谷粒学院SpringSecurity认证流程详解

原创 已于 2023-03-19 15:17:54 修改 · 1.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot

于 2023-03-19 15:11:37 首次发布
文章详细分析了前端登录时调用接口的流程,包括请求携带token以及请求拦截器的使用。后端部分,重点讲述了SpringSecurity的用户认证流程,包括Authentication接口、UsernamePasswordAuthenticationFilter、AuthenticationManager、AuthenticationProvider、PasswordEncoder和UserDetailsService的角色和工作方式。整个认证过程中,用户信息、权限和密码验证都在安全框架内进行,登录成功后,token信息存储在前端,并用于后续请求的身份验证。

登录功能前端分析

前端会调用此接口去实现登录

// 登录
export function login(username, password) {
   return request({
     url: '/admin/acl/login',
     method: 'post',
     data: {
       username,
       password
     }
   })
 }

request请求会经过request拦截器,给请求携带一个token的字段,token值是从Cookie中获取的,由于现在是登录阶段,所以没有该值。

===========================config/dev.env.js===========================================
module.exports = merge(prodEnv, {
  NODE_ENV: '"development"',
  BASE_API: '"http://localhost:8222"',
})
==========================request.js=====================================
// 创建axios实例
const service = axios.create({
  baseURL: process.env.BASE_API, // api 的 base_url
  timeout: 20000 // 请求超时时间
})

// request拦截器
service.interceptors.request.use(
  config => {
    if (store.getters.token) {
      // 让每个请求携带自定义token
      config.headers['token'] = getToken()
    }
    return config
  },
  error => {
    console.log(error)
    Promise.reject(error)
  }
)
==================auth.js=================================
const TokenKey = 'Admin-Token'

export function getToken() {
  return Cookies.get(TokenKey)
}

export function setToken(token) {
  return Cookies.set(TokenKey, token)
}

export function removeToken() {
  return Cookies.remove(TokenKey)
}

没登录时浏览器存储的cookie值

以下是我成功登录的截图

最终前端的请求路径为 http://localhost:8222/admin/acl/login

登录后端分析

1、网关

包含acl的请求路径会被网关拦截,然后去注册中心找对应的服务名,再转发到对应的权限管理模块中去

spring:
  application:
    name: service-gateway
  cloud:
    #nacos服务地址
    nacos:
      discovery:
        server-addr: 127.0.0.1:8848
    #使用服务发现路由
    gateway:
      discovery:
        locator:
          enabled: true
      routes:
        - id: service-acl
          uri: lb://service-acl
          predicates:
            - Path=/*/acl/**

2、SpringSecurity

以下是SpringSecurity的用户认证流程,下面我会详细分析

  • Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。

  • AuthenticationManager接口:定义了认证Authentication的方法

  • UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。

  • UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

2.1用户认证核心组件

我们系统中会有许多用户,确认当前是哪个用户正在使用我们系统就是登录认证的最终目的。这里我们就提取出了一个核心概念:当前登录用户/当前认证用户。整个系统安全都是围绕当前登录用户展开的,这个不难理解,要是当前登录用户都不能确认了,那A下了一个订单,下到了B的账户上这不就乱套了。这一概念在Spring Security中的体现就是 Authentication,它存储了认证信息,代表当前登录用户。

我们在程序中如何获取并使用它呢?我们需要通过 SecurityContext 来获取Authentication,SecurityContext就是我们的上下文对象!这个上下文对象则是交由 SecurityContextHolder 进行管理,你可以在程序任何地方使用它:

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

SecurityContextHolder原理非常简单,就是使用ThreadLocal来保证一个线程中传递同一个对象!

现在我们已经知道了Spring Security中三个核心组件:

  1. Authentication:存储了认证信息,代表当前登录用户

  1. SeucirtyContext:上下文对象,用来获取Authentication

  1. SecurityContextHolder:上下文管理对象,用来在程序任何地方获取SecurityContext

Authentication中是什么信息?

  1. Principal:用户信息,没有认证时一般是用户名,认证后一般是用户对象

  1. Credentials:用户凭证,一般是密码

  1. Authorities:用户权限

2.2 UsernamePasswordAuthenticationFilter

用户在提交完用户名和密码后,请求会首先来到 UsernamePasswordAuthenticationFilter,执行其 doFilter方法。

这个方法 UsernamePasswordAuthenticationFilter 并没有实现,而是其父类AbstractAuthenticationProcessingFilter 实现的。

流程如下:

