spring security 4 filter UsernamePasswordAuthenticationFilter(一)

最新推荐文章于 2025-06-23 20:00:00 发布
原创 最新推荐文章于 2025-06-23 20:00:00 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Spring Security框架中的UsernamePasswordAuthenticationFilter过滤器,它主要用于处理表单登录请求。从源码分析,讲解了过滤器的属性、工作流程,包括如何在配置中启用,并详细阐述了AuthenticationManager和AuthenticationProvider的角色,强调了自定义userDetailService在认证过程中的关键作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

      spring security 就是由一系列filter组成的一个安全认证框架,熟悉其中一些重要的filter是对熟悉spring security本身就是一种方式。首先我将先附上spring security官网上几个默认的filter

然后我会重点讲几个,今天我们先说UsernamePasswordAuthenticationFilter这个过滤器,从官网上的截图可以看到左边的别名是“FORM_LOGIN_FILTER”,最右边的是其namespace element(命名空间)以及 attribute(配置属性),可以看到这个filter显示的是http/form-login。那这filter主要做什么,其实我们从别名和属性可以看主要处理form-login,form表单登录请求处理的filter。这个就体现出其重要性了,毕竟是登录这一块。

         我们先来看一下源码,我们先看一下UsernamePasswordAuthenticationFilter父类AbstractAuthenticationProcessingFilter

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean implements ApplicationEventPublisherAware, MessageSourceAware {
    protected ApplicationEventPublisher eventPublisher;
    protected AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource = new WebAuthenticationDetailsSource();
    private AuthenticationManager authenticationManager;
    protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
    private RememberMeServices rememberMeServices = new NullRememberMeServices();
    private RequestMatcher requiresAuthenticationRequestMatcher;
    private boolean continueChainBeforeSuccessfulAuthentication = false;
    private SessionAuthenticationStrategy sessionStrategy = new NullAuthenticatedSessionStrategy();
    private boolean allowSessionCreation = true;
    private AuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();
    private AuthenticationFailureHandler failureHandler = new SimpleUrlAuthenticationFailureHandler();

    protected AbstractAuthenticationProcessingFilter(String defaultFilterProcessesUrl) {
        this.setFilterProcessesUrl(defaultFilterProcessesUrl);
    }

    protected AbstractAuthenticationProcessingFilter(RequestMatcher requiresAuthenticationRequestMatcher) {
        Assert.notNull(requiresAuthenticationRequestMatcher, "requiresAuthenticationRequestMatcher cannot be null");
        this.requiresAuthenticationRequestMatcher = requiresAuthenticationRequestMatcher;
    }

    public void afterPropertiesSet() {
        Assert.notNull(this.authenticationManager, "authenticationManager must be specified");
    }

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
         // 判断访问是否需要过滤
        // 默认过滤 /login  post方式
        if (!this.requiresAuthentication(request, response)) {
            chain.doFilter(request, response);
        } else {
            if (this.logger.isDebugEnabled()) {
                this.logger.debug("Request is to process authentication");
            }

            Authentication authResult;
            try {
                authResult = this.attemptAuthentication(request, response);
                if (authResult == null) {
                    return;
                }

