SpringSecurity认证的执行流程【完整流程图在文章结尾】

原创 于 2025-07-17 15:55:02 发布 · 713 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot #spring

SpringSecurity认证的执行流程

在Spring Security 中,与认证、授权相关的校验其实都是利用一系列的过滤器来完成的,这些过滤器共同组成了一个过滤器链,如下图所示:
在这里插入图片描述

当开启SpringSecurity的debug模式时,可以看到控制台打印出来的各个过滤器执行的顺序:

@EnableWebSecurity(debug=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter

1、 WebAsyncManagerIntegrationFilter;
2、 SecurityContextPersistenceFilter;
3、 HeaderWriterFilter;
4、 CsrfFilter;
5、 LogoutFilter;
6、 UsernamePasswordAuthenticationFilter;
7、 DefaultLoginPageGeneratingFilter;
8、 DefaultLogoutPageGeneratingFilter;
9、 RequestCacheAwareFilter;
10、 SecurityContextHolderAwareRequestFilter;
11、 AnonymousAuthenticationFilter:如果之前的认证机制都没有更新SecurityContextHolder拥有的Authentication,那么一个AnonymousAuthenticationToken将会设给SecurityContextHolder;
12、 SessionManagementFilter;
13、 ExceptionTranslationFilter:用于处理在FilterChain范围内抛出的AccessDeniedException和AuthenticationException,并把它们转换为对应的Http错误码返回或者跳转到对应的页面;
14、 FilterSecurityInterceptor:负责保护WebURI,并且在访问被拒绝时抛出异常;

在上面图中所展示的一系列的过滤器中,和认证授权直接相关的过滤器是 AbstractAuthenticationProcessingFilter 和 UsernamePasswordAuthenticationFilter

但是你可能又会问,怎么没看到 AbstractAuthenticationProcessingFilter 这个过滤器呢?这是因为它是一个抽象的父类,其内部定义了认证处理的过程,UsernamePasswordAuthenticationFilter 就继承自 AbstractAuthenticationProcessingFilter

接下来详细介绍下这两个过滤器

AbstractAuthenticationProcessingFilter

在AbstractAuthenticationProcessingFilter 中定义了认证处理过程,具体如下:
在这里插入图片描述

由上图可知,在执行过滤器的时候会对请求进行校验requiresAuthentication(),如果校验通过后才会执行具体的认证逻辑。那这里校验的什么?这里先不继续说,后续会再次介绍。

当校验通过后,则会执行具体具体的认证逻辑attemptAuthentication,该方法是个抽象方法,具体的实现逻辑都是在子类中实现的,也就是UsernamePasswordAuthenticationFilter.

UsernamePasswordAuthenticationFilter

UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter的一个子类,认证与授权的相关校验均在此类中定义的。具体实现如下:

public class UsernamePasswordAuthenticationFilter extends
        AbstractAuthenticationProcessingFilter {

    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
    public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";

	// ……

    // ~ Constructors
    // ===================================================================================================

    public UsernamePasswordAuthenticationFilter() {
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    public Authentication attemptAuthentication(HttpServletRequest request,
                                                HttpServletResponse response) throws AuthenticationException {
        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }

        String username = obtainUsername(request);
        String password = obtainPassword(request);

        if (username == null) {
            username = "";
        }

        if (password == null) {
            password = "";
        }

        username = username.trim();

        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                username, password);

        // Allow subclasses to set the "details" property
        setDetails(request, authRequest);

        return this.getAuthenticationManager().authenticate(authRequest);
    }

    @Nullable
    protected String obtainPassword(HttpServletRequest request) {
        return request.getParameter(passwordParameter);
    }

    @Nullable
    protected String obtainUsername(HttpServletRequest request) {
        return request.getParameter(usernameParameter);
    }

    protected void setDetails(HttpServletRequest request,
                              UsernamePasswordAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }

	// ......其他略......
}

通过上述代码可以分析出如下结论

  1. 从构造方法中得知 该过滤器只针对**post请求的/login接口生效**, 在上面曾经说过在执行attemptAuthentication,之前会先调用requiresAuthentication()进行请求校验,校验的规则就是根据该构造器来决定的。
  2. 过滤器中,再利用obtainUsername和obtainPassword方法,提取出请求里边的用户名/密码,提取方式就是request.getParameter,这也是为什么SpringSecurity中默认的表单登录要通过key/value的形式传递参数,而不能传递JSON参数如果像传递JSON参数,我们可以通过修改这里的代码来进行实现;
  3. 获取到请求里传递来的用户名/密码之后,接下来会构造一个UsernamePasswordAuthenticationToken对象传入username和password其中username对应了UsernamePasswordAuthenticationToken中的principal属性,而password则对应了它的credentials属性;
  4. 接下来再利用setDetails方法给details属性赋值,UsernamePasswordAuthenticationToken本身是没有details属性的,这个属性是在它的父类AbstractAuthenticationToken中定义的details是一个对象,这个对象里边存放的是WebAuthenticationDetails实例,该实例主要描述了请求的remoteAddress以及请求的sessionId这两个信息;
  5. 最后一步,就是利用AuthenticationManager对象来调用authenticate()方法去做认证校验
AuthenticationManager与ProviderManager

在上面 UsernamePasswordAuthenticationFilter类的 attemptAuthentication() 方法中得知,该方法的最后一步会进行关于认证的校验,而要进行认证操作首先要获取到一个 AuthenticationManager 对象,这里默认拿到的是AuthenticationManager的子类ProviderManager ,如下图所示:
在这里插入图片描述

进入到 ProviderManager 的 authenticate()方法中,来看看认证到底是怎么实现的。比较重要的

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

以上四张截图就是ProviderManager认证相关的核心逻辑
Spring Security中关于认证的重要逻辑几乎都是在这里完成的

  1. 首先利用反射,获取到要认证的authentication对象的Class字节码
  2. 判断当前provider是否支持该authentication对象
    • 如果当前provider不支持该 authentication 对象,则退出当前判断,进行下一次判断。
    • 如果支持,则调用provider的authenticate方法开始做校验,校验完成后,会返回一个新的Authentication
  3. 这里如果 provider 的 authenticate 方法没能返回一个 Authentication 认证对象,则会调用 provider 的 parent 对象中的 authenticate 方法继续校验。
  4. 而如果通过了校验,返回了一个Authentication认证对象,则调用copyDetails()方法把旧Token的details属性拷贝到新的Token中,如下图;
  5. 接下来会调用eraseCredentials()方法来擦除凭证信息,也就是我们的密码,这个擦除方法比较简单,就是将Token中的credentials属性置空;
  6. 最后通过publishAuthenticationSuccess()方法将认证成功的事件广播出去;
  7. SpringSecurity会监听这个事件,接收到这个Authentication对象,进而调用SecurityContextHolder.getContext().setAuthentication(…)方法,将AuthenticationManager返回的Authentication对象,存储在当前的SecurityContext对象中;
AuthenticationProvider

AuthenticationManager是负责管理协调认证工作的,但并不负责认证功能的真正实现,认证功能的真正实现是由 AuthenticationManager 中引用的 AuthenticationProvider的子类来完成的,通过源码我们可以看到AuthenticationManager 中引用了一个providers列表

private List<AuthenticationProvider> providers = Collections.emptyList();

providers集合的泛型是*AuthenticationProvider接口,*AuthenticationProvider接口有多个实现子类,如下图:

在这里插入图片描述

DaoAuthenticationProvider类关系

在这里插入图片描述

AuthenticationProvider接口的一个直接子类是AbstractUserDetailsAuthenticationProvider,该类又有一个直接子类DaoAuthenticationProvider。平常我们使用用户名密码登录时,默认就是使用该Provider。
Spring Security中默认就是使用DaoAuthenticationProvider来实现基于数据库模型认证授权工作的!

DaoAuthenticationProvider 在进行认证的时候,需要调用 UserDetailsService 对象的loadUserByUsername() 方法来获取用户信息 UserDetails,其中包括用户名、密码和所拥有的权限等。所以如果我们需要改变认证方式,可以实现自己的 AuthenticationProvider;如果需要改变认证的用户信息来源,我们可以实现 UserDetailsService。

DaoAuthenticationProvider类中并没有重写 authenticate() 方法authenticate() 方法是在父类AbstractUserDetailsAuthenticationProvider中实现的

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		......

