SpringSecurity的认证流程源码深入刨析

环境

SpringBoot版本:2.7.14

流程图

在这里插入图片描述

默认的Filter

SpringSecurity的默认Filter地址:http://t.csdn.cn/YH838

常见的认证授权技术

1、基于表单的认证(Cookie & Session)
基于表单的认证并不是在 HTTP 协议中定义的,而是服务器自己实现的认证方式,安全程度取决于实现程度。一般用 Cookie 来管理 Session 会话,是最常用的认证方式之一。它的安全程度取决于服务器的实现程度,客户端在Cookie中携带认证信息,服务器解析并返回结果。
2、基于JWT(Json Web Token)的认证
App和服务端常用的认证方式,用户ID和密码传输到服务器上验证,服务器验证通过以后生成加密的JWT Token返回给客户端,客户端再发起请求时携带返回的Token进行认证。(多了个防篡改)
3、Http Basic 认证
最早的 Http 认证方式,用户 ID 和密码以分号连接,经过 Base64 编码后存储到 Authorization 字段,发送到服务端进行认证 ;用户 ID/密码 以明文形式暴露在网络上,安全性较差。(如果没有使用 SSL/TLS 这样的传输层安全的协议,那么以明文传输的密钥和口令很容易被拦截)
4、Http Digest 认证
在 HttpBasic 的基础上,进行了一些安全性的改造,用户ID, 密码 , 服务器/客户端随机数,域,请求信息,经过 MD5 加密后存储到 Authorization 字段,发送到服务端进行认证;密码经过 MD5 加密,安全性比 Basic 略高。
5、其他认证方式(Oauth 认证,单点登陆,HMAC 认证)
通过特定的加密字段和加密流程,对客户端和服务端的信息进行加密生成认证字段,放在 Authorization 或者是消息体里来实现客户信息的认证。

引言

关于SpringSecurity启动是怎么加载、注册进Spring容器的;组件是怎么加载的可以看这两篇
SpringSecurity启动流程源码刨析地址:http://t.csdn.cn/vXbbD
SpringSecurity的请求分发执行流程源码刨析地址:http://t.csdn.cn/Yy1GB

认证流程概述

1、用户登录前,默认生成的Authentication对象处于未认证状态,登录时会交由Authentication Manager负责进行认证。
2、AuthenticationManager会将Authentication中的用户名/密码与UserDetails中的用户名/密码对比,完成认证工作,认证成功后会生成一个已认证状态的Authentication对象;
3、最后把认证通过的Authentication对象写入到SecurityContext中,在用户有后续请求时,可从Authentication中检查权限。

认证流程源码刨析

1、AbstractAuthenticationProcessingFilter
请求过来之后会经过一系列过滤器到这儿,这个过滤器是和认证授权直接相关的,它是个抽象的父类,内部定义了认证处理的过程。可以看到他在doFilter中调了attemptAuthentication方法;这个方法的实现是在UsernamePasswordAuthenticationFilter中。
在这里插入图片描述

2、UsernamePasswordAuthenticationFilter
跟进这个方法可以看到他的具体实现,进行了用户名、密码的校验;封装了UsernamePasswordAuthenticationToken对象;设置了details;
在这里插入图片描述

获取了AuthenticationManager对象,并且调用了authenticate方法进行认证;跟进此方法;
3、可以看到是进入了AuthenticationManager的实现类ProviderManager;调用了此实现类的authenticate方法;
在这里插入图片描述

4、通过循环遍历从providers中找到能支持此AuthenticationToken的AuthenticationProvider;如果找到就调用authenticate方法。如果找不到则调用父类的authenticate方法;
在这里插入图片描述

在这里插入图片描述

5、跟进authenticate方法;可以看到进入了AuthenticationProvider的实现类AbstractUserDetailsAuthenticationProvider;它在authenticate方法中判断了用户名是否在缓存中;如果不在会调用retrieveUser方法进行查询;
在这里插入图片描述

6、跟进retrieveUser方法;可以看到进入了继承自AbstractUserDetailsAuthenticationProvider的DaoAuthenticationProvider,在这个类中实现了retrieveUser方法;
在这里插入图片描述

