SpringSecurity------ Username/Password Authentication(九)

最新推荐文章于 2024-10-07 18:22:38 发布
最新推荐文章于 2024-10-07 18:22:38 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: SpringSecurity 文章标签: 安全 web安全 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sanjun333/article/details/125343928
版权

SpringSecurity------ Username/Password Authentication(九)

用户名和密码的获取方式

最常见的用户身份认证就是使用用户名密码,Spring Security为使用用户名和密码进行身份验证提供了全面的支持。 Spring Security提供了以下内置机制来从HttpServletRequest读取用户名和密码

1、表单登录(Form Login)

loginurlauthenticationentrypoint
(1)在未经过认证的情况下向/private发送了一个请求

(2)FilterSecurityInterceptor通过抛出AccessDeniedException异常通知应用程序拒绝未经身份验证的请求

(3)由于检测到用户没有经过身份认证,ExceptionTranslationFilter会启动身份验证机制,并且通过LoginUrlAuthenticationEntryPoint通知客户端

(4)客户端会向服务端通过/login请求登录

(5)服务端向客户端提供登录页面数据

当用户提交了用户名和密码之后,UsernamePasswordAuthenticationFilter会对用户名和密码进行验证

usernamepasswordauthenticationfilter
(1)当用户提交用户名和密码后,UsernamePasswordAuthenticationFilter会从HttpServletRequest中获取到用户提交的用户名和密码信息,然后使用这些信息创建一个UsernamePasswordAuthenticationToken(Authentication类型)。

(2)UsernamePasswordAuthenticationToken会被传递到AuthenticationManager中进行身份验证。

(3)如果鉴权失败

  • 清除SecurityContextHolder
  • 执行RememberMeServices.loginFail,如果没有配置remember-me,则不执行
  • AuthenticationFailureHandler执行

(4)如果认证成功

  • 通知SessionAuthenticationStrategy有一个新的登录用户
  • 将Authentication设置到SecurityContextHolder
  • 执行RememberMeServices.loginSuccess,如果没有配置remember-me,则不执行
  • ApplicationEventPublisher发布InteractiveAuthenticationSuccessEvent事件
  • AuthenticationSuccessHandler执行。通常这里是一个SimpleUrlAuthenticationSuccessHandler 的实例,可以在登录成功后将用户引导到先前访问的页面

2、基础认证(Basic Authentication)

basicauthenticationentrypoint
(1)在未经过认证的情况下向/private发送了一个请求

(2)FilterSecurityInterceptor通过抛出AccessDeniedException异常通知应用程序拒绝未经身份验证的请求

(3)ExceptionTranslationFilter会启动身份验证机制,并且通过BasicAuthenticationEntryPoint添加WWW-Authenticate响应头通知客户端

当客户端收到WWW-Authenticate报头时,会提示用户进行登录
basicauthenticationfilter
(1)当用户提交用户名和密码后,UsernamePasswordAuthenticationFilter会从HttpServletRequest中获取到用户提交的用户名和密码信息,然后使用这些信息创建一个UsernamePasswordAuthenticationToken(Authentication类型)。

(2)UsernamePasswordAuthenticationToken会被传递到AuthenticationManager中进行身份验证。

(3)如果鉴权失败

  • 清除SecurityContextHolder
  • 执行RememberMeServices.loginFail,如果没有配置remember-me,则不执行
  • AuthenticationEntryPoint 会继续发送WWW-Authenticate到客户端

(4)如果认证成功

  • 将Authentication设置到SecurityContextHolder
  • 执行RememberMeServices.loginSuccess,如果没有配置remember-me,则不执行
  • BasicAuthenticationFilter通过FilterChain.doFilter(request,response)执行应用程序的后续任务

3、摘要认证(Digest Authentication)

简单介绍以下使用配置,这个不建议使用

@Autowired
UserDetailsService userDetailsService;

DigestAuthenticationEntryPoint entryPoint() {
	DigestAuthenticationEntryPoint result = new DigestAuthenticationEntryPoint();
	result.setRealmName("My App Relam");
	result.setKey("3028472b-da34-4501-bfd8-a355c42bdf92");
}

