Spring Security 认证处理流程源码

最新推荐文章于 2025-06-16 15:56:27 发布
最新推荐文章于 2025-06-16 15:56:27 发布
阅读量3.5k 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Spring Security 文章标签: Spring Security 认证处理流程源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37502106/article/details/81117033

一、UsernamePasswordAuthenticationFilter

org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter

第一个验证处理过滤器类,负责处理表单登录请求获,取请求中带的username、password,使用username、password构建org.springframework.security.authentication.UsernamePasswordAuthenticationToken
从UsernamePasswordAuthenticationToken这个对象从继承书上看,实际上是Authentication接口的实现,Authentication接口实际上是封装了认证信息。

UsernamePasswordAuthenticationToken

UsernamePasswordAuthenticationFilter用username、password构建UsernamePasswordAuthenticationToken的时候:
1、把用户名和密码都设置到自己本地变量上
2、super(null);父类构造函数需要传一组权限进来,但是执行到当前代码的时候,还没有进行过身份认证,不知道这个用户的权限是什么,所以这里是null
3、setAuthenticated(false);表示前面存储进去的信息是否经过身份认证,false表示没有

具体代码:

public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
        // 父类构造函数需要传一组权限进来,但是执行到当前代码的时候,还没有进行过身份认证,不知道这个用户的权限是什么,所以这里是null
        super(null);
        // 把用户名和密码都设置到自己本地变量上
        this.principal = principal;
        this.credentials = credentials;
        // 表示前面存储进去的信息是否经过身份认证,false表示没有
        setAuthenticated(false);
    }
setDetails
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#setDetails(HttpServletRequest,UsernamePasswordAuthenticationToken)

把请求的信息设置到UsernamePasswordAuthenticationToken里面,包括发请求的ip、session等

二、AuthenticationProvider

然后开始调用AuthenticationManagerorg.springframework.security.authentication.AuthenticationManager,AuthenticationManager本身并不包含验证的逻辑,它的作用是用来管理AuthenticationProvider org.springframework.security.authentication.ProviderManager ,实现了AuthenticationManager。

ProviderManager.authenticate(Authentication authentication)方法
里面有一个for循环,getProviders()拿到所有的AuthenticationProvider接口,真正的校验是写在AuthenticationProvider里面的。

为什么是for循环?因为不同的登录方式,它的认证逻辑是不一样的。用户名密码登录验密码。第三方登录,是不需要密码的,两种登录,逻辑不一样,spring security 提供两个AuthenticationProvider。

AuthenticationManager负责把所有的AuthenticationProvider收集起来,收集之后,挨个比对该AuthenticationProvider支不支持对应的登录方式,即:provider.supports(toTest) ,如果不支持,继续比对下一个;支持,执行真正的校验逻辑 result = provider.authenticate(authentication);

AuthenticationManager校验AuthenticationProvider支持的登录方式
result = provider.authenticate(authentication);

主要的校验逻辑在调抽象类org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider的Authentication authenticate(Authentication authentication)方法里面的authenticate(Authentication authentication)。

retrieveUser()方法

retrieveUser()方法获取UserDetails对象,retrieveUser()是一个抽象方法,它的实现org.springframework.security.authentication.dao.DaoAuthenticationProvider.retrieveUser()中有:

UserDetails loadedUser ==this.getUserDetailsService().loadUserByUsername(username);

实际上是在调UserDetailsService接口的实现来获取UserDetailsService,就和前面的自定义用户逻辑对接上了,如果拿到了用户信息,就有一个(preAuthenticationChecks.check(user););

预检查

preAuthenticationChecks.check(user);的实现是一个内部类:

org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.DefaultPreAuthenticationChecks.check(user);

这里面做了三个检查,返回的是UserDetails的实现,而UserDetails里面有四个Boolean方法分别判断用户是否可用等,这里检查其中三个,并抛出对应账户锁定、账户过期异常。

additionalAuthenticationChecks
additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken) authentication);附加的检查,在抽象类中是一个抽象方法,在DaoAuthenticationProvider中具体的实现,用PasswordEncoder校验密码是否匹配。

后检查

如果前面的都通过后再有一个,postAuthenticationChecks.check(user);后检查,DefaultPostAuthenticationChecks实现,检查四个Boolean里面的最后一个,所有的检查都通过,表明用户认证是成功的,然后在创建一个Authentication。

创建Authentication
createSuccessAuthentication(principalToReturn, authentication, user);

重新实例一个UsernamePasswordAuthenticationToken,不过构造方法不一样了,传入了Authentication,setAuthenticated(true);认证已经通过

    /**
     * This constructor should only be used by <code>AuthenticationManager</code> or
     * <code>AuthenticationProvider</code> implementations that are satisfied with
     * producing a trusted (i.e. {@link #isAuthenticated()} = <code>true</code>)
     * authentication token.
     *
     * @param principal
     * @param credentials
     * @param authorities
     */
    public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
            Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        this.credentials = credentials;
        super.setAuthenticated(true); // must use super, as we override
    }

最后Authentication再返回会UsernamePasswordAuthenticationFilter调登陆成功的自定义方法,org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.successfulAuthentication(HttpServletRequest, HttpServletResponse, FilterChain, Authentication) 和失败的自定义方法。