7、可以看到在这个方法中通过UserDetailsService的loadUserByUsername方法获取了用户信息。后续可以自己实现此方法。
在这里插入图片描述

8、跟进此方法,可以看到获取成功之后会封装成User对象;如果没有获取到会抛出异常
在这里插入图片描述

9、继续回到AbstractUserDetailsAuthenticationProvider中执行preAuthenticationChecks.check方法;会在此方法中进行账号是否锁定、是否可用、是否过期等验证;
在这里插入图片描述

10、接下来会在additionalAuthenticationChecks方法中进行密码匹配;如果匹配失败会抛出异常
在这里插入图片描述

11、然后在createSuccessAuthentication方法中进行Authentication的重新封装;
在这里插入图片描述

12、回到ProviderManager通过eventPublisher.publishAuthenticationSuccess进行认证成功事件的发布。
在这里插入图片描述

13、然后回到AbstractAuthenticationProcessingFilter,通过successfulAuthentication方法设置SecurityContext
在这里插入图片描述

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/143523.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

浅谈电气防火保护器在地下商场的应用

摘 要:近年来,我国城市发展速度加速。很多城市大力建造地下建筑设施,比如地铁、地下停车场和地下商场等。地下商场属于人员密集型建筑,其防火设计一直令相关的专家头疼。由于人员密集,防火处理不好将酿成灾难性的后果。…

【JUC系列-08】深入理解CyclicBarrier底层原理和基本使用

JUC系列整体栏目 内容链接地址【一】深入理解JMM内存模型的底层实现原理https://zhenghuisheng.blog.csdn.net/article/details/132400429【二】深入理解CAS底层原理和基本使用https://blog.csdn.net/zhenghuishengq/article/details/132478786【三】熟练掌握Atomic原子系列基本…

RHCE---Web 服务器

文章目录 目录 文章目录 前言 一.Web服务器概述 网址及HTTP协议概述: HTTP协议请求过程: 二.搭建动态HTTP网页 动态网页概述: 搭建动态的HTTP协议网页: 总结 前言 通过上一个章节的学习了解了时间服务器以及远程连接服务器&a…

深信服安全GPT 2.0升级,开启安全运营“智能驾驶”旅程

9月22日,深信服对外展示安全GPT落地成果与2.0升级能力。来自各行业权威嘉宾代表:美的集团首席信息安全官(CISO)兼软件工程院院长、欧洲科学院院士(MAE)、IEEE Fellow、IET Fellow、ACM杰出科学家、AAIA Fel…

一个简单的工具,多种用途—J2L3x的优势

J2L3x 是一款流行的团队合作工具,许多组织和公司已经开始使用它来简化和提高沟通和协作的效率。J2L3x 的优势与其多种用途不无关系,下面将详细介绍。 1、实时通信与信息共享 J2L3x 通过实时通信功能,使团队成员随时随地都能保持联系。J2L3x…

向量数据库风起时,闭源「墨奇AI数据库」想成为第三种存在

AI大模型时代下,图片、视频、自然语言等多模态的非结构化数据量陡增,而大模型支持的token数有限,虽然可以在RLHF的配合下具备一定程度的“短期记忆”,但正是因为“长期记忆”的缺失,导致大模型经常会出现“一本正经地胡说八道”的情况。 区别于用来处理结构化数据的传统数…

【unity2023打包安卓工程】踩坑记录

这里写自定义目录标题 踩坑记录使用环境Unity的准备工作Windows10 SDKAndroidstudio第一个需要注意的地方第二个需要注意的地方第三个需要注意的地方第四个需要注意的地方第五个需要注意的地方第六个需要注意的 其他unity启动缓慢 更新更新一 2023.9.27 踩坑记录 踩了快一个星期…

在Vue中通过ElementUI构建前端页面【登录,注册】,在IEDA构建后端实现前后端分离

一.ElementUI组件入门 1.对于ElementUI的理解 是一套基于 Vue.js 的开源UI组件库,提供了丰富的可复用组件,可以帮助开发者快速构建美观、易用的前端界面 2.Element UI 的特点和优势 多样化的组件:Element UI 提供了众多常用的基础组件&#…

