2. 程式人生 > >Spring Security登入驗證流程原始碼解析

Spring Security登入驗證流程原始碼解析

阿新 發佈:2019-11-18

一、登入認證基於過濾器鏈

Spring Security的登入驗證流程核心就是過濾器鏈。當一個請求到達時按照過濾器鏈的順序依次進行處理,通過所有過濾器鏈的驗證,就可以訪問API介面了。

SpringSecurity提供了多種登入認證的方式,由多種Filter過濾器來實現,比如:

  • BasicAuthenticationFilter實現的是HttpBasic模式的登入認證
  • UsernamePasswordAuthenticationFilter實現使用者名稱密碼的登入認證
  • RememberMeAuthenticationFilter實現登入認證的“記住我”的功能
  • SmsCodeAuthenticationFilter實現簡訊驗證碼登入認證
  • SocialAuthenticationFilter實現社交媒體方式登入認證的處理
  • Oauth2AuthenticationProcessingFilter和Oauth2ClientAuthenticationProcessingFilter實現Oauth2的鑑權方式

根據我們不同的需求實現及配置,不同的Filter會被載入到應用中。

二、結合原始碼講解登入驗證流程

我們就以使用者名稱、密碼登入方式為例講解一下Spring Security的登入認證流程。

2.1 UsernamePasswordAuthenticationFilter

該過濾器封裝使用者基本資訊(使用者名稱、密碼),定義登入表單資料接收相關的資訊。如:

  • 預設的表單使用者名稱密碼input框name是username、password
  • 預設的處理登入請求路徑是/login、使用POST方法


2.2 AbstractAuthenticationProcessingFilter的doFilter方法的驗證過程

UsernamePasswordAuthenticationFilter繼承自抽象類AbstractAuthenticationProcessingFilter,該抽象類定義了驗證成功與驗證失敗的處理方法。

2.3 驗證成功之後的Handler和驗證失敗之後的handler

也就是說當我們需要自定義驗證成功或失敗的處理方法時,要去實現AuthenticationSuccessHandler或AuthenticationfailureHandler介面

三、登入驗證內部細節

3.1多種認證方式的管理 ProviderManager

ProviderManager用繼承於AuthenticationManager是登入驗證的核心類。ProviderManager保管了多個AuthenticationProvider,用於不同型別的登入驗證。比如:

  • RememberMeAuthenticationProvider定義了“記住我”功能的登入驗證邏輯
  • DaoAuthenticationProvider載入資料庫使用者資訊,進行使用者密碼的登入驗證
public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
    ……
    private List<AuthenticationProvider> providers;
    ……

下文是ProviderManager的核心原始碼,遍歷不同登入驗證的AuthenticationProvider,只有當這種方式被支援的時候,才執行具體的登入驗證邏輯。

3.2 登入認證介面 AuthenticationProvider

public interface AuthenticationProvider {
    Authentication authenticate(Authentication var1) throws AuthenticationException;

    boolean supports(Class<?> var1);
}

AuthenticationProvider的實現類定義了具體的登入驗證邏輯

3.3 資料庫載入使用者資訊 DaoAuthenticationProvider

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {

從資料庫獲取使用者資訊原始碼

所以當我們需要載入使用者資訊進行登入驗證的時候,我們需要實現UserDetailsService介面,重寫loadUserByUsername方法,引數是使用者輸入的使用者名稱。返回值是UserDetails

期待您的關注

  • 博主最近新寫了一本書:《手摸手教您學習SpringBoot系列-16章97節》
  • 本文轉載註明出處(必須帶連線,不能只轉文字):字母哥部落格。

    • 相關推薦

    Spring Security登入驗證流程原始碼解析

    一、登入認證基於過濾器鏈 Spring Security的登入驗證流程核心就是過濾器鏈。當一個請求到達時按照過濾器鏈的順序依次進行處理,通過所有過濾器鏈的驗證,就可以訪問API介面了。 SpringSecurity提供了多種登入認證的方式,由多種Filter過濾器來實現,比如: BasicAuthent

    Spring載入bean定義流程原始碼解析

    在本文中,先對Spring載入和建立bean例項的流程跟著原始碼走一遍,在後續的文章中再對所涉及的類的其他方法具體介紹。 //這一步是載入指定的配置檔案 Resource resource = new ClassPathResource("bean.xm

    Spring IOC容器啟動流程原始碼解析(一)——容器概念詳解及原始碼初探

    目錄 1. 前言 1.1 IOC容器到底是什麼 IOC和AOP是Spring框架的核心功能,而IOC又是AOP實現的基礎,因而可以說IOC是整個Spring框架的基石。那麼什麼是IOC?IOC即控制反轉,通俗的說就是讓Spring框架來幫助我們完成物件的依賴管理和生命週期控制等等工作。從面向物件的角度來說,

