项目源代码文件案例素材-直升机飞行.zip
最新发布
04-30
少儿编程scratch项目源代码文件案例素材-直升机飞行.zip
wanjunshe_Python-Tensorflow_12888_1745868924470.zip
04-30
wanjunshe_Python-Tensorflow_12888_1745868924470
健康监测_Android开发_BLE蓝牙通信_心率数据采集与存储_基于小米手环2的实时心率监测应用_支持后台长时间运行的心率记录工具_可导出SQLite数据库的心率数据分析系统_适.zip
04-30
健康监测_Android开发_BLE蓝牙通信_心率数据采集与存储_基于小米手环2的实时心率监测应用_支持后台长时间运行的心率记录工具_可导出SQLite数据库的心率数据分析系统_适
Spring Security基础模板指南
在本例中,我们所谈论的“springSecurity模板”指的是一个基于Spring Security和Spring MVC的项目模板,它为用户提供了快速搭建安全web应用的基础结构。 首先,我们来详细解析一下Spring Security。Spring Security...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值