如何骗过Spring Security——直接添加Authentication对象

最新推荐文章于 2025-07-07 15:11:55 发布
原创 最新推荐文章于 2025-07-07 15:11:55 发布 · 7.1k 阅读 · 34 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring Security

本文介绍如何在不使用标准Web登录流程的情况下,通过直接添加Authentication对象到SpringSecurity中,实现自定义的身份验证。探讨了SecurityContextHolder、AuthenticationManager及核心组件的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

如何骗过Spring Security——直接添加Authentication对象

1.需求

在最近的项目中,出现了这样的需求。我需要在后台使用spring security,但是android端显然不能使用像web端登录那样的处理方式,所以如何"骗过"spring security直接在它的认证流程中插入我自己的对象,这成为了我急切的问题。

2.Spring Security的核心组件

SecurityContextHolder

SecurityContextHolder用于获取当前用户的信息,SecurityContextHolder默认使用ThreadLocal来存储认证信息,这是一种与线程绑定的策略。只要在同一个线程中进行,即使不在各个方法之间以参数的形式传递,各个方法也能通过SecurityContextHolder工具获取到安全上下文。

获取当前的用户信息

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if (principal instanceof UserDetails) {
String username = ((UserDetails)principal).getUsername();
} else {
String username = principal.toString();
}

Authentication

源码

public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();//密码信息

    Object getDetails();//细节信息,记录了ip地址和sessionId的值

    Object getPrincipal();//大部分情况下返回UserDetais的实现类

    boolean isAuthenticated();//是否认证

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

AuthenticationManager

正如他的名字一样,认证的管理者。他的作用不是直接亲自上场进行认证,而是委派其他有能力的AuthenticationProvider(实际上是实现此接口的实现类进行认证)进行认证,而AuthenticationProvider又由ProviderManager提供。在实际的需求中,我们登陆的方式不同,认证的方式就会不同,所以设计成这样后,如果我们需要自己定义登录方式,则只需要提供相应的AuthenticationProvider就可以了。

DaoAuthenticationProvider

提交的用户名和密码,被封装成了UsernamePasswordAuthenticationToken,而根据用户名加载用户的任务则是交给了UserDetailsService,在DaoAuthenticationProvider中,对应的方法便是retrieveUser,虽然有两个参数,但是retrieveUser只有第一个参数起主要作用,返回一个UserDetails。还需要完成UsernamePasswordAuthenticationToken和UserDetails密码的比对,这便是交给additionalAuthenticationChecks方法完成的,如果这个void方法没有抛异常,则认为比对成功。比对密码的过程,用到了PasswordEncoder和SaltSource。

UserDetails与UserDetailsService

UserDetais源码

public interface UserDetails extends Serializable {
   Collection<? extends GrantedAuthority> getAuthorities();
   String getPassword();
   String getUsername();
   boolean isAccountNonExpired();
   boolean isAccountNonLocked();
   boolean isCredentialsNonExpired();
   boolean isEnabled();
}

UserDetails是与UsernamePasswordAuthenticationToken比对的对象,由UserDetailsService获得。UserDetailsService是我们组装UserDetails的地方,我们也可以实现这个接口来完成自定义的组装。

3.Spring Security身份认证流程

  1. 用户名和密码被过滤器获取到,封装成Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。
  2. AuthenticationManager 身份管理器负责验证这个Authentication
  3. 认证成功后,AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除)Authentication实例。
  4. SecurityContextHolder安全上下文容器将第3步填充了信息的Authentication,通过SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中。

4.将自己需要的Authentication对象放入Spring Security中

@RequestMapping("/doLogin")
    public int doLogin(@RequestParam("userName") String userName,@RequestParam("password") String password,HttpServletRequest request){
        User user = simpleUserService.getUserByName(userName);
		
        //如果用户不存在则抛出异常
        if(user==null){
            throw new UsernameNotFoundException("没有当前用户");
        }

        else {
            //如果用户存在且用户的密码相同,则在SecurityContextHolder.getContext().setAuthentication()放入authentication
            if(user.getPassword().equals(password)){
                UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(userName, password, AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRole()));
                authRequest.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(authRequest);
                return 1;
            }
        }
        