    Spring IOC容器啟動流程原始碼解析(四)——初始化單例項bean階段

    目錄 1. 引言 2. 初始化bean的入口 3 嘗試從當前容器及其父容器的快取中獲取bean 3.1 獲取真正的beanName 3.2 嘗試從當前容器的快取中獲取bean 3.3 從父容器中查詢bean 3.4 解析bean的依賴 3.5 再一

    spring security登入驗證

    import com.qingxing.ManagerComplex.api.util.DateUtils; import com.qingxing.ManagerComplex.api.util.LogUtil; import com.qingxing.Man

    Spring boot啟動流程原始碼解析

    閱讀須知 版本:2.0.4 文章中使用/* */註釋的方法會做深入分析 正文 @SpringBootApplication public class BootApplication { public static void main(String[

    Spring Security 4.2.3 Filters 解析

    其中 validate ali 配置 生命 擁有 path str support 一、 熟悉一個模塊的最快方法 1. 配置logback文件,打印相應的debug信息 2. 根據相應的信息,打斷點查看執行結果 二、spring 使用 DelegatingFilterP

    ES查詢流程原始碼解析

      一些基礎知識 早先ES的HTTP協議支援還是依賴Jetty的,現在不管是Rest還是RPC都是直接基於Netty了。 另外值得一提的是,ES 是使用Google的Guice 進行模組管理,所以瞭解Guice的基本使用方式有助於你瞭解ES的程式碼組織。 ES 的啟動類

    Android中system server程序啟動流程原始碼解析 系統服務啟動

    system server 前言 System Server fork SystemServer SystemServer.main() SystemServer.createSystemContext SystemSe

    Spring 中 bean 註冊的原始碼解析

    前言 所謂 bean 的註冊,就是把在配置檔案中配置的 <bean> 節點載入配記憶體中,供後續使用。 bean的註冊主要分為兩個階段,一個是準備階段,就是對配置檔案進行解析,把配置檔案載入到記憶體中,以 Document 的形式存放;第二個階段是對 Document 進行操作,獲取其中的節

    後端登入驗證流程

      前端頁生成驗證碼編號,並將編號並提交到後臺去請求驗證碼圖片 後臺生成圖片驗證碼,並把驗證碼文字內容當作值,驗證碼編號當作key儲存在 redis 中 後臺把驗證碼圖片當作響應返回給前端 前端申請傳送簡訊驗證碼的時候帶上第1步驗證碼編號和使用者輸入的驗證碼內容 後臺取出驗證

    spring security登入

    form-login是spring security名稱空間配置登入相關資訊的標籤,它包含如下屬性:  1. login-page 自定義登入頁url,預設為/login  2. login-processing-url 登入請求攔截的url,也就是form表單提交時指定的act

    ssm下的spring-security登入許可權與角色記錄

    配置檔案記錄 <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:b

    Spring系列學習之Spring Security身份驗證與授權

    英文原文:https://spring.io/projects/spring-security 目錄 概述 特性 快速開始 學習 文件 指南 概述 Spring Security是一個功能強大且可高度自定義的身份驗證和訪問控制框架。 它是保護基於Spring的

    Spring cloud oauth2.0的原始碼解析與實踐Demo

    一、原始碼程式碼介紹 上一篇已經大致介紹了一下Spring cloud oauth2.0,點此檢視上一篇,現在再來大致分析一下它的原始碼結構,Spring cloud oauth2.0的程式碼結構圖如下: 可以看到Spring oauth2.0的程式碼結構分為了五層,c

    Android Launcher啟動應用程式流程原始碼解析

    帶著問題看原始碼 點選桌面Launcher圖示後做了哪些工作? 應用程式什麼時候被建立的? Application和MainActivity的onCreate()方法什麼時候被呼叫的? 概述 在Android系統中,啟動四大元件中的任何一個都可以啟動應用程式。但絕大部分時候我們是通過點選Laun

    spring security 登入根據使用者角色跳轉到不同的頁面

    pring security 做的登入程式,不同角色的使用者登入之後,可能會跳轉到不同的頁面,在預設情況下的配置,都是跳轉到同一個頁面,因為在 form-login 中設定的 default-target-url 就是登入後應該跳轉到的頁面。如何使得不同角色的使用者登入後跳

    (原創)Spring security使用者驗證機制淺談.

    1.首先CustomUserDetailsService需要實現UserDetailsService(org.springframework.security.core.userdetails.UserDetailsService)介面, 實現獲取使用者Detail資訊的

    Spring-Security登入認證授權原理

    spring-security原始碼下載地址:https://github.com/spring-projects/spring-security Spring-Security原始碼解讀:1.使用ctrl+shift+n組合鍵查詢UsernamePasswordAuthen

    Spring Boot後臺腳手架搭建 [五] Spring Security登入實現以及認證過程

    Spring Security實現登入spring security的配置    SecurityConfig@Override protected void configure(HttpSecurity http) throws Exception { //跨站請求偽造禁用