Spring Security小教程 Vol 4. 使用用户名和密码验证身份-UsernamePasswordAuthenticationFilter...

最新推荐文章于 2025-06-29 08:52:30 发布
转载 最新推荐文章于 2025-06-29 08:52:30 发布 · 5k 阅读 · 13 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5c98e11cf265da61136046b5
文章标签:

#java #测试 #数据库

本文解析了Spring Security中UsernamePasswordAuthenticationFilter的工作原理,包括如何通过HTTP请求获取用户名与密码,封装成UsernamePasswordAuthenticationToken并传递给核心组件进行身份验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

上一期我们分享了Spring Security是如何通过AbstractAuthenticationProcessingFilter向Web应用向基于HTTP、浏览器的请求提供身份验证服务的。 这一次我们针对最常用,也是Spring Security默认在HTTP上使用的验证过滤器UsernamePasswordAuthenticationFilter即基于用户名和密码的身份验证过滤器是如何与核心进行交互进行展开说明。目的是希望让大家对如何在Spring Security的核心上完成一个指定的身份验证协议的扩展工作,已经涉及相关主要组件及其角色职责有个初步的了解。 这一期的内容如果有了前几期对身份验证核心的背景,相对来说比较的简单,因为整个流程就是在原有的基础上更加具体化了场景:身份验证的数据来源是用户提交的请求,验证的凭证是用户名和密码。由于这样的原因,这一期更像是对前几期的一个综合性的应用总结。

第四期 UsernamePasswordAuthenticationFilter

本期的任务清单

  1. Spring Security向Web应用提供支持的相关组件
  2. 了解UsernamePasswordAuthenticationFilter的职责和实现
  3. 了解UsernamePasswordAuthenticationToken封装的身份验证信息

一. UsernamePasswordAuthenticationFilter

1.1 角色与职责

UsernamePasswordAuthenticationFilterAbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器。 在一开始我们先通过下面的配图来回忆一下我们的老朋友AbstractAuthenticationProcessingFilter的在框架中的角色与职责。

AbstractAuthenticationProcessingFilter在整个身份验证的流程中主要处理的工作就是所有与Web资源相关的事情,并且将其封装成Authentication对象,最后调用AuthenticationManager的验证方法。以UsernamePasswordAuthenticationFilter的工作大致也是如此,只不过在这个场景下更加明确了Authentication对象的封装数据的来源和形式:使用用户名和密码。

1.2 属性与方法

接着我们再UsernamePasswordAuthenticationFilter的属性和方法做一个快速的了解。 UsernamePasswordAuthenticationFilter继承扩展了AbstractAuthenticationProcessingFilter,相对与AbstractAuthenticationProcessingFilter而言主要有以下几个改动:

  1. 属性中增加了username和password字段;
  2. 强制的只对POST请求应用;
  3. 重写了attemptAuthentication身份验证入口方法。

关于增加username和password的动机十分容易明白,在从请求中获取表单提交的用户名和密码字段便会赋值到这两个属性中。 而重写attemptAuthentication的方法主要是完了构建一个UsernamePasswordAuthenticationToken对象并且将其传递给AuthenticationMananger进行身份验证。

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
		username, password);

// Allow subclasses to set the "details" property
setDetails(request, authRequest);

return this.getAuthenticationManager().authenticate(authRequest);
复制代码

二. UsernamePasswordAuthenticationToken

2.1. 封装验证请求数据的载体

UsernamePasswordAuthenticationToken是整个身份验证流程封装了身份验证请求数据中的数据对象。 在UsernamePasswordAuthenticationFilter的属性声明中额外增加了username和password的动机很容易明白,即需要从HttpRequest中获取对应的参数字段,并将其封装进Authentication中传递给AuthenticationManager进行身份验证这里让我们回顾下Authentication到底是什么?Authentication是一个接口声明,一个特定行为的声明,它并不是一个类,没有办法实例化为对象进行传递。所以我们首先需要对Authentication进行实现,使其可以被实例化。

UsernamePasswordAuthenticationFilter的身份验证设计里,我们需要验证协议用简单的语言可以描述为:给我一组用户名和密码,如果匹配,那么就算验证成功。用户名即是一个唯一可以标识不同用户的字段,而密码则是检验当前的身份验证是否正确的凭证信息。在Spring Security中便将使用username和password封装成Authentication的实现声明为了UsernamePasswordAuthenticationToken

