Spring Security账户与密码验证实现过程
作者:T.Y.Bao 发布时间:2023-03-04 21:54:37
这里使用Spring Boot 2.7.4版本,对应Spring Security 5.7.3版本
本文样例代码地址: spring-security-oauth2.0-sample
关于Username/Password认证的基本流程和基本方法参见官网 Username/Password Authentication
Introduction
Username/Password认证主要就是Spring Security 在 HttpServletRequest中读取用户登录提交的信息的认证机制。
Spring Security提供了登录页面,是前后端不分离的形式,前后端分离时的配置需另加配置。本文基于前后端分离模式来叙述。
基本流程如下:
Username/Password认证可分为两部分:
从HttpServletRequest中获取用户登录信息
从密码存储处获取密码并比较
关于获取获取用户登录信息,Spring Security支持三种方式(基本用的都是Form表单提交,即POST方式提交):
Form
Basic
Digest
关于密码的获取和比对,关注下面几个类和接口:
UsernamePasswordAuthenticationFilter
: 过滤器,父类AbstractAuthenticationProcessingFilter
中组合了AuthenticationManager
,AuthenticationManager
的默认实现ProviderManager
中又组合了多个AuthenticationProvider
,该接口实现类,有一个DaoAuthenticationProvider
负责获取用户密码以及权限信息,DaoAuthenticationProvider
又把责任推卸给了UserDetailService
。PasswordEncoder
: 密码加密方式UserDetails
: 代表用户,包括 用户名、密码、权限等信息UserDetailsService
: 最终实际调用获取UserDetails
的接口,通常用户实现。
整个流程的UML图如下:
前后端分离模式下配置
先来看对SecurityFilterChain的配置:
@Configuration
@EnableMethodSecurity()
@RequiredArgsConstructor
public class SecurityConfig {
// 自定义成功处理,主要存储登录信息并返回jwt
private final LoginSuccessHandler loginSuccessHandler;
// 自定义失败处理,返回json格式而非默认的html
private final LoginFailureHandler loginFailureHandler;
private final CustomSessionAuthenticationStrategy customSessionAuthenticationStrategy;
...
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
// 设置登录成功后session处理, 认证成功后
// SessionAuthenticationStrategy的最早执行,详见AbstractAuthenticationProcessingFilter
// 执行顺序:
// 1. SessionAuthenticationStrategy#onAuthentication
// 2. SecurityContextHolder#setContext
// 3. SecurityContextRepository#saveContext
// 4. RememberMeServices#loginSuccess
// 5. ApplicationEventPublisher#publishEvent
// 6. AuthenticationSuccessHandler#onAuthenticationSuccess
http.sessionManagement().sessionAuthenticationStrategy(customSessionAuthenticationStrategy);
...
// 前后端不分离,可指定html返回。该项未测试
// http.formLogin().loginPage("login").loginProcessingUrl("/hello/login");
// 前后端分离下username/password登录
http.formLogin()
.usernameParameter("userId")
.passwordParameter("password")
// 前端登陆页面对这个url提交username/password即可
// 必须为Post请求,且Body格式为x-www-form-urlencoded,如果要接受application/json格式,需另加配置
.loginProcessingUrl("/hello/login")
.successHandler(loginSuccessHandler)
.failureHandler(loginFailureHandler);
// .securityContextRepository(...) // pass
...
return http.build();
}
...
}
使用Postman测试:
登录成功登陆失败
AbstractAuthenticationProcessingFilter
该类是UsernamePasswordAuthenticationFilter
和OAuth2LoginAuthenticationFilter
的父类,使用模板模式构建。
UsernamePasswordAuthenticationFilter
只负责从HttpServletRequest
中获取用户提交的用户名密码,而真正去认证、事件发布、SessionAuthenticationStrategy、AuthenticationSuccessHandler、AuthenticationFailureHandler、SecurityContextRepository、RememberMeServices这些内容均组合在AbstractAuthenticationProcessingFilter
中。
public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
implements ApplicationEventPublisherAware, MessageSourceAware {
...
// 委托给子类ProviderManager执行认证,最终由DaoAuthenticationProvider认证
// DaoAuthenticationProvider中会调用UserDetailsService#loadUserByUsername(username)接口方法
// 我们只需实现该UserDetailsService接口注入Bean容器即可
private AuthenticationManager authenticationManager;
private SessionAuthenticationStrategy sessionStrategy;
protected ApplicationEventPublisher eventPublisher;
private RememberMeServices rememberMeServices;
private AuthenticationSuccessHandler successHandler;
private AuthenticationFailureHandler failureHandler;
private SecurityContextRepository securityContextRepository;
...
private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
throws IOException, ServletException {
...
try {
// 模板模式,该方法子类实现
Authentication authenticationResult = attemptAuthentication(request, response);
// 1.
this.sessionStrategy.onAuthentication(authenticationResult, request, response);
// Authentication success
if (this.continueChainBeforeSuccessfulAuthentication) {
chain.doFilter(request, response);
}
// 成功后续处理
successfulAuthentication(request, response, chain, authenticationResult);
}
catch (InternalAuthenticationServiceException failed) {
// 失败后续处理
unsuccessfulAuthentication(request, response, failed);
}
catch (AuthenticationException ex) {
// Authentication failed
unsuccessfulAuthentication(request, response, ex);
}
}
// 模板模式,由UsernamePasswordAuthenticationFilter完成
public abstract Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException, IOException, ServletException;}
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
Authentication authResult) throws IOException, ServletException {
SecurityContext context = SecurityContextHolder.createEmptyContext();
context.setAuthentication(authResult);
// 2.