全网最牛,Jmeter接口自动化测试从0到1实施步骤(详细整理)

目录:导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜) 前言 1、工具下载 JDK…

uniapp 微信小程序之隐私协议开发

uniapp 微信小程序之隐私协议开发 官网通知:https://developers.weixin.qq.com/miniprogram/dev/framework/user-privacy/PrivacyAuthorize.html 1、配置 __usePrivacyCheck__: true;位置 manifest.json : "mp-weixin":{"__usePrivacyCh…

数据结构:二叉树的基本概念

文章目录 1. 二叉树的定义2. 二叉树的特点3. 特殊二叉树斜树满二叉树完全二叉树 4. 二叉树的性质 1. 二叉树的定义 如果我们猜一个100以内的数字,该怎么猜才能理论最快呢? 第一种方式:从1,2一直猜到100, 反正数字都是100以内,总能猜到的 第二种方式:先猜50,如果比结果小,猜75…

Unity Urp无线延申的网格效果

无线延申的网格 该项目必须是再Urp项目 shader代码实现 Shader "Unlit/infTutorial1" {Properties{_Alpha ("Alpha", Range(0, 0.5)) 0.5}SubShader{Tags{"RenderPipeline""UniversalRenderPipeline""RenderType""…

VMware下的ubuntu虚拟机,实现虚拟机与本地硬盘间的文件互传

本次安装vmware tools工具,以实现二者间的文件互传。 1、打开VMware软件,运行Ubuntu系统虚拟机 安装过程需在ubuntu虚拟机启动的情况下,才能进行安装; 2、安装VMware Tools 在VM主菜单栏中,点击 “虚拟机&#xff0…

Linux ❀ 进程出现process information unavailable时的消除方法

[rootmaster ~]# jps 74963 -- process information unavailable 78678 Jps [rootmaster ~]# cd /tmp/hsperfdata_redhat/ # redhat为启动该java进程的用户ps -ef | grep $pid查找 [rootmaster hsperfdata_redhat]# ll total 32 -rw------- 1 redhat redhat 32768 Sep 27 15:…

使用日志分析工具了解网络情况

日志分析(或日志文件分析)是检查整个网络中生成的日志数据的过程,日志数据从各种来源生成,包括外围设备、工作站、服务器、应用程序以及其他硬件和软件组件,将它们收集到一个中心位置并进行分析,可以为了解…

深入解析JVM:双亲委派机制的原理与实践

双亲委派机制 引言概述流程工作原理: 优势自定义类加载器实际应用 主页传送门:📀 传送 引言 在Java虚拟机(JVM)中,类加载是一个重要的概念,而双亲委派机制是类加载的核心之一。本文将深入研究双…

写代码生成流程图

我们在写文档,博客的时候,一般都会使用markdown语法,最常见的就是一些github开源项目的README。有时候会去画一些流程图,例如使用process.on或者xmind等第三方网站,然后截图插入到文档中。 今天我们介绍一种使用代码直…

分布式搜索引擎Elasticsearch

一、Elasticsearch介绍 1.Elasticsearch产生背景 大数据量的检索NoSql: not only sql,泛指非关系型的数据库Nginx的7层负载均衡和4层负载均衡2.Elasticsearch是什么 一个基于Lucene的分布式搜索和分析引擎,一个开源的高扩展的分布式全文检索引擎 Elasticsearch使用Java开发…

一次ES检索的性能优化经验记录

优化功能: 统一检索能力,为各服务所调用。 该接口并发压力大,压测效果不理想。 初步2k线程两台压测机预发环境压测结果两pod下为400qps左右,单pod 平均qps200,响应时间在五分钟之后达到了峰值,平响达到几十秒开外。 压…

跨境电商引流之Reddit营销,入门保姆级攻略

在当今竞争激烈的在线市场中,企业不断寻求新的方法来加强其数字营销工作。Reddit 是最受欢迎的社交媒体平台之一,为企业提供了巨大的潜力,可以通过引人入胜且相关的内容来接触目标受众。然而,将 Reddit 用于营销目的需要仔细考虑某…