2.2. 封装用户名和密码

UsernamePasswordAuthenticationToken继承了AbstractAuthenticationToken抽象类,其主要与AbstractAuthenticationToken的区分就是针对使用用户名和密码验证的请求按照约定进行了一定的封装:将username赋值到了principal ,而将password赋值到了credentials。

public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
		Collection<? extends GrantedAuthority> authorities) {
	super(authorities);
	this.principal = principal;
	this.credentials = credentials;
	super.setAuthenticated(true); // must use super, as we override
}
复制代码

通过UsernamePasswordAuthenticationToken实例化了Authentication接口,继而按照流程,将其传递给AuthenticationMananger调用身份验证核心完成相关工作。

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
		username, password);

// Allow subclasses to set the "details" property
setDetails(request, authRequest);

return this.getAuthenticationManager().authenticate(authRequest);
复制代码

以上将来自HTTP请求中的参数按照预先约定放入赋值给Authentication指定属性,便是UsernamePasswordAuthenticationFilter部分最主要的改动。

三. 验证核心的工作者:AuthenticationProvider

Web层的工作已经完成了,Authentication接口的实现类UsernamePasswordAuthenticationToken通过AuthenticationMananger提供的验证方法作为参数被传递到了身份验证的核心组件中。 我们曾多次强调过一个设计概念:AuthenticationManager接口设计上并不是用于完成特定的身份验证工作的,而是调用其所配发的AuthenticationProvider接口去实现的。 那么这里就有一个疑问,针对接口声明参数声明的Authentication,针对不同验证协议的AuthenticationProvider的实现类们是完成对应的工作的,并且AuthenticationManager是如何知道应该使用哪一个AuthenticationProvider才能完成对应协议的验证工作? 那么我们首先先复习下验证核心的大明星AuthenticationProvider接口的声明:

AuthenticationProvider只包含两个方法声明:

一个是用于验证身份请求AuthenticationToken的authenticate方法:

Authentication authenticate(Authentication authentication)
	throws AuthenticationException;
复制代码

另外一个便是让AuthenticationManager可以通过调用该方法辨别当前AuthenticationProvider是否是完成相应验证工作的supports方法:

 boolean supports(Class<?> authentication);
复制代码

对于AuthenticationProvider整个体系能说的非常多,本期只对我们“需要了解”的AuthenticationProvider中两个接口声明的方法做个最简单的说明。其他部分在以后单独对AuthenticationProvider体系介绍的时候再进一步展开。

3.1 第一个方法- supports

在Spring Security中唯一AuthenticationManager的实现类ProviderManager,在处理authenticate身份验证入口方法的时,首先第一解决的问题便是:我手下哪个AuthenticationProvider能验证当前传入的Authentication?为此ProviderManager便会对其所有的AuthenticationProvider做supports方法检测,直到有AuthenticationProvider能在supports方法被调用后返回true。

我们了解了框架上的设计逻辑:先要知道知道谁能处理当前的身份验证信息请求再要求它进行验证工作。 回到我们的场景上来:UsernamePasswordAuthenticationFilter已经封装好了一个UsernamePasswordAuthenticationToken,并将它传递给了ProviderMananger。随后ProviderMananger便会一次轮训它管理的所有AuthenticationProvider,询问是否有谁能支持这个Authentication的实现类。此时ProviderMananger所处的情况大概就跟下图一般困惑:

在ProviderMananger的视角里,所有的Authentication实现类都不具名,它不仅不能通过自身完成验证工作也不能独立完成判断是否支持的工作,而是统统交给AuthenticationProvider去完成。而不同的AuthenticationProvider开发初衷本就是为了支持指定的某种验证协议,所以在特定的AuthenticationProvider的视角中,他只关心当前Authentication是不是他预先设计处理的类型即可。 在使用用户名和密码的验证场景中,验证使用的用户名和密码被封装成了UsernamePasswordAuthenticationToken对象。Spring Security便为了向UsernamePasswordAuthenticationToken对象在核心层提供相关的验证服务便继承AuthenticationProvider开发了使用用户名和密码与UserDetailsService交互并且验证密码的DaoAuthenticationProviderDaoAuthenticationProvider是AbstractUserDetailsAuthenticationProvider的实现类,DaoAuthenticationProvider针对UsernamePasswordAuthenticationToken的大部分逻辑都是通过AbstractUserDetailsAuthenticationProvider完成的。比如针对ProviderManager询问是否支持当前Authentication的supports方法:

	public boolean supports(Class<?> authentication) {
		return (UsernamePasswordAuthenticationToken.class
				.isAssignableFrom(authentication));
	}

