2. 程式人生 > >Spring Security 認證過程

Spring Security 認證過程

阿新 發佈:2018-07-07
3.1 username 但是 用戶 請求 應用 並且 其它 exce

目錄

1.1 認證過程

1.2 Web應用的認證過程

1.2.1 ExceptionTranslationFilter

1.2.2 在request之間共享SecurityContext

1.1 認證過程

1、用戶使用用戶名和密碼進行登錄。

2、Spring Security將獲取到的用戶名和密碼封裝成一個實現了Authentication接口的UsernamePasswordAuthenticationToken。

3、將上述產生的token對象傳遞給AuthenticationManager進行登錄認證。

4、AuthenticationManager認證成功後將會返回一個封裝了用戶權限等信息的Authentication對象。

5、通過調用SecurityContextHolder.getContext().setAuthentication(...)將AuthenticationManager返回的Authentication對象賦予給當前的SecurityContext。

上述介紹的就是Spring Security的認證過程。在認證成功後,用戶就可以繼續操作去訪問其它受保護的資源了,但是在訪問的時候將會使用保存在SecurityContext中的Authentication對象進行相關的權限鑒定。

1.2 Web應用的認證過程

如果用戶直接訪問登錄頁面,那麽認證過程跟上節描述的基本一致,只是在認證完成後將跳轉到指定的成功頁面,默認是應用的根路徑。如果用戶直接訪問一個受保護的資源,那麽認證過程將如下:

1、引導用戶進行登錄,通常是重定向到一個基於form表單進行登錄的頁面,具體視配置而定。

2、用戶輸入用戶名和密碼後請求認證,後臺還是會像上節描述的那樣獲取用戶名和密碼封裝成一個UsernamePasswordAuthenticationToken對象,然後把它傳遞給AuthenticationManager進行認證。

3、如果認證失敗將繼續執行步驟1,如果認證成功則會保存返回的Authentication到SecurityContext,然後默認會將用戶重定向到之前訪問的頁面。

4、用戶登錄認證成功後再次訪問之前受保護的資源時就會對用戶進行權限鑒定,如不存在對應的訪問權限,則會返回403錯誤碼。

在上述步驟中將有很多不同的類參與,但其中主要的參與者是ExceptionTranslationFilter。

1.2.1 ExceptionTranslationFilter

ExceptionTranslationFilter是用來處理來自AbstractSecurityInterceptor拋出的AuthenticationException和AccessDeniedException的。AbstractSecurityInterceptor是Spring Security用於攔截請求進行權限鑒定的,其擁有兩個具體的子類,攔截方法調用的MethodSecurityInterceptor和攔截URL請求的FilterSecurityInterceptor。當ExceptionTranslationFilter捕獲到的是AuthenticationException時將調用AuthenticationEntryPoint引導用戶進行登錄;如果捕獲的是AccessDeniedException,但是用戶還沒有通過認證,則調用AuthenticationEntryPoint引導用戶進行登錄認證,否則將返回一個表示不存在對應權限的403錯誤碼。

1.2.2 在request之間共享SecurityContext

可能你早就有這麽一個疑問了,既然SecurityContext是存放在ThreadLocal中的,而且在每次權限鑒定的時候都是從ThreadLocal中獲取SecurityContext中對應的Authentication所擁有的權限,並且不同的request是不同的線程,為什麽每次都可以從ThreadLocal中獲取到當前用戶對應的SecurityContext呢?在Web應用中這是通過SecurityContextPersistentFilter實現的,默認情況下其會在每次請求開始的時候從session中獲取SecurityContext,然後把它設置給SecurityContextHolder,在請求結束後又會將SecurityContextHolder所持有的SecurityContext保存在session中,並且清除SecurityContextHolder所持有的SecurityContext。這樣當我們第一次訪問系統的時候,SecurityContextHolder所持有的SecurityContext肯定是空的,待我們登錄成功後,SecurityContextHolder所持有的SecurityContext就不是空的了,且包含有認證成功的Authentication對象,待請求結束後我們就會將SecurityContext存在session中,等到下次請求的時候就可以從session中獲取到該SecurityContext並把它賦予給SecurityContextHolder了,由於SecurityContextHolder已經持有認證過的Authentication對象了,所以下次訪問的時候也就不再需要進行登錄認證了。

(註:本文是基於Spring Security3.1.6所寫)

Spring Security 認證過程

相關推薦

Spring Security 認證過程

3.1 username 但是 用戶 請求 應用 並且 其它 exce 目錄 1.1 認證過程 1.2 Web應用的認證過程 1.2.1 ExceptionTranslationFilter 1.2.2 在request之間共享Sec

spring-security認證過程的分析及自定義登入

首先spring-security配置認證過濾器,它是spring-security處理業務的入口。使用者如果不重寫過濾器,使用預設的過濾器UsernamePasswordAuthenticationFilter。它繼承了抽象類AbstractAuthentic

