spring security 中配置多个 AuthenticationManager

最新推荐文章于 2025-07-31 16:52:24 发布
最新推荐文章于 2025-07-31 16:52:24 发布
阅读量3.5k 收藏
点赞数
分类专栏: spring java
本文解决Spring Security配置OAuth2.0时,单一authenticationManager导致的认证失败问题。介绍如何正确配置两个authenticationManager,分别用于认证client_id/client_secret和username/password,确保不同场景下认证流程的正常运行。

基于spring-security4.2.x和security-oauth2.3.x

在使用Security配置Oauth2.0的时候需要多个authenticationManager来管理来自不同方向的认证管理,比如一个clientAuthenticationManager用来认证client_id和client_secret,配置另外一个authenticationManager来认证username和password

错误的配置方法:

<!-- authenticationManager for username and password -->
<!-- 不能用alias!! -->
<security:authentication-manager alias="authenticationManager">
    <security:authentication-provider>
        <security:user-service id="userDetailsService">
            <security:user name="admin" password="111111" authorities="ROLE_USER" />
            <security:user name="user" password="111111" authorities="ROLE_USER" />
        </security:user-service>
    </security:authentication-provider>
</security:authentication-manager>

<!--客户端访问认证器-->
<!-- authenticationManager for client_id and client_secret -->
<security:authentication-manager id="clientAuthenticationManager">
    <security:authentication-provider user-service-ref="clientDetailsUserDetailsService"/>
</security:authentication-manager>

发现这样配置之后认证不能通过,全部都是以clientAuthenticationManager来认证管理。因为用id命名的clientAuthenticationManager会覆盖alias命名的authenticationManager,实践证明id会覆盖alias命名的authenticationManager

解决方案

1.对<security:authentication-manager>标签都使用id来指定authenticationManger的名称,这样就创建了两个不同的实例:

<security:authentication-manager id="authenticationManager" erase-credentials="true">
    <security:authentication-provider>
        <security:user-service id="userDetailsService">
            <security:user name="admin" password="111111" authorities="ROLE_USER" />
            <security:user name="user" password="111111" authorities="ROLE_USER" />
        </security:user-service>

    </security:authentication-provider>
</security:authentication-manager>

<!-- authenticationManager for client_id and client_secret -->
<security:authentication-manager id="clientAuthenticationManager">
    <security:authentication-provider user-service-ref="clientDetailsUserDetailsService"/>
</security:authentication-manager>

2.使用Bean方案创建:

<!-- authenticationManager for username and password -->
<bean id="authenticationManager" class="org.springframework.security.authentication.ProviderManager">
     <constructor-arg>
         <list>
             <bean class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
                 <property name="userDetailsService" ref="userDetailsManager"/>
             </bean>
         </list>
     </constructor-arg>
 </bean>
 <security:user-service id="userDetailsManager">
     <security:user name="admin" password="111111" authorities="ROLE_USER" />
     <security:user name="user" password="111111" authorities="ROLE_USER" />
 </security:user-service>


<!-- authenticationManager for client_id and client_secret -->
<security:authentication-manager id="clientAuthenticationManager">
    <security:authentication-provider user-service-ref="clientDetailsUserDetailsService"/>
</security:authentication-manager>

 