复制代码

可能有些同学对isAssignableFrom方法比较陌生,这是一个判断两个类之间是否存在继承关系使用的判断方法,DaoAuthenticationProvider会判断当前的Authentication的实现类是否是UsernamePasswordAuthenticationToken它本身,或者是扩展了UsernamePasswordAuthenticationToken的子孙类。返回true的场景只有一种,便是当前的Authentication是UsernamePasswordAuthenticationToken实现,换言之便是DaoAuthenticationProvider设计上需要进行处理的某种特定的验证协议的信息载体的实现。

3.2 第二个方法- authenticate

完成了是否支持的supports验证后,ProviderMananger便会全权将验证工作交由DaoAuthenticationProvider进行处理了。与ProviderMananger最不同一点是,在DaoAuthenticationProvider的视角里,当前的Authentication最起码一定是UsernamePasswordAuthenticationToken的形式了,不用和ProviderMananger一样因为匮乏信息而不知道干什么。 在DaoAuthenticationProvider分别会按照预先设计一样分别从principal和credentials获取用户名和密码进行验证。

String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

String presentedPassword = authentication.getCredentials().toString();
复制代码

接着便是按照我们熟悉的预先设计流程,通过UserDetailsService使用username获取对应的UserDetails,最后通过对比密码是否一致,向PrivoderManager返回最终的身份验证结果与身份信息。这样一个特定场景使用用户名和密码的验证流程就完成了。

小结

我们先来总结下,当前出现过的针对用户名和密码扩展过的类与其为何被扩展的原因。

  1. UsernamePasswordAuthenticationFilter扩展AbstractAuthenticationProcessingFilter,因为需要从HTTP请求中从指定名称的参数获取用户名和密码,并且传递给验证核心;
  2. UsernamePasswordAuthenticationToken扩展Authentication,因为我们设计了一套约定将用户名和密码放入了指定的属性中以便核心读取使用;
  3. DaoAuthenticationProvider 扩展AuthenticationProvider,因为我们需要在核心中对UsernamePasswordAuthenticationToken进行处理,并按照约定读出用户名和密码使其可以进行身份验证操作。

结尾

本章的重点是介绍特定场景下框架是如何通过扩展指定组件来完成预设验证逻辑的交互过程。其实整个验证工作核心部分是在DaoAuthenticationProvider中进行完成的,但是这部分内容涉及到具体的验证协议的实现逻辑非常复杂,本期就暂时略过,在一下期中我们将对验证核心最重要的组件AuthenticationProvider其依赖的组件和对应职责做一个全面的讲解。 我们下期再见。

