2. 程式人生 > >spring-security認證過程的分析及自定義登入

spring-security認證過程的分析及自定義登入

阿新 發佈:2019-02-20

首先spring-security配置認證過濾器,它是spring-security處理業務的入口。使用者如果不重寫過濾器,使用預設的過濾器UsernamePasswordAuthenticationFilter。它繼承了抽象類AbstractAuthenticationProcessingFilter,該類注入了authenticationManager屬性,配置security的認證管理器。

<beans:bean id="myLoginFilter" class="com.yinhai.modules.security.spring.app.filter.Ta3AuthenticationFilter"
 
>  
        <!--認證管理器-->
    <beans:property name="authenticationManager" ref="myAuthenticationManager" />  
    <!-- 驗證成功後執行擴充套件的處理 -->
    <beans:property name="authenticationSuccessHandler" ref="taOnAuthenticationSuccessHandler" />
    <!-- 驗證失敗後執行擴充套件的處理 -->
    <beans:property
 
 name="authenticationFailureHandler" ref="taAuthenticationFailureHandler" />
    <beans:property name="filterProcessesUrl" value="/j_spring_security_check" />
    <beans:property name="userBpo" ref="userBpo" />
    <beans:property name="sessionAuthenticationStrategy" ref="sas"></beans:property
 
>
</beans:bean>

過濾器UsernamePasswordAuthenticationFilter拿到使用者名稱密碼建立一個UsernamePasswordAuthenticationToken,通過認證管理器進行認證程式碼如下

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
    if (this.postOnly && !request.getMethod().equals("POST")) {
        throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
    } else {
        String username = this.obtainUsername(request);
        String password = this.obtainPassword(request);
        if (username == null) {
            username = "";
        }

        if (password == null) {
            password = "";
        }

        username = username.trim();
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
        this.setDetails(request, authRequest);
        return this.getAuthenticationManager().authenticate(authRequest);
    }
}

認證管理器配置如下

<authentication-manager alias="myAuthenticationManager">  
    <authentication-provider user-service-ref="taUserDetailsService">  
        <password-encoder ref="md5Encoder">
           <salt-source ref="saltSource"/>
            </password-encoder>  
    </authentication-provider>  
</authentication-manager>

認證管理器是通過介面AuthenticationManager處理的

public interface AuthenticationManager {
    Authentication authenticate(Authentication var1) throws AuthenticationException;
}

ProviderManager類實現了這個介面,它的認證程式碼如下

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Class<? extends Authentication> toTest = authentication.getClass();
        AuthenticationException lastException = null;
        Authentication result = null;
        boolean debug = logger.isDebugEnabled();
        Iterator var6 = this.getProviders().iterator();

        while(var6.hasNext()) {
            AuthenticationProvider provider = (AuthenticationProvider)var6.next();
            if (provider.supports(toTest)) {
                if (debug) {
                    logger.debug("Authentication attempt using " + provider.getClass().getName());
                }

                try {
                    result = provider.authenticate(authentication);
                    if (result != null) {
                        this.copyDetails(authentication, result);
                        break;
                    }
                } catch (AccountStatusException var11) {
                    this.prepareException(var11, authentication);
                    throw var11;
                } catch (InternalAuthenticationServiceException var12) {
                    this.prepareException(var12, authentication);
                    throw var12;
                } catch (AuthenticationException var13) {
                    lastException = var13;
                }
            }
        }

        if (result == null && this.parent != null) {
            try {
                result = this.parent.authenticate(authentication);
            } catch (ProviderNotFoundException var9) {
                ;
            } catch (AuthenticationException var10) {
                lastException = var10;
            }
        }

        if (result != null) {
            if (this.eraseCredentialsAfterAuthentication && result instanceof CredentialsContainer) {
                ((CredentialsContainer)result).eraseCredentials();
            }

            this.eventPublisher.publishAuthenticationSuccess(result);
            return result;
        } else {
            if (lastException == null) {
                lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound", new Object[]{toTest.getName()}, "No AuthenticationProvider found for {0}"));
            }

            this.prepareException((AuthenticationException)lastException, authentication);
            throw lastException;
        }
    }
AuthenticationProvider provider = (AuthenticationProvider)var6.next();
result = provider.authenticate(authentication);