DigestAuthenticationFilter digestAuthenticationFilter() {
	DigestAuthenticationFilter result = new DigestAuthenticationFilter();
	result.setUserDetailsService(userDetailsService);
	result.setAuthenticationEntryPoint(entryPoint());
}

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
	http
		// ...
		.exceptionHandling(e -> e.authenticationEntryPoint(authenticationEntryPoint()))
		.addFilterBefore(digestFilter());
	return http.build();
}
Spring Security源码解析一:UsernamePasswordAuthenticationFilter之登录流程
www_xuhss_com的博客
01-20 2372
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 一.前言 spring security安全框架作为spring系列组件中的一个,被广泛的运用在各项目中,那么spring security在程序中的工作流程是个什么样的呢,它是如何进行一系列的鉴权认证呢,下面让我们走进源码,从源码的角度来从头走一遍spr
【Spring Security OAuth2】- spring security - 认证流程源码级详解
最新发布
smart_an的专栏
10-10 996
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
SpringSecurity用户认证设置用户名密码的三种方式
怪咖@的博客
05-29 3855
目录方式一:配置文件方式二:设置配置类方式三:自定义实现类设置账号密码自定义登录接口基于token前后端分离的示例 温馨提示: 本章测试基本上都是使用的SpringSecurity提供的默认登录页登录接口进行测试的 方式一:配置文件 spring.security.user.name=lisi spring.security.user.password=12345 方式二:设置配置类 1)、编写一个类继承WebSecurityConfigurerAdapter抽象类 2)、重写configure(Aut
Spring Security 之用户名/密码 认证
console的博客
05-06 2530
验证用户身份的最常见方法之一是验证用户名密码,Spring Security提供了很多内置机制来从HttpServletReques读取用户名密码:
Spring Security 源码解读 :Username/Password认证
weixin_41866717的博客
02-04 1839
Spring Security 关于username/password方式登录
SpringSecurity直接用username构造UsernamePasswordAuthenticationToken
十二翼堕落天使
01-08 5791
结论 添加在UsernamePasswordAuthenticationFilter之前的 JWT 过滤器中可以直接用username去构造UsernamePasswordAuthenticationToken: UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, null); SecurityContextHolder.getCont
SpringSecurity中文文档(UsernamePassword Authentication
znjy111的博客
06-26 1241
验证用户的最常见方法之一是验证用户名密码SpringSecurity 为使用用户名密码进行身份验证提供了全面的支持。您可以使用以下方法配置用户名密码身份验证:前面的配置自动在 SecurityFilterChain 中注册了一个内存中的 UserDetailsService,将 DaoAuthenticationProvider 注册到默认的 AuthenticationManager,并启用了表单登录 HTTP 基本认证
【Spring Security OAuth2】- spring security - 基本原理
smart_an的专栏
10-07 1009
这里会判定该请求是否能进行访问rest服务;判断的依据是:BrowserSecurityConfig中的配置;如果被拒绝了就会抛出不同的异常(根据具体的原因)。Exception Translation Filter 会捕获抛出的错误,然后根据不同的认证方式进行信息的返回提示注意的是:绿色的过滤器可以配置是否生效,其他的都不能控制;以上就是security最基本的一个原理,其他的衍生的功能都是基于这个架子进行扩展的。
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
在本文中,我们将深入探讨如何使用Spring BootSpring Security实现基于基本身份验证(Basic Authentication)的安全RESTful API。Spring Boot简化了创建独立、生产级别的基于Spring的应用程序,并且Spring ...
SpringSecurity-用户认证
2302_76552486的博客
09-25 1689
SpringSecurity实现用户认证过程
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
在IT行业中,Spring BootSpring Security是两个非常重要的框架,它们在构建现代Web应用程序时起着核心作用。JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构API授权。本篇文章将深入...
UsernamePasswordAuthenticationToken使用
m0_67318913的博客
03-09 1704