转载于:https://juejin.im/post/5c98e11cf265da61136046b5

UsernamePasswordAuthenticationFilter 认证源码分析
weixin_46135502的博客
03-20 549
一、认证流程图 总结 提示:这里对文章进行总结: 例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数方法。
spring-security(二十一)核心Filter-UsernamePasswordAuthenticationFilter
高枫的博客
03-04 701
一、UsernamePasswordAuthenticationFilter功能属性 到目前为止,我们已经探讨了三个主要的filter,当采用默认配置时spring security会自动给我们追加这三个filter,现在我们的filter中还差一个处理用户认证的filter,下面我们就主要讨论下最常用的认证filter-UsernamePasswordAuthenticationFilter...
UsernamePasswordAuthenticationFilter
xiaomin1991222的专栏
04-18 294
springSecurity的登录验证是由org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter这个过滤器来完成的,在该类的父类AbstractAuthenticationProcessingFilter中有一个AuthenticationManager接口属性,验证工作主如果经由...
Spring Security 6 UsernamePasswordAuthenticationFilter 详解
最新发布
csdn_tom_168的博客
06-29 700
Spring Security 6中的UsernamePasswordAuthenticationFilter是处理表单登录的核心过滤器,主要功能包括拦截登录请求、执行认证流程管理安全上下文。该过滤器默认拦截POST方式的/login请求,提取用户名密码后创建未认证Token,委托AuthenticationManager完成认证。认证成功后会将Authentication存入SecurityContextHolder,失败则清除上下文。开发者可通过配置自定义登录页URL、字段名等参数,也可通过继承该过滤
Spring Security Web 5.1.2 源码解析 -- UsernamePasswordAuthenticationFilter
Details Inside Spring
12-02 1955
概述 源代码解析 package org.springframework.security.web.authentication; import org.springframework.security.authentication.AuthenticationServiceException; import org.springframework.security.authentication...
Spring Security教程 Vol 4. 使用用户名密码验证身份-UsernamePasswordAuthenticationFilter
03-11 1334
https://www.jianshu.com/p/e98cdf23b991 前言 上一期我们分享了Spring Security是如何通过AbstractAuthenticationProcessingFilter向Web应用向基于HTTP、浏览器的请求提供身份验证服务的。 这一次我们针对最常用,也是Spring Security默认在HTTP上使用的验证过滤器转存失败重新上传取消即基于用户...
SpringSecurity系列——用户名密码登录day3-1(源于官网5.7.2版本)
qq_51553982的博客
07-20 1178
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档//...}...
SpringSecurity6.x使用教程
wsb_2526的博客
07-06 2056
SpringSecurity目前支持的版本如下图所示,可以看到5.x的版本过几年就不会再维护了,6.x将成为主流。
01_Spring Security基本使用配置.rar
10-07
2. Spring Security的过滤器链处理请求,UsernamePasswordAuthenticationFilter捕获登录请求并验证用户名密码。 3. 如果验证成功,Spring Security创建一个Authentication对象,并将其存储在Security Context中。 ...
十九、商城 - 运营商登录-Spring Security(7)5.youlexuan.zip
02-15
例如,`UsernamePasswordAuthenticationFilter`用于处理登录请求,从请求中提取用户名密码,然后提交给Authentication Manager进行验证。如果验证成功,将会创建一个Authentication对象并存储在Security Context中...
SpringSecurity过滤器UsernamePasswordAuthenticationFilter
clyu的博客
01-01 5936
简介 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名密码进行身份认证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST请求。当我们登录的时候,也就是匹配到loginProcessingUrl,这个过滤器就会委托认证管理器authenticationManager来验证登录 登陆流程入口是Abstrac
SpringSecurity系列 - 10 传统Web项目表单认证: UsernamePasswordAuthenticationFilter 过滤器
你今天真好看呀
09-15 819
多个AuthenticationProvider将组成⼀个列表,这个列表将由ProviderManager 代理。在 Spring Seourity 中,允许系统同时⽀持多种不同的认证⽅式,例如同时⽀持⽤户名/密码认证、 ReremberMe 认证、⼿机号码动态认证等,⽽不同的认证⽅式对应了不同的 AuthenticationProvider,所以⼀个完整的认证流程可能由多个AuthenticationProvider 来提供。首先判断登录页面中配置的。② 登录页面的控制器。
UsernamePasswordAuthenticationFilter详解
小汤圆
08-11 5400
表单认证是最常用的一个认证方式,一个最直观的业务场景便是允许用户在表单中输入用户名密码进行登录,而这背后的UsernamePasswordAuthenticationFilter,在整个Spring Security的认证体系中则扮演着至关重要的角色。 源码分析 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication public Authenti
拦截器之UsernamePasswordAuthenticationFilter
libo_hh的博客
01-21 908
UsernamePasswordAuthenticationFilter是登录时验证账号密码的拦截器,接下来通过源码分析下认证流程 1.doFilter UsernamePasswordAuthenticationFilter中并没有doFilter方法,而是在他的父类AbstractAuthenticationProcessingFilter中 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
UsernamePasswordAuthenticationFilter学习之基础
热门推荐
yecong111的专栏
11-28 2万+
UsernamePasswordAuthenticationFilter是登陆用户密码验证过滤器,它继承了AbstractAuthenticationProcessingFilter过滤器(真正的Filter),是spring security3的第4个过滤器。 UsernamePasswordAuthenticationFilter由于3个表单参数,是我们需要知道的 1、username
SpringSecurity源码之UsernamePasswordAuthenticationFilter
吃糖不加牛奶的博客
05-05 673
SpringSecurity源码之UsernamePasswordAuthenticationFilter 一、是什么 认证操作全靠这个过滤器,默认匹配URL为/login且必须为POST请求。 它的作用是拦截登录请求并获取账号密码,然后把账号密码封装到认证凭据UsernamePasswordAuthenticationToken中,然后把凭据交给特定配置的AuthenticationManager去作认证。 二、源码 public class UsernamePasswordAuthentication
Spring Security 3.x 入门教程及源代码下载
Spring Security 是一个功能强大且可高度定制的身份验证访问控制框架,它是针对Spring项目的安全需求提供支持的安全框架。它主要用于为Java应用程序提供安全性的解决方案,特别适用于使用Spring框架开发的Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值