SecurityContextHolder.setContext(context);
// 3.
this.securityContextRepository.saveContext(context, request, response);
// 4.
this.rememberMeServices.loginSuccess(request, response, authResult);
if (this.eventPublisher != null) {
// 5.
this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
}
// 6.
this.successHandler.onAuthenticationSuccess(request, response, authResult);
}
}
UsernamePasswordAuthenticationFilter
public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException {
if (this.postOnly && !request.getMethod().equals("POST")) {
throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
}
String username = obtainUsername(request);
username = (username != null) ? username.trim() : "";
String password = obtainPassword(request);
password = (password != null) ? password : "";
UsernamePasswordAuthenticationToken authRequest = UsernamePasswordAuthenticationToken.unauthenticated(username,
password);
// Allow subclasses to set the "details" property
setDetails(request, authRequest);
// 调用父类中字段去认证,最终是 UserDetailService#loadUserByUsername(String username),该接口实现类由程序员根据业务定义。
return this.getAuthenticationManager().authenticate(authRequest);
}
// ************** 重要 **************
// 这里只能通过x-www-urlencoded方式获取,如果前端传过来application/json,是解析不到的
// 非要用application/json,建议重写UsernamePasswordAuthenticationFilter方法,但由于body中内容默认只能读一次,又要做很多其他配置,比较麻烦,建议这里x-www-urlencoded
// *********************************
@Nullable
protected String obtainUsername(HttpServletRequest request) {
return request.getParameter(this.usernameParameter);
}
@Nullable
protected String obtainPassword(HttpServletRequest request) {
return request.getParameter(this.passwordParameter);
}
}
来源:https://blog.csdn.net/weixin_41866717/article/details/128880306
猜你喜欢
- 引言♀ 小AD:明哥,昨天气死我了,明哥要帮我出气。♂ 明世隐:咋了,有谁惹到你了。♀ 小AD:昨天辅助喷我小鲁班菜,我反手就对喷,然后竟然
- #line #line 使您可以修改编译器的行号以及(可选)错误和警告的文件名输出。下面的示例说明如何报告与行号关联的两个警告。#line
- cookie和session的比较一、对于cookie:①cookie是创建于服务器端②cookie保存在浏览器端③cookie的生命周期可
- 一、why(为什么要用Hibernate缓存?)Hibernate是一个持久层框架,经常访问物理数据库。为了降低应用程序对物理数据源访问的频
- <dependency> <groupId>org.projectlombok</g
- 一、插入数据主键ID获取一般我们在做业务开发时,经常会遇到插入一条数据并使用到插入数据的ID情况。如果先插入在查询的话需要多一次sql查询,
- 本文实例讲述了Java接口的简单定义与实现方法。分享给大家供大家参考,具体如下:1、接口是Java中最终要的概念,接口可以理解为一种特殊的类
- OverView今天在复习的时候,突然复习到我们的相机操作,但是对于相机操作,对于我来说比较复杂的是对于权限的操作。所有我们需要对我们的相机
- 背景朋友想从XX超市app购买一些物美价廉的东西,但是因为人多货少经常都是缺货的状态,订阅了到货通知也没什么效果,每次收到短信通知进入app
- 一、前言二、案例需求1.编写login.html登录页面,username&password两个输入框2.使用Druid数据库连接池
- 本文介绍了spring整合JMS实现同步收发消息(基于ActiveMQ的实现),分享给大家,具体如下:1. 安装ActiveMQ注意:JDK
- 话不多说,下面来直接看示例代码具体代码:DayOfWeek4Birthday.javapackage com.gua;import java
- 异常处理机制已经成为判断一门编程语言是否成熟的标准之一,其对代码的健壮性有很大影响。一直以来异常处理使用不是很得心应手,今天对异常进行了较为
- 最近项目中需要实现定时执行任务,比如定时计算会员的积分、调用第三方接口等,由于项目采用spring框架,所以这里结合spring框架来介绍。
- 在使用EL时,其实EL是先看标识符是否是其隐式对象之一,如果不是,才从四个域(page、request、session、applicatio
- JFinal 是基于 Java 语言的极速 WEB + ORM 框架,其核心设计目标是开发迅速、代码量少、学习简单、功能强大、轻量级、易扩展
- 首先是按行读取字符串import java.io.BufferedReader;import java.io.File;import jav
- MyBatis源码解析_获取SqlSessionFactory我们都知道,在Mybatis中,对数据库的增删改查,实际上是由SqlSessi
- 关于Android实现文字上下滚动这个功能,我目前有两种方法实现: 一个是在TextView 中加上翻转的动画效果,然后设置循环滚动;一种是
- Java反射机制在Spring IOC的应用IOC:即“控制反转”,不是什么技术,而是一种思想。使用IOC意味着将你设计好的对象交给容器控制