二、参数使用 其中,principal 是认证的主体信息,通常为用户名或者用户对象;credentials 是认证的凭证信息,通常为密码或者其他类似信息。在构造时,还可以使用其他构造方法为认证请求设置授权信息、权限列表等。 在 Spring Security 中,通过 AuthenticationManager 对象对认证请求进行认证认证成功后会生成一个 Authentication 对象,并将其存储在 SecurityContextHolder 中,用于表示当前的认证信息。在应用程序中,可以通过 Se
Spring Security 登录流程
灵熙云工作室
03-11 7036
目录 1.无处不在的 Authentication 2.登录流程 3.用户信息保存 以下文章来源于微信公众号:江南一点雨 为什么想大家捋一捋 Spring Security 登录流程呢?这是因为之前小伙伴们的一个提问:如何在 Spring Security 中动态修改用户信息? 如果你搞清楚了 Spring Security 登录流程,这其实不是问题。但是在很多新手小伙伴多次询问...
Spring Security(一)用户认证
m0_74232531的博客
04-29 2033
Spring Security
Spring security
2201_75600005的博客
07-07 1343
创建exception包,在exception包下创建自定义类,继承类认证失败的。
史上最简单的Spring Security教程(二十五):UsernamePasswordAuthenFilter详解
银河架构师的博客
08-28 3885
​在Spring Security框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。 下面我们就来一起详细了解一下这个 Filter 的具体功用。 首先,既然是Filter,势必要实现 Filter 接口吧,不过,确实实现了 Filter 接口。 从上图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系,也确实实现了 Filter 接口。 那么,我们便从..
Spring Security用户名密码认证以及基本认证
szm1160809039的博客
10-11 1515
用户名密码认证是最常用的认证方式之一,
UsernamePasswordAuthenticationToken
热门推荐
程序缘
12-29 3万+
UsernamePasswordAuthenticationToken(位于org.springframework.security.authentication包下)通过类名可以的看出来,用户名密码方式进行认证。就是我们见的最多的认证方式通过用户名密码进行登录。咱们话不多说看看具体实现: publicclassUsernamePasswordAuthenticationTokenextendsAbstractAuthenticationToken{ //序列化id priva
springsecurity通过xml配置多个authentication-provider
04-30
在Spring Security中,可以使用多个authentication-provider来支持不同类型的身份验证。为了通过XML配置多个authentication-provider,需要按照以下步骤进行操作: 1. 在Spring Security配置文件中定义多个authentication-provider元素,并设置它们的属性子元素,如下所示: ``` <authentication-manager> <authentication-provider user-service-ref="userDetailsService1" /> <authentication-provider user-service-ref="userDetailsService2" /> </authentication-manager> ``` 其中,user-service-ref属性指定要使用的UserDetailsService实现的bean名称。 2. 配置每个UserDetailsService bean,以便它将验证请求委托给适当的身份验证提供程序。例如,下面是一个UserDetailsService bean的示例: ``` <bean id="userDetailsService1" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl"> <property name="dataSource" ref="dataSource1" /> <property name="usersByUsernameQuery" value="SELECT username,password,enabled FROM users WHERE username=?" /> <property name="authoritiesByUsernameQuery" value="SELECT username, authority FROM authorities WHERE username=?" /> </bean> ``` 3. 如果需要,可以配置每个authentication-provider的authentication-event-listener元素,以便在验证过程中捕获处理特定事件。例如,下面是一个authentication-event-listener元素的示例: ``` <authentication-provider user-service-ref="userDetailsService1"> <authentication-event-listener ref="myAuthenticationListener" /> </authentication-provider> ``` 4. 最后,可以使用Spring Security的全局配置元素,如global-method-securityintercept-url,来定义更高级的安全控制。 总之,通过XML配置多个authentication-provider是通过配置多个authentication-provider元素,并将它们的属性子元素与适当的UserDetailsService bean关联来实现的。这允许Spring Security支持多种身份验证方法,并为每种身份验证方法提供自定义配置事件处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

豢龙先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值