                this.sessionStrategy.onAuthentication(authResult, request, response);
            } catch (InternalAuthenticationServiceException var8) {
                this.logger.error("An internal error occurred while trying to authenticate the user.", var8);
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security的工作原理
m0_62222133的博客
10-21 349
1 结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是靠Filter实现的。当初始化Spring Security时,会创建个名为 springSecurityFilterChain 的Servlet过滤器,类型为 org.springframework.security.web.FilterChainProxy,它实现了javax.s
SpringSecurity 自定义UsernamePasswordAuthenticationFilter
荡的博客
09-17 7974
#UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST...
SpringSecurity过滤器UsernamePasswordAuthenticationFilter
clyu的博客
01-01 5936
简介 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份认证而定制化的个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST请求。当我们登录的时候,也就是匹配到loginProcessingUrl,这个过滤器就会委托认证管理器authenticationManager来验证登录 登陆流程入口是Abstrac
Spring Security 中的过滤器(`Filter`)和拦截器(`HandlerInterceptor`)
最新发布
博客主要分享技术教程、工具教程、bug解决、前沿技术动态、编程经验、心得感悟等。 内容同步、干货获取、推广宣发请看侧栏推广信息
06-23 1160
Spring Security 中的过滤器(`Filter`)和拦截器(`HandlerInterceptor`)
Spring Security 工作原理概览
热门推荐
江南一点雨的专栏
04-27 9万+
本文由读者 muggle 投稿,muggle 是位具备极客精神的90后单身老实猿,对 Spring Security 有丰富的使用经验,muggle 个人博客地址是 h...
SpringSecurity-UsernamePasswordAuthenticationFilter的作用
weixin_30821731的博客
12-17 740
UsernamePasswordAuthenticationFilter应该是我们最关注的Filter,因为它实现了我们最常用的基于用户名和密码的认证逻辑。 先看个常用的form-login配置: 1 <form-login login-page="/login" 2 username-parameter="ssoId" 3 ...
Spring Security 原理讲解
qq_34485381的博客
06-19 1017
、整理了解下Spring Security 的工作原理 如上图所示,spring security 的主要工作就是在原有的网络请求的过滤器链(ApplicationFilterChain)中额外添加条过滤器链(FilterChainProxy),主要用于用户认证与授权。 请求进入web容器经些容器自身的基础加工后,进入到servlet的滤器链中,spring security 使用DelegatingFilterProxy这个filter,将targetBea...
Spring Security源码解析UsernamePasswordAuthenticationFilter之登录流程
www_xuhss_com的博客
01-20 2382
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 .前言 spring security安全框架作为spring系列组件中的个,被广泛的运用在各项目中,那么spring security在程序中的工作流程是个什么样的呢,它是如何进行系列的鉴权和认证呢,下面让我们走进源码,从源码的角度来从头走遍spr
SpringSecurity自定义UsernamePasswordAuthenticationFilter
weixin_30448603的博客
09-17 1079
UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且...
全面解析Spring Security 内置 Filter
08-18
Spring Security 作为个流行的 Java 安全框架,提供了丰富的安全功能,其中内置的 Filter 机制是其核心之。通过这些内置的 Filter,我们可以轻松地实现身份验证、授权、会话管理等功能。本文将对 Spring ...
spring-security(二十)核心Filter-UsernamePasswordAuthenticationFilter
高枫的博客
03-04 701
UsernamePasswordAuthenticationFilter功能和属性 到目前为止,我们已经探讨了三个主要的filter,当采用默认配置时spring security会自动给我们追加这三个filter,现在我们的filter中还差个处理用户认证的filter,下面我们就主要讨论下最常用的认证filter-UsernamePasswordAuthenticationFilter...
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有定的参考学习价值,需要的朋友可以参考下
SpringSecurity默认过滤器链之UsernamePasswordAuthenticationFilter
欢谷悠扬
07-12 1873
1.作用 这个Filter是通过用户名和密码进行认证(登录)的。系统默认有三种认证Filter。 ClientCredentialsTokenEndpointFilter: 基于oauth2 token的认证入口 Oauth2ClientAuthenticationProcessingFilter:oauth2 客户端用于从授权服务器获取accessToken进行认证 2.认证统流程AbstractAuthenticationProcessingFilter public void doFilte
spring Security源码讲解-UsernamePasswordAuthenticationFilter
以爱护甲,爱满枫林。
09-05 592