Spring SecurityAuthentication Provider
yanshendeyinji的博客
10-20 467
1SpringSecurity为执行身份验证提供了多种选项 (1)最标准常见的实现方式是DaoAuthenticationProvider ,在userDao中UserDetailsService根据userName进行校验,满足大多数情况了 (2)当一些第三方服务时候,我们需要将userNamepassword都进行验证,这时候我们需要自定义一个Authentication Provider (3)自定义 (4)注册Auth Provider (5)配置上 ...
Spring Security 实战内容:理解AuthenticationManager
m0_66876551的博客
04-15 710
1. 前言 我们介绍了UsernamePasswordAuthenticationFilter的工作流程,留下了一个小小的伏笔,作为一个Servlet Filter应该存在一个doFilter实现方法,而它却没有,其实它的父类AbstractAuthenticationProcessingFilter提供了具体的实现。稍后我们会根据这个实现引出今天的主角AuthenticationManager,来继续介绍用户的认证过程。 2. AbstractAuthenticationProcessingFilter
自定义【Spring Security】实现多种认证方式
乐哥说的专栏
06-18 1584
自定义【Spring Security】实现多种认证方式
Springsecurity 自定义AuthenticationManager
冬阳
08-24 1928
一旦通过configure 方法自定义 AuthenticationManager实现 需要在实现中指定认证数据源对象UserDetailService/*** 配置自定义数据源,覆盖系统默认的数据源
AuthenticationManager​​认证流程的核心入口组件详解
最新发布
魏波
07-31 648
摘要:AuthenticationManagerSpring Security认证流程的核心组件,负责接收认证请求并协调认证过程。它不直接处理认证逻辑,而是作为调度中心,将请求委托给具体的AuthenticationProvider(如数据库、JWT或LDAP认证提供者)执行。默认实现ProviderManager通过遍历认证提供者列表,找到匹配的provider完成验证,并处理认证成功/失败结果。该组件支持多层级认证灵活扩展,是企业级认证场景的关键调度枢纽,其工作流程包括请求接收、provider委托
SpringSecurity多个AuthenticationManager登录验证
Jeremz的博客
06-13 1411
**** 1.根据百度一些demo,多番尝试以后能够使用。 2.仅做记录,便于以后更好的改进研究。
Spring Security多个身份验证
canduecho的专栏
08-31 819
通过这种方式,`ProviderManager` 在实现多个身份验证方式时,能够确保只要有一个验证通过,就停止后续的验证尝试,从而实现了只要一个验证通过就不继续运行下一个的效果。4. **验证中止:** 如果任何一个提供者成功验证,`ProviderManager` 将立即停止后续提供者的验证尝试,并将成功的 `Authentication` 对象返回给调用者。5. **全部验证失败:** 如果所有的提供者都无法验证身份,`ProviderManager` 将抛出适当的异常,表示身份验证失败。
详解spring security 配置多个AuthenticationProvider
08-30
本文将详细介绍如何在 Spring Security配置多个 AuthenticationProvider。 首先,让我们了解 Spring Security 的大体架构。Spring Security 由一堆 Filter 实现,包括 LogoutFilter、...
Spring Security AuthenticationManager接口(协调身份验证过程)
疯一样的码农
11-19 598
Spring Security 中处理认证请求的入口点。它充当协调者的角色,通过委托一个或多个实例来实际验证用户凭证,从而编排整个认证过程。对于更复杂的认证场景,您可以实现一个自定义的并将其注册到。@Service@Override// 自定义认证逻辑} else {throw new BadCredentialsException("认证失败");@Override@Autowired@Autowired此示例展示了如何创建一个自定义的。
Spring Security学习(六)——配置多个Provider(存在两种认证规则)
sadoshi的专栏
02-21 3709
Spring Security学习(五)——账号密码的存取》一文已经能满足一般应用的情况。但实际商业应用也会存在如下的情况:用户提交的账号密码,能在本地的保存的账号密码匹配上,或者能在远端服务认证中匹配上,就算认证通过。这种通常类似于单点登录,或者认证中心之类的。本文不去探索这种架构,只是单纯讨论如果存在两种认证规则下如何处理。多种认证方式使用Spring Security时有好几种处理方式。根据不同的情况,架构师考虑不同的解决方案。本文先从比较简单的方案说起。
关于多个authentication-manager的使用问题
foggysource的专栏
09-21 8296
首先是http的配置authentication-manager-ref="authenticationManager"指定了默认的                ... ...                      logout-success-url="/login.html" invalidate-session="true" />
Spring Security 3多用户登录实现之七 用户验证失败处理改进
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1722422
springboot+Oauth2实现自定义AuthenticationManager认证path
08-29
本篇文章主要介绍了springboot+Oauth2实现自定义AuthenticationManager认证path,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringSecurity多认证器 配置 多模式登录自定义认证器
这个柠檬有丶酸的博客
04-09 2840
首先说下项目使用背景 A服务 B服务 都在项目中 认证服务是一个公共模块 需要多个认证器 第一步我们先说说 登录过滤器 WebSecurityConfigBugVip.class /** * @Author: Mr_xk * @Description: 配置类 * @Date: 2021/8/1 **/ @Configuration @EnableWebSecurity public class WebSecurityConfigBugVip extends WebSecurityConf
多个HttpSecurity配置(局部AuthenticationManager
weixin_43861630的博客
07-25 1770
1. 多端httpSecurity 2. 局部Authentication及Authorization 3. 多个token/多端token隔理 4. 多个httpSecurity配置
Spring security 多认证方式
chijiansong的博客
12-02 441
我是这样使用SpringBoot(多认证方式) - 简书
Spring security --- Acegi部分配置信息(经典讲解)
05-05 1190
认证处理过滤器authenticationProcessingFilter的配置                                                    说明:        1)负责处理基于表单的身份验证请求。        2)当接收到与filterProcessesUrl所定义相同的请求时,它会首先通过AuthenticationManager来验证用户身
Spring Security多认证模式落地指南:手把手实现JWT与Gitee OAuth2双认证系统
2301_76385684的博客
06-15 1784
深入剖析 Spring Security 的核心认证与授权机制,结合 JWT  Gitee OAuth2 实现多认证模式整合,提供完整的实战代码与架构设计。
SpringSecurity多认证体系实现
adminstritor的博客
04-13 1086
springsecurity已经为我们实现了账户密码登录认证逻辑,我们可仿照其原理来实现自定义认证这里以企业微信号登录为例,实现SpringSecurity多认证体系在多认证体系下,对不同登录方式需要用到不同的处理器去处理该请求,所以需要针对不同的请求来进行自定义过滤// 处理微信登录请求@Override});// 校验合法请求// 企业微信扫码后, 企业微信回调的code。
掌握Spring Security 4实现多点登录示例
Spring Security 4多点登录指的是一个系统支持多个登录入口,允许用户从不同的登录点接入系统。多点登录在大型企业系统或者有多个子系统组合而成的应用中较为常见。 ### 知识点 #### 1. Spring Security基础 - **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值