		//获取authentication中存储的用户名
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

    	//判断是否使用了缓存
		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
                //retrieveUser()是一个抽象方法,由子类DaoAuthenticationProvider来实现,用于根据用户名查询用户。
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				......
		}

		try {
            //进行必要的认证前和额外认证的检查
			preAuthenticationChecks.check(user);
            
            //这是抽象方法,由子类DaoAuthenticationProvider来实现,用于进行密码对比
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException exception) {
			if (cacheWasUsed) {
				//在发生异常时,尝试着从缓存中进行对象的加载
				cacheWasUsed = false;
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
				preAuthenticationChecks.check(user);
				additionalAuthenticationChecks(user,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			else {
				throw exception;
			}
		}
		
        //认证后的检查操作
		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}
		
        //认证成功后,封装认证对象
		return createSuccessAuthentication(principalToReturn, authentication, user);
	}

查看源码我们可以知道大概的逻辑

  1. 首先会从Authentication提取出登录用户名

  2. 然后利用得到的username,先去缓存中查询是否有该用户

  3. 如果缓存中没有该用户,则去执行 retrieveUser() 方法获取当前用户对象。而这个retrieveUser()方法是个抽象方法,在AbstractUserDetailsAuthenticationProvider类中并没有实现,是由子类DaoAuthenticationProvider来实现的
    在这里插入图片描述

  4. DaoAuthenticationProvider类的retrieveUser()方法中,会调用getUserDetailsService()方法,得到UserDetailsService对象,执行我们自己在登录时候编写的loadUserByUsername()方法,然后返回一个UserDetails对象,也就是我们的登录对象如下图所示;
    在这里插入图片描述

  5. 接下来会继续往下执行preAuthenticationChecks.check()方法,检验user中各账户属性是否正常,例如账户是否被禁用、是否被锁定、是否过期等

  6. 接着会继续往下执行additionalAuthenticationChecks()方法,进行密码比对。而该方法也是抽象方法,也是由子类DaoAuthenticationProvider进行实现。我们在注册用户时对密码加密之后,Spring Security就是在这里进行密码比对的******。如下所示。

在这里插入图片描述

  1. 然后在postAuthenticationChecks.check()方法中检查密码是否过期,如下所示;
  2. 然后判断是否进行了缓存,如果未进行缓存,则执行缓存操作,这个缓存是由SpringCacheBasedUserCache类来实现的;
    • 我们这里如果没有对缓存做配置,则会执行默认的缓存配置操作。如果我们对缓存进行了自定义的配置,比如配置了RedisCache,就可以把对象缓存到redis中。
  3. 最后通过createSuccessAuthentication()方法构建出一个新的 UsernamePasswordAuthenticationToken对象