UsernamePasswordAuthenticationFilter 这是 UsernamePasswordAuthenticationFilter的构造方法和attemptAuthentication方法 主要内容在attemptAuthentication public UsernamePasswordAuthenticationFilter() { super(new AntPathRequestMatcher("/login", "POST")); } public Authen
Spring Security小教程 Vol 4. 使用用户名和密码验证身份-UsernamePasswordAuthenticationFilter
03-11 1334
https://www.jianshu.com/p/e98cdf23b991 前言 上期我们分享了Spring Security是如何通过AbstractAuthenticationProcessingFilter向Web应用向基于HTTP、浏览器的请求提供身份验证服务的。 这次我们针对最常用,也是Spring Security默认在HTTP上使用的验证过滤器转存失败重新上传取消即基于用户...
Spring Security】重写 UsernamePasswordAuthenticationFilter 支持登录校验 JSON 数据
healer_ai的博客
05-24 1598
Spring Security 5.7 及更高版本中,`WebSecurityConfigurerAdapter` 已被弃用。取而代之的是配置类和 `SecurityFilterChain` Bean 的方式
Spring常用过滤器(Filter)-UsernamePasswordAuthenticationFilter
Liang的博客
10-30 752
UsernamePasswordAuthenticationFilterSpring Security中用于处理用户名和密码登录认证的重要组件。1.1.1 UsernamePasswordAuthenticationFilterSpring Security提供的个内置过滤器,专门用于处理基于用户名和密码的登录认证。如果认证成功,AuthenticationProvider会返回个已认证的Authentication对象,通常包含了用户的信息(如UserDetails的实现)。
UsernamePasswordAuthenticationFilter
qq_41279910的博客
10-10 2032
这个需求应该扩展spring security。主要扩展以下类: UsernamePasswordAuthenticationFilter类的attemptAuthentication方法,主要获取request传递的参数; UsernamePasswordAuthenticationToken类,主要用于增加认证所用到的额外参数; DaoAuthenticationProvider类的retrieveUser方法,主要把UsernamePasswordAuthenticationToken扩展类的额外参数
spring securityUsernamePasswordAuthenticationFilter
03-08
### Spring SecurityUsernamePasswordAuthenticationFilter 的使用与配置 #### 配置基础设置 为了使 `UsernamePasswordAuthenticationFilter` 正常工作,在应用程序的安全配置类中需继承 `WebSecurityConfigurerAdapter` 并重写相应方法。通常情况下,当调用 `http.formLogin()` 方法时会自动注册此过滤器[^3]。 ```java @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll(); } } ``` 上述代码片段展示了如何启用表单登录功能并允许匿名访问 `/login` 页面。这将触发默认的 `UsernamePasswordAuthenticationFilter` 进行处理。 #### 定制化 UsernamePasswordAuthenticationFilter 对于更复杂的需求,可以创建自己的 `UsernamePasswordAuthenticationFilter` 实现: 1. 创建个新的 Java 类扩展 `UsernamePasswordAuthenticationFilter`. 2. 覆盖必要的方法如 `attemptAuthentication`. ```java public class CustomUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter { private final AuthenticationManager authenticationManager; public CustomUsernamePasswordAuthenticationFilter(AuthenticationManager authenticationManager){ this.authenticationManager = authenticationManager; } @Override public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException { // 自定义逻辑... return super.attemptAuthentication(request,response); } } ``` 之后需要在安全配置文件里替换默认的过滤器实例为自定义版本: ```java @Override protected void configure(HttpSecurity http) throws Exception { CustomUsernamePasswordAuthenticationFilter customFilter = new CustomUsernamePasswordAuthenticationFilter(authenticationManagerBean()); http.addFilterAt(customFilter, UsernamePasswordAuthenticationFilter.class) ... } ``` 这样就完成了对 `UsernamePasswordAuthenticationFilter` 的个性化调整. #### 处理 POST 请求 URL 登录认证 默认情况下,`UsernamePasswordAuthenticationFilter` 将监听路径模式为 `/login` 的 POST 请求作为提交用户凭证的方式。可以通过修改 `setFilterProcessesUrl(String defaultFilterProcessesUrl)` 来改变这行为[^4]: ```java customFilter.setFilterProcessesUrl("/myCustomLoginPath"); ``` 以上操作使得应用能够响应来自不同URL地址上的登录尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值