        return 0;
    }
Spring Security 跳过登录检查/非页面登录/骗过spring security的 filter 登录检查拦截
Cgh_Baby的博客
08-26 7746
背景 最近在使用Spring security 做一个系统的SSO认证代理(另一个项目组开发的,基于 filter 拦截器检查session中是否已有用户登录信息),如果已在SSO登录的话,则直接跳过SSO的认证。由于Spring security也是基于拦截器的,SSO的需要在拦截器在spring security的登录检查拦截器之前,在检查到SSO已登录之后需要骗过spring security的 filter 登录检查拦截器,在研究了一下spring security的源代码之后,发现spri...
第3章 Spring Security 认证Authentication
Shiro框架02
10-13 593
Spring SecurityAuthentication 对象代表认证用户的数据对象,包含一些用户基本信息(用户名、密码)。 Authentication接口 public interface Authentication extends Principal, Serializable { // 获取用户权限 Collection<? extends GrandtedAuthoriry> getAuthorities(); // 获取用户凭证,一般就是密码
spring-security 三种情况下的认证绕过
最新发布
npc88888的博客
07-07 694
Spring Security 使用antMatchers("/test")保护路径时,因 Spring WebMVC 的useTrailingSlashMatch默认值为true,攻击者可通过/test/(带斜杠)路径绕过认证。时,拼接后的 URL 为/test?,若正则为/test则匹配成功,导致认证绕过。例如/admin路由可匹配/admin.json,绕过认证。开发者常忽略参数拼接对正则匹配的影响,错误认为/test仅匹配纯净路径。,拼接后的 URL 与/test正则匹配,未认证用户可访问。
Spring-Security学习笔记【二】Authentication认证
天乔巴夏丶
07-21 1716
文章目录SpringSecurity中的认证:Authentication简单案例典型web应用验证授权过程ExceptionTranslationFilterAuthenticationEntryPointAuthentication MechanismStoring the SecurityContext between requests SpringSecurity中的认证:Authentication 我们先来考虑一个最正常不过的用户信息验证场景: 提示用户使用用户名和密码登录。 系统(成功)验证
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
SpringSecurity 笔记
爱折腾的技术人
10-25 2992
SpringSecurity 笔记...
Spring Security——添加验证码
戏拈秃笔的博客
06-13 1339
通过自定义过滤器给项目添加上登录验证码
SpringSecurity】认证与鉴权框架SpringSecurity——授权
低调做人,低调编码,神码都是浮云
06-24 1549
认证与鉴权框架SpringSecurity——授权
Spring Security——基于MyBatis
戏拈秃笔的博客
06-13 1275
国内目前常用的两个数据库操作框架:Spring Data JPA和MyBatis,只需掌握一个即可
SpringSecurity系列——认证(Authentication)架构day2-3(源于官网5.7.2版本)
qq_51553982的博客
07-20 962
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档AbstractAuthenticationProcessingFilter用作验证用户凭据的基本过滤器。从HttpServletRequest创建一个身份验证以进行身份​​验证。创建的Authentication类型取决于。...
深入解析 Spring Security —— 打造高效安全的权限管理体系
cooldream2009的博客
12-10 1489
随着互联网技术的发展,安全性已经成为每个应用程序的核心要素。Spring Security 作为 Java 生态中的强大安全框架,提供了全面的认证和授权支持。本文将重点介绍 Spring Security 的核心功能及其实现方式,为开发者提供构建安全应用的最佳实践。
Spring Security如何基于Authentication获取用户信息
08-19
主要介绍了Spring Security如何基于Authentication获取用户信息,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity框架原理浅谈之AuthenticationManager
黄先生的博客
02-10 3576
AuthenticationManager这个接口方法非常奇特,入参和返回值的类型都是Authentication。该接口的作用是对用户的未授信凭据进行认证,认证通过则返回授信状态的凭据,否则将抛出认证异常AuthenticationException。
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 4452
springboot整合SpringSecurity实现登录和自定义权限认证
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 5603
SpringSecurity+JWT快速入门
spring security解析--认证
Dream - to be coder
04-01 1302
spring security用户认证 主要涉及到的对象AuthenticationManager,ProviderManager, AuthenticationProvirder, DaoAuthenticationProvider, UserDetailsService,UserDetials
SpringSecuritySecurityContext和Authentication对象
★【World Of Moshow 郑锴】★
07-17 5348
下面开始讨论几个 Spring Security 里面的核心对象。 org.springframework.security.core.context.SecurityContext接口表示的是当前应用的安全上下文。通过此接口可以获取和设置当前的认证对象。 org.springframework.security.core.Authentication接口用来表示此认证对象。通过认证对象的方法可...
SpringSecurity(八)--SecurityContext安全上下文
学习不止境的博客
10-20 4806
本节我们将讨论安全上下文,我们将分析它是如何工作的、如何从其中访问数据,以及应用程序如何在具有不同的与线程有关的场景中管理它。一般来说,我们为了让后续程序能够使用验证通过人员的信息,都会使用到它,比如编写一个SecurityUtils用来获取用户信息是经常用到的,那么学习它后,你就可以使用安全上下文存储关于已验证用户的详细信息了。
Spring Security - 身份验证(Authentication
Flying_Fish_roe的博客
09-28 1764
Spring Security 是一个功能强大且高度可定制的框架,用于保护基于 Spring 的应用程序。它主要提供了身份验证(Authentication)和授权(Authorization)功能。如果默认的认证方式无法满足需求,可以自定义。@Override// 调用外部系统进行身份验证} else {@OverrideSpring Security 提供了强大且灵活的身份验证机制。通过配置和,我们可以实现从简单的基于内存的身份验证到复杂的基于外部系统的自定义身份验证。
Spring Security框架——安全访问控制解决方案
Spring Security为基于Spring的应用程序提供全面的安全服务,其中包括身份验证(Authentication)和授权(Authorization)两个核心功能。接下来,我们将深入探讨Spring Security的主要知识点。 **Spring Security...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值