串理spring security認證流程原始碼

1.認證流程流程通過斷點除錯,可以看到在UsernamepasswordAuthenticationFilter中構造了一個UsernamePasswordAuthenticationToken物件 開啟UsernamePasswordAuthenticationToken可得知,該實現類是Authenti

串理spring security認證流程源碼

supports parent req text 否支持 分享 ntp EDA stat 1.認證流程流程通過斷點調試,可以看到在UsernamepasswordAuthenticationFilter中構造了一個UsernamePasswordAuthentication

Spring Security認證成功後回跳(解決前後端分離下OAuth2認證成功回跳)

前言 Spring Security(後面簡稱SS)用了很長時間了,但之前一直沒注意到一個有趣的特性,直到最近弄前後端分離,在OAuth2提供者(github)認證後,需要跳回前端頁面(前端頁面和服務端不在同個域下),然後突然一般情況下(同域),SS認證後會自動跳回認證前使

去除Spring Security認證:Pre-Authentication配置

Spring Security官方文件對Pre-Authentication是這樣解釋的: There are situations where you want to use Spring Security for authorization, but

學習Spring Security過程中遇到的問題彙總

首先分享兩個學習Spring security的資源:http://www.mossle.com/docs/auth/html/index.html   (寫成於2009年,較老,但是對於初學者還是很有幫助的) http://www.iteye.com/blogs/subj

Spring security認證與授權(一)

安全一直是 Web 應用開發中非常重要的一個方面。從安全的角度來說,需要考慮使用者認證和授權兩個方面。為 Web 應用增加安全方面的能力並非一件簡單的事情,需要考慮不同的認證和授權機制。Spring Security 為使用 Spring 框架的 Web 應用提供了良好的支

關於spring security 認證的簡單知識整理

1.認證 幾個重要的類: UsernamePasswordAuthenticationFilter 從名字上看,就知道,這是一個驗證username 和 password的過濾器,通過 filter獲取request,從request獲取username 和

Spring Security 認證成功後跳轉錯誤碼404

描述問題 瀏覽器中輸入http://localhost:8080/test.html,認證服務跳轉到login.html,輸入正確的賬號密碼後,跳轉過去返回404。 分析問題   pom主要資訊 spring boot version 2.0.4.RELEASE

spring security認證對密碼進行MD5認證

在上一篇中寫了如何自定義資料庫使用者表結構,這裡補充一下怎麼對使用者輸入的密碼進行MD5認證,在老版本的spring security(筆者使用的是org.springframework.security:spring-security-core:5.0.0.M

Spring Security認證提供程式

1.簡介 本教程將介紹如何在Spring Security中設定身份驗證提供程式,與使用簡單UserDetailsService的標準方案相比,提供了額外的靈活性。 2. The Authentication Provider Spring Security提供了多種執行身份驗證的選項 - 所有這些都遵循簡單

使用Spring Security Oauth2完成RESTful服務password認證過程

<?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"       xmlns:xsi="http://www.w3.org/2001/XMLSchema

Spring Boot後臺腳手架搭建 [五] Spring Security登入實現以及認證過程

Spring Security實現登入spring security的配置    SecurityConfig@Override protected void configure(HttpSecurity http) throws Exception { //跨站請求偽造禁用

Spring Security 解析(二) —— 認證過程

Spring Security 解析(二) —— 認證過程 >   在學習Spring Cloud 時,遇到了授權服務oa

【許可權管理系統】Spring security(三)---認證過程(原理解析,demo)

  在前面兩節Spring security (一)架構框架-Component、Service、Filter分析和Spring Security(二)--WebSecurityConfigurer配置以及filter順序為Spring Security認證作好了準備,可以讓我們更好的理解認證過程以及專案程式

Spring Security應用開發(04)HTTP basic認證

角色 cati onf poi font con prop ins mode Spring Security默認是使用form-login表單認證方式。 <!-- 默認使用表單認證 --> <sec:form-login /> Spring

使用Spring Security和OAuth2實現RESTful服務安全認證

schema repo gradle nbsp tps protect 一個 ndb lac 這篇教程是展示如何設置一個OAuth2服務來保護REST資源. 源代碼下載github. (https://github.com/iainporter/oauth2-provide

Spring-Security】【1】認證和授權

部分 完整 業務 代碼 參數 web 用戶訪問 設置 管理權限 【認證】 憑據為基礎的認證: 當你登錄 e-mail 賬號時,你可能提供你的用戶名和密碼。E-mail的提供商會將你的用戶名與數據中的記錄進行匹配,並驗證你提供的密碼與對應的記錄是不是匹配。這些憑證(用戶名和

spring security oauth2 jwt 認證和資源分離的配置文件(java類配置版)

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版