在这里插入图片描述

【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 6986
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
SpringSecurity授权流程源码分析
程序员劝退师的博客
11-17 497
前言 在之前文章中有单独写过SpringSecurity表单登录流程源码分析,SpringSocial使用QQ授权登录流程详细分析两篇关于登录流程的,这些其实只是SpringSecurity整个流程的一部分罢了,也就是验证一下用户身份,但是真正的授权还是要这篇文章来讲解的!废话不多说,进入正题吧! 这张图是贯穿整个SpringSecurity的核心流程的,但是观看图可能理解是有点抽象,这篇文章就来详细解释这张流程图! 理论铺垫 SpringSecurity真正判断请求能否通过是在FilterSecurit
Spring Security 认证执行流程(基于源码进行分析)
wangshihua9264的博客
10-22 245
## Spring Security 认证执行流程 当浏览器发送登录请求时,会被FilterChainProxy拦截,他会将请求发送到SecurityContextPersistenceFilter,这个filter会从SecurityContextRepository中获取SecurityContext对象,然后将SecurityContext对象设置给SecurityContextHolder中 此时SecurityContextPersistenceFilter告一段落,然后FilterC...
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证
「技术原理」Spring Security的核心功能和加载运行流程的原理分析
weixin_64314555的博客
12-27 1231
SpringSecurity的架构总览 Spring Security的简介说明 Spring Security对认证、授权和常见漏洞保护提供了全方位支持。使用的版本为:Spring Security 5.5.2。 概念释义 认证(Authentication):认证就是对试图访问资源的用户进行验证。 认证的场景就是 登录 流程,常见的方式就是要求提供用户名和密码,当验证通过的时候,就可以执行授权操作。 授权(Authority):授权就是对资源进行权限设置,只有用户具...
SpringSecurity详细执行流程
qq_52066082的博客
01-22 2132
SpringSecurity执行流程超详细讲解,SpringSecurity两大功能认证、授权。
spring security执行流程
m0_38105216的博客
01-25 4551
启动的时候把userRespository注入进来 执行流程 首先我们配置SecurityConfiguration它继承WebSecurityConfiguraterAdpter 并且实现 configure是释放静态资源 还实现了configure(HttpSecurity http)主要是对于url请求资源的拦截处理 主要是通过UsernamePasswordAuthe...
Spring Security详解
最新发布
coderrrrrr的博客
05-06 1968
Spring Security 是 Spring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户。​ 授权:经过认证后判断当前用户是否有权限进行某个操作。
SpringSecurity(1)---认证+授权代码实现
weixin_44096353的博客
08-08 1128
安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 市面上存在比
SpringBoot - SpringSecurity结合JWT的身份验证及动态权限解决方案
江南烟雨却痴缠丶
03-28 2529
花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo,并按照自己的想法完成了动态权限问题。在写这个Demo之初,使用的是SpringSecurity自带的注解权限,但是这样权限就显得不太灵活,在实现之后,感觉也挺复杂的,欢迎大家给出建议。Demo下载地址,见文末。 JWT是什么可以参考我另一篇博文:浅谈JWT身份认证及其优缺点 认证流程及授权流程 我画了个建议的认证授权流程图,后面会结合代码进行解释整个流程。 一、登录认证阶段 实现SpringSecurity的UsernameP
Spring Security执行流程剖析
Object的博客
01-18 269
SpringSecurity执行流程剖析 转载:https://www.cnblogs.com/xifengxiaoma/p/10020960.html 转载理由:看下执行流程,加深理解
SpringSecurity执行流程超详细讲解
qq_41473691的博客
09-18 5649
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
Spring Security用户认证流程源码详解
不清不慎的博客
04-21 1万+
上篇文章讲解了Spring Security的基本原理以及如何自定义用户认证逻辑,这篇文章将在上篇的基础上解读Spring Security的源码更清楚的了解它的认证逻辑流程。 本篇文章主要围绕下面几个问题来深入源码: 用户认证流程 认证结果如何在多个请求之间共享 获取认证用户信息 一、用户认证流程 上节中提到Spring Security核心就是一系列的过滤器链,当一个请求来的时...
Spring Security运行流程原理分析
Demon_HL的博客
02-14 839
Spring Security流程 说白了,它就是一堆的拦截器。下面叙述以下其认证流程。 AbstractAuthenticationProcessingFilter 先看 AbstractAuthenticationProcessingFilter,其是UsernamePasswordAuthenticationFilter的父类。 在其Filter中调用了其子类的验证方法。 //核心方法 private void doFilter(HttpServletRequest request, HttpSe
Spring-Security 运行流程
m0_53950051的博客
05-27 262
完成登录需要的步骤 我们项目登录功能最终一定是按照数据库中存在的用户名和密码来执行,那么我们就需要提供一系列数据中可能涉及的数据访问代码。 1. 提供两个方法 ① .根据用户名获取用户对象 ② .根据用户id获得这个用户的所有权限 将两个方法写在UserMapper中 代码如下 package cn.tedu.straw.portal.mapper; import cn.tedu.straw.portal.model.Permission; import cn.tedu.straw.portal.mo.
SpringSecurity执行流程分析与使用
weixin_54345825的博客
11-28 1667
SpringSecurity核心过滤器之UsernamePasswordFilter执行流程源码分析以及boot项目集成自定义springsecurity框架。
Spring Security执行原理流程
热门推荐
我神级欧文的博客
06-18 2万+
1.基本配置使用 (1)创建配置类 创建一个配置类SecurityConfig继承自WebSecurityConfigurerAdapter,重写里面的configure(HttpSecurity http)这个方法,配置好需要认证的登录url,以及提交表单的url,这里除了登录url不需要认证之外,其他的url都需要认证才能访问,并且formLogin表名这是一个表单提交,loginproc...
spring security执行原理流程
伍婷的专栏
03-24 1432
1.基本配置使用1)创建配置类创建一个配置类SecurityConfig继承自WebSecurityConfigurerAdapter,重写里面的configure(HttpSecurit...
springsecurity工作流程
qq_39321234的博客
04-27 2132
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值