看以上程式碼,認證過程繼續呼叫AuthenticationProvider,它是一個介面,呼叫抽象類AbstractUserDetailsAuthenticationProvider進行認證。

user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

DaoAuthenticationProvider類繼承了抽象類AbstractUserDetailsAuthenticationProvider,重寫了獲取使用者的方法,通過配置中的user-service-ref,呼叫獲取UserDetails的方法。

loadedUser = this.getUserDetailsService().loadUserByUsername(username);

接下來對使用者進行驗證如果沒有配置password-encoder,預設呼叫PlaintextPasswordEncoder進行密碼的對比。否則呼叫使用者配置的密碼加密類進行密碼比對。

protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        Object salt = null;
        if (this.saltSource != null) {
            salt = this.saltSource.getSalt(userDetails);
        }

        if (authentication.getCredentials() == null) {
            this.logger.debug("Authentication failed: no credentials provided");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        } else {
            String presentedPassword = authentication.getCredentials().toString();
            if (!this.passwordEncoder.isPasswordValid(userDetails.getPassword(), presentedPassword, salt)) {
                this.logger.debug("Authentication failed: password does not match stored value");
                throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }
        }
    }

基於上述分析,現我們有如下業務需求,通過qq等第三方登入,繫結系統的賬號,通過繫結賬號直接進行security的登入,那麼我們該怎麼做呢?主要程式碼如下

String userName = request.getParameter("userName");
String pwd = request.getParameter("pwd");
userName = userName.trim();
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(userName, pwd);
Authentication authentication = authenticationManager.authenticate(authRequest); 
            //呼叫loadUserByUsername  SecurityContextHolder.getContext().setAuthentication(authentication);
HttpSession session = request.getSession();
session.setAttribute("SPRING_SECURITY_CONTEXT", SecurityContextHolder.getContext());// 這個非常重要,否則驗證後將無法登陸

通過繫結使用者查詢資料庫,獲取使用者密碼,手動建立一個UsernamePasswordAuthenticationToken,呼叫配置的認證管理器,返回一個認證令牌,註冊到security容器中。即可。

這裡有一個問題,如果user-service-ref配置了密碼加密方式,那麼資料庫中存入的使用者密碼為加密後的密碼,呼叫認證管理器會把資料庫查詢的密碼再使用加密方式加密一次,這樣密碼比對就會失敗。

解決這個問題,重寫認證管理器。

public Authentication authenticate(Authentication auth)

                throws AuthenticationException {

            String username = auth.getName();
            UserDetails userDetails = taUserDetailsService.loadUserByUsername(username);
            Object principal = userDetails;
            UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(principal, auth.getCredentials(), this.authoritiesMapper.mapAuthorities(userDetails.getAuthorities()));
            result.setDetails(auth.getDetails());
            return result;
        }
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(loginId, password);
        Authentication authentication = simpleAuthenticationManager.authenticate(authRequest);
        SecurityContextHolder.getContext().setAuthentication(authentication);

這樣,就不會使用配置的認證管理器,進行加密驗證了。

相關推薦

spring-security認證過程分析定義登入

首先spring-security配置認證過濾器,它是spring-security處理業務的入口。使用者如果不重寫過濾器,使用預設的過濾器UsernamePasswordAuthenticationFilter。它繼承了抽象類AbstractAuthentic

Spring Security驗證流程剖析定義驗證方法

com UNC title 具體實現 hold any pan imp uil Spring Security本質上是一連串的Filter, 然後又以一個獨立的Filter的形式插入到Filter Chain裏,其名為FilterChainProxy。 如圖所示。 實

Spring Security教程(10)---- 定義登入成功後的處理程式修改預設驗證地址

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Spring Security教程(3)---- 定義登入頁面

在專案中我們肯定不能使用Spring自己生成的登入頁面,而要用我們自己的登入頁面,下面講一下如何自定義登入頁面,先看下配置 <sec:http auto-config="true"> <sec:intercept-url pattern="/

java 註解分析定義註解

var AC IE 原始類型 length JD email 文檔 生成 註解概念:   java提供了一種原程序中的元素關聯任何信息和任何元數據的途徑與方法。 註解分類: 運行機制分類:源碼註解,編譯時註解,運行時註解。  來源分類:JDK的註解,第三方註解,自

Spring Security 認證過程

3.1 username 但是 用戶 請求 應用 並且 其它 exce 目錄 1.1 認證過程 1.2 Web應用的認證過程 1.2.1 ExceptionTranslationFilter 1.2.2 在request之間共享Sec

spring boot 全域性異常處理定義異常類

全域性異常處理:定義一個處理類,使用@ControllerAdvice註解。@ControllerAdvice註解:控制器增強,一個被@Component註冊的元件。配合@ExceptionHandler來增強所有的@requestMapping方法。例如:@Exceptio