最低0.47元/天 解锁文章
简答易懂的springsecurity认证流程
tzyaaaaaa的博客
08-27 1205
在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。
如何利用SpringSecurity进行认证与授权
m0_74823131的博客
03-02 1838
Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
【security】security getAuthentication().getPrincipal()只能获取用户名
孟秋与你的博客
07-04 9427
天坑 找了一下午才找到原因 记录一下 debug跟踪 发现setAuthentication(result)的时候 都是正常的 ,principal为实体对象 ,但是get的时候就变成字符串了 项目背景:springcloud项目 有多模块,在B模块中 引入了A模块(因为需要用到A模块的某个Component) 操作:B模块application中需要指定 ComponentScan (不指定默认只扫描本包 及B模块包下Component), 为了省事,直接指定了 @ComponentScan("com.
SpringSecurity认证流程
CBeann的博客
07-03 996
写作目的 最近在学习SpringSecurity,中间就遇到了一个问题:我在浏览器中第一次输入localhost:8080/hello,提示我没有登陆,自动跳转到登陆页面,等我登陆成功后,我在输入localhost:8080/hello,就成功访问了,验证第二次的时候,验证信息是存储在哪呢? 案例代码 https://gitee.com/cbeann/Demooo/tree/master/springboot-security-demo 源码分析 初始化 我们从WebSecurityCo
谷粒学院Spring-Security登录授权流程几个小问题分析(初学)
yishibaiqianwan3的博客
03-15 1195
谷粒学院Spring-Security登录授权流程 文字版流程 流程(文字版) -1 在acl模块新建UserDetailService类(实现ss的UserDeTAILService接口),重写校验密码和查询权限的方法 0 创建SpringSecurity配置类,修改相关的参数 1 浏览器------>服务器后台(表单提交用户名和密码,UserdetailService类的方法查询数据库进行校验),校验成功,根据用户名查询出权限列表 2.1 后台---->redis 存放用户名(us
基于Java语言的2023谷粒学院项目设计源码
10-04
整体来看,这个谷粒学院项目设计源码体现了Java在企业级应用开发中的成熟应用,以及现代软件开发流程中的自动化、标准化和模块化趋势。它不仅是一个软件工程项目,更是一个展示软件工程最佳实践的范例。
spring-boot-demo-atguigu:谷粒学院spring-boot原始码学习
03-23
谷粒学院Spring Boot原始码学习详解》 在IT领域,Spring Boot以其强大的功能和便捷的开发体验,已经成为Java企业级应用开发的首选框架。谷粒学院提供的"spring-boot-demo-atguigu"项目,旨在帮助开发者深入理解并...
guli-online-college-project:谷粒学院教育系统项目 ,后端使用目前流行的SpringBoot+SpringCloud进行微服务架构,使用Feign、Gateway、Hystrix,以及阿里巴巴的Nacos等组件搭建了项目的基础环境。 项目中还使用MyBatisPlus进行持久层的操作,使用了OAuth2+JWT实现了分布式的访问,项目中整合了SpringSecurity进行了权限控制。 除此之外,项目中使用了阿里巴巴的EasyExcel实现对Excel的读写操作,使用了Re
05-10
谷粒学院全栈开发项目 GitHub 项目下载   Java学习笔记和路径(可能是全网最全的学习笔记) 项目资料和笔记获取  clone项目,下载到本地,打开doc文件,解压即可。 项目视频教程 B站 谷粒学院-2020版微服务-全栈...
spring security认证流程
qq_37667759的博客
09-29 772
spring security认证流程
spring security】认证过程详解
欢迎来到【战羽】的博客
11-15 1434
spring security 主要有两大功能,即认证和授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
Springsecurity认证流程及鉴权流程流程绝对清晰)
qq_60264381的博客
06-14 4747
我们知道在SpringSecurity中,usernamePassword会拦截登录请求,同时调用ProviderManager。ProviderManager内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制也就是说,ProviderManager会决定调用具体AuthenticationProvider实现类来进行认证
Spring Security 认证流程,长话简说
右见小栈
11-12 2022
有小伙伴私信说让再简明地说一下 Spring Security 的核心原理,可以,安排!
Spring Security 认证流程
m0_59448100的博客
10-04 846
Spring Security 认证流程
SpringSecurity认证详解,保姆级教学_springsecurity认证流程(1)
2401_83974087的博客
04-18 1053
PreAuthorize(“hasAnyAuthority(‘ADMIN’)”) //当前登录用户必须拥有ADMIN权限否则会抛出异常。//将认证结果保存到Security上下文中 让Security框架记住登录状态。.authorities(“权限”) //授权,授予当前登录用户有什么权限。.credentialsExpired(false)//登录凭证是否过去。//通过认证管理器启动Security的认证流程 返回认证结果对象。//当前登录对象 从Security得到当前登录的用户信息。
SpringSecurity认证流程分析(各个组件之间的关联)
SunRains
11-22 4327
我一开始对于SpringSecurity也不是很熟悉,但是Security 作为一个Spring家族中的安全管理框架,而且每个项目都有授权、认证、鉴权等功能,所以很有必要对Spring Security了解清楚。在说明各个流程之前,找了一张关于它的架构,我只截取了其中关于认证这一部分的内容。 由上图可以清楚的看到在Security 认证的过程涉及到的对象,以及各个对象之间的关联。对于刚入门Java Web开发的时候,Filter作为JavaWeb的三大组件之一给我们留...
Spring Security: 认证流程详解
最新发布
hilldown159357的博客
04-03 2524
从内存切换为数据库存储用户信息,需实现接口:@Service@Autowired@Overridethrow new UsernameNotFoundException("用户不存在");// 从数据库加载权限列表username,HTML 页面login.html):<input type="text" name="username" placeholder="用户名">
SpringSecurity认证流程详解和代码实现
热门推荐
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
谷粒学院后端代码架构与spring cloud技术解析
根据提供的文件信息,我们需要深入分析和讲解关于“guli_parent.zip”压缩包中所包含的后端完整代码的相关知识点,重点内容涉及“谷粒学院”项目以及Spring Cloud框架。接下来,我们将从以下几个方面展开详细的探讨...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小鲁蛋儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值