SpringSecurity-基本概念和处理流程
CTPeng的博客
01-08 1867
SpringSecurity-基本概念和处理流程分析 优秀文章推荐: 1、https://www.cnkirito.moe/spring-security-1/ 2、https://www.jianshu.com/p/e8e0e366184e 文章较长,望耐心阅读。 首先,需要明白SpringSecurity它解决什么问题? 1、认证:证明你是你的问题,通常就是用用户名和密码来证明。 2、授权:...
Spring Security OAuth2】- spring security - 认证流程源码级详解
smart_an的专栏
10-10 1020
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Spring Security框架处理流程
jazywoo_在路上
12-16 885
SpringSide 3的官方文档中,说安全框架使用的是Spring Security 2.0。乍一看,吓了我一跳,以为Acegi这么快就被淘汰了呢。上搜索引擎一搜,发现原来Spring Security 2.0就是Acegi 2.0。悬着的心放下来了。虽然SpringSide 3中关于Acegi的配置文件看起来很不熟悉,但是读了Acegi 2.0的官方文档后,一切都释然了。 先来谈一
Spring Boot 项目整合Spring Security 进行身份验证
最新发布
维基框架,分享技术,开源框架,开源软件。
06-16 940
该抽象类需要应用服务端实现/*** @Description: java类作用描述*/@Component/*** 查询用户信息* @param username 用户名* @return 返回用户信息* @throws UsernameNotFoundException 用户未找到异常信息*/@Override以上只是博主自己在实际项目中总结出来,然后在将其实封成工具分享给大家。相关源码在:维基框架Gitee:如果喜欢博主的分享记得给博主点点小星星。
SpringSecurity认证处理流程
weixin_30394251的博客
03-30 132
转载于:https://www.cnblogs.com/fanqisoft/p/10628468.html
SpringSecurity完整流程
Leon_Jinhai_Sun的博客
06-05 472
SpringSecurity完整流程
SpringSecurity 认证流程源码详细解读
m0_51431003的博客
05-09 2061
如果这些校验都通过,就会将 result 返回。没错,他就是在套娃!点进入去之后,我们来到了 AuthenticationManager 接口,但这只是一个接口,显然不是我们要的,具体的实现代码应该在实现类中,所以我们继续选择 ProviderManager ,他是 AuthenticationManager 接口的一个实现类。点进去,发现这是 AbstractUserDetailsAuthenticationProvider 接口中的方法,而且只有一个实现,那我们继续进入实现类实现的方法。
最详细Spring Security学习资料(源码
11-16
身份验证:Spring Security支持多种身份验证方式,包括基本认证、表单登录、LDAP认证、OAuth等,同时也支持自定义的认证方式。 授权:Spring Security提供了细粒度的授权机制,可以根据角色、权限进行访问控制。...
SpringSecurity登录认证流程源码分析
m0_63624484的博客
07-31 1079
10.既然如此,我们只需要实现这个接口重写loadUserByUsername方法,然后从数据路根据用户名查询到用户信息,然后封装成一个loginUser对象,并且对这个用户的基本信息进行一个校验,没问题后就可以返回了,到这里根据用户名查找用户这个验证已经完成了。(配置类的代码最后会统一给)我们直接找到源头,发现这个加密方法是一个PasswordEncoder接口的抽象方法,里面主要两个方法,分别用于对前端输入的密码加密,还有把加密后的密码和用户信息中的密码进行比对。7.那么不用多说,直接进入这个方法。
Spring-Security(一)-源码分析及认证流程
lbmydream的博客
06-06 1276
快速了解Spring Security 认证流程
Spring security认证与授权(三)源代码
03-26
Spring security认证与授权(三)源代码
SpringSecurity认证流程源码详解
chen1092248901的博客
09-03 270
一、认证处理流程说明 原理图 1.用户输入完用户密码后 usernamePasswordAuthenticationFilter构建一个未认证的token
Springboot集成SpringSecurity源码
一起coding,一起嗨。
10-26 1111
一、导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 二、新建一个配置类 package com.security.config; import org.springframework.context.
(四)、spring boot security 请求流程 和 filter 说明
qq_30062125的博客
01-08 679
Spring Security文章目录 简介: 此处以我们前面demo中的用户名密码登录作为例子进行说明。   登入 登出流程如下:   filters逻辑如下:   1、MethodSecurityInterceptor 流程与 FilterSecurityInterceptor 类似。 2、demo中的自定义AuthenticationProcessingFilt...
Spring Security 源码分析(一)【结构总览】
底层码农
04-12 885
Spring Security 源码分析【结构总览】
org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:201) ~
weixin_44337267的博客
04-05 929
问题出现在 public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } 重写bean 而不是重写 authenticationManage public AuthenticationManager authenticationManager() throws Exception { return super.authenticat
org.springframework.security.authentication.InternalAuthenticationServiceException
weixin_51146698的博客
03-22 9935
错误:org.springframework.security.authentication.InternalAuthenticationServiceException: Invalid bound statement (not found): com.fish.Mapper.UserMapper.selectUserByUsername 原因找不到xxxMapper.xml配置文件 解决:在配置文件中加入你的配置文件的地址 ...
org.springframework.security.authentication.BadCredentialsException: Bad credentials
此人很懒,什么都没有写
06-26 2174
报错环境:使用Spring Security为Web请求和方法调用提供身份确认和授权处理的时候报错。 报错一:Access is denied 我尝试了多次方法并未解决这个报错,此报错并不影响使用,就没有再弄。 org.springframework.security.access.AccessDeniedException: Access is denied at org.springframework.security.access.vote.AffirmativeBased.decide(Affir
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值