Android ProgressBar分析定義ProgressBar

轉:http://www.cnblogs.com/glimpse/p/5273046.html rogressBar是在執行耗時操作時的一種人性化設計。分為兩種形式:轉圈的,能顯示進度的。 而能取決於是什麼樣式的PregressBar,當然就是PregressBar的

http digest認證過程分析例子

驗證過程:            步驟一、客戶端向伺服器申請資料                         ****************************Request******************************GET /auth HTTP/

Spring Securty 應用(2)-- 定義登入介面

實現功能: 使用自定義的登入介面替換Spring Security預設的登入介面 配置參考 Spring Securty 應用(1)– 基於記憶體的認證 spring-security.xml 的配置 <http security="non

spring security 5.x 使用分析(二:定義配置—初階)

二、自定義配置(初階): 自定義的配置,就要修改一些預設配置的資訊,從那開始入手呢? 1、第一步:建立Spring Security 的Java配置,改配置建立一個名為springSecurityFilterChain的servlet過濾器,它負責應用程式的安

spring實戰-Spring-security定義登入登出、防csrf攻擊檢視保護

第十篇:Spring-security自定義登入登出、防csrf攻擊及檢視保護 這是Spring及SpringMVC的最後一篇,本次主要演示SpringSecurity更使用的示例,如自定義的登入頁面,系統登出,防止CSRF跨站攻擊,以及檢視保護檢視保護可以定義到按鈕級別的許可權 先看自

spring-security 個性化使用者認證流程——定義登入頁面(可配置)

1.定義自己的登入頁面我們需要根據自己的業務系統構建自己的登入頁面以及登入成功、失敗處理在spring security提供給我的登入頁面中,只有使用者名稱、密碼框,而自帶的登入成功頁面是空白頁面(可以重定向之前請求的路徑中),而登入失敗時也只是提示使用者被鎖定、過期等資訊。 在實際的開發中,則需要更

(一)、spring boot security 認證--定義登入實現

簡介 spring security主要分為兩部分,認證(authentication)和授權(authority)。 這一篇主要是認證部分,它由 ProviderManager(AuthenticationManager)實現。具體層次結構如下:

[Spring Security] 表單登入通過配置定義登入頁面,以及定義認證成功/失敗處理機制

1.目錄結構2.配置自定義登入頁通過配置SecurityProperties,MyProperties,SecurityCoreConfig來讀取resources資料夾下application.properties中相關配置項。SecurityProperties:pack

Spring Security 定義登入認證(二)

一、前言 本篇文章將講述Spring Security自定義登入認證校驗使用者名稱、密碼,自定義密碼加密方式,以及在前後端分離的情況下認證失敗或成功處理返回json格式資料 溫馨小提示:Spring Security中有預設的密碼加密方式以及登入使用者認證校驗,但小編這裡選擇自定義是為了方便以後業務擴充套件,

idea+maven + spring security +springmvc入門 (定義登入頁面),附idea如何建立web專案

第一次使用idea,上午在eclipse中 學習了spring security 入門,下午試試在idea中搭建。 剛開始 我以為 直接將eclipse的 檔案 copy過來就行了,結果發現copy過來以後 各種報錯。 後來把m

Spring Boot-錯誤處理定義全域性異常處理機制

正常的Web應用開發時,需要考慮到應用執行發生異常時或出現錯誤時如何來被處理,例如捕獲必要的異常資訊,記錄日誌方便日後排錯,友好的使用者響應輸出等等。 當然應用發生錯誤,有可能是應用自身的問題,也有可能是客戶端操作的問題。 Spring Boot預設提供了一種錯誤處理機制。 預設錯誤處理機制

Spring Security教程(四):定義登入

在前面的例子中,登陸頁面都是用的Spring Security自己提供的,這明顯不符合實際開發場景,同時也沒有退出和登出按鈕,因此在每次測試的時候都要通過關閉瀏覽器來登出達到清除session的效果。 一、自定義頁面 login.jsp: <%@ page language="

spring security 5.x 入門分析

Java Web專案的許可權管理框架,目前有兩個比較成熟且使用較多的框架,Shiro 和 Spring Security ,Shiro 比 Spring Security更加輕量級,但是需要手動配置的東西較多,Spring Security 和 Spring 整合更好,甚至直