深入解析SpringSecurity用户认证机制

作者：好的吧 | 来源：互联网 | 2024-12-25 16:00

本文将详细介绍SpringSecurity中用户登录认证的核心流程，重点分析AbstractAuthenticationProcessingFilter和AuthenticationManager的工作原理。通过理解这些组件的实现，读者可以更好地掌握SpringSecurity的认证机制。

1. 引言

在上一篇文章中，我们探讨了 UsernamePasswordAuthenticationFilter 的工作流程，并留下了一个悬念：作为一个 Servlet Filter，它并没有直接实现 doFilter 方法，而是由其父类 AbstractAuthenticationProcessingFilter 提供了具体实现。本文将继续深入探讨这一实现，引出 AuthenticationManager 并详细讲解用户的认证过程。

2. AbstractAuthenticationProcessingFilter 深度剖析

AbstractAuthenticationProcessingFilter 是 UsernamePasswordAuthenticationFilter 的父类，负责处理认证过滤器的逻辑。我们来看一下它的核心方法 doFilter 的实现：

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse respOnse= (HttpServletResponse) res; if (!requiresAuthentication(request, response)) { chain.doFilter(request, response); return; } if (logger.isDebugEnabled()) { logger.debug("Request is to process authentication"); } try { Authentication authResult = attemptAuthentication(request, response); if (authResult == null) { return; } sessionStrategy.onAuthentication(authResult, request, response); } catch (InternalAuthenticationServiceException failed) { logger.error("An internal error occurred while trying to authenticate the user.", failed); unsuccessfulAuthentication(request, response, failed); return; } catch (AuthenticationException failed) { unsuccessfulAuthentication(request, response, failed); return; } if (continueChainBeforeSuccessfulAuthentication) { chain.doFilter(request, response); } successfulAuthentication(request, response, chain, authResult); }

doFilter 方法的主要逻辑是判断请求是否需要认证，并调用子类的 attemptAuthentication 方法获取认证结果。如果认证成功，则继续执行后续过滤器链；否则，触发认证失败处理器。

3. AuthenticationManager 详解

AuthenticationManager 接口用于对未授信凭据进行认证。该接口的输入和输出类型都是 Authentication。认证通过则返回授信状态的凭据，否则抛出 AuthenticationException。

3.1 AuthenticationManager 初始化流程

AuthenticationManager 在 WebSecurityConfigurerAdapter 的 configure 方法中进行配置。以下是初始化流程的总结：

AuthenticationManager 的初始化流程

需要注意的是，自定义配置时应避免类似以下错误示范：

@Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticatiOnProvider= new DaoAuthenticationProvider(); daoAuthenticationProvider.setUserDetailsService(weChatSecurityConfigProperties.getUserDetailsService()); daoAuthenticationProvider.setPasswordEncoder(multiPasswordEncoder()); auth.authenticationProvider(daoAuthenticationProvider); // 不要调用 super.configure(auth); }

3.2 AuthenticationManager 认证过程

AuthenticationManager 的实现类 ProviderManager 管理多个 AuthenticationProvider。每个 AuthenticationProvider 只支持特定类型的 Authentication，如果不支持则跳过。只要有一个认证成功，就认为整体认证成功，所有都失败则认为认证失败。

ProviderManager 认证 Token 的流程

从这里可以看出，AuthenticationManager 针对不同类型的 Authentication 提供了灵活的认证功能，可以实现多种认证方式并存。

4. 总结

本文详细分析了 Spring Security 中 AuthenticationManager 的初始化和认证过程。熟悉这些内容有助于开发者实现复杂的认证逻辑，为项目集成 Spring Security 提供坚实的基础。欢迎关注「码农小胖哥」获取更多原创干货。

往期推荐：

你没见过Java台式计算机和Java操作系统吧

Spring Security 实战干货：UsernamePasswordAuthenticationFilter 源码分析

为什么我推荐Nginx作为后端服务器代理

推荐阅读

java
深入解析 Apache Shiro 安全框架架构

本文详细介绍了 Apache Shiro，一个强大且灵活的开源安全框架。Shiro 专注于简化身份验证、授权、会话管理和加密等复杂的安全操作，使开发者能够更轻松地保护应用程序。其核心目标是提供易于使用和理解的API，同时确保高度的安全性和灵活性。 ... [详细]

蜡笔小新 2024-12-25 16:03:57
callback
深入解析Spring Cloud Ribbon负载均衡机制

本文详细介绍了Spring Cloud中的Ribbon组件如何实现服务调用的负载均衡。通过分析其工作原理、源码结构及配置方式，帮助读者理解Ribbon在分布式系统中的重要作用。 ... [详细]

蜡笔小新 2024-12-27 16:01:25
input
Yii2 GridView 实现列表页数据直接编辑的完整指南

本文详细介绍了如何使用 Yii2 的 GridView 组件在列表页面实现数据的直接编辑功能。通过具体的代码示例和步骤，帮助开发者快速掌握这一实用技巧。 ... [详细]

蜡笔小新 2024-12-27 16:27:52
uri
使用 Azure Service Principal 和 Microsoft Graph API 获取 AAD 用户列表

本文介绍了一段通用代码示例，该代码不仅能够操作 Azure Active Directory (AAD)，还可以通过 Azure Service Principal 的授权访问和管理 Azure 订阅资源。Azure 的架构可以分为两个层级：AAD 和 Subscription。 ... [详细]

蜡笔小新 2024-12-27 16:07:12
jsp
深入理解领域驱动设计及其实践

本文探讨了领域驱动设计（DDD）的核心概念、应用场景及其实现方式，详细介绍了其在企业级软件开发中的优势和挑战。通过对比事务脚本与领域模型，展示了DDD如何提升系统的可维护性和扩展性。 ... [详细]

蜡笔小新 2024-12-25 18:45:55
java
Spring Boot 服务的最大并发处理能力

本文探讨了 Spring Boot 应用程序在不同配置下支持的最大并发连接数，重点分析了内置服务器（如 Tomcat、Jetty 和 Undertow）的默认设置及其对性能的影响。 ... [详细]

蜡笔小新 2024-12-25 16:45:57
jsp
深入理解Java Web中的过滤器机制

本文详细介绍了Java Web应用程序中的过滤器（Filter）功能，包括其作用、实现方式及配置方法。过滤器可以在请求到达目标资源之前对其进行预处理，并在响应返回给客户端之前进行后处理。 ... [详细]

蜡笔小新 2024-12-24 17:57:57
input
PHP 过滤器详解

本文深入探讨了 PHP 中的过滤器机制，包括常见的 $_SERVER 变量、filter_has_var() 函数、filter_id() 函数、filter_input() 函数及其数组形式、filter_list() 函数以及 filter_var() 和其数组形式。同时，详细介绍了各种过滤器的用途和用法。 ... [详细]

蜡笔小新 2024-12-23 19:05:02
jsp
Struts与Spring框架的集成指南

本文详细介绍了如何将Struts和Spring两个流行的Java Web开发框架进行整合，涵盖从环境配置到代码实现的具体步骤。 ... [详细]

蜡笔小新 2024-12-23 17:46:59
java
解析 org.apache.commons.io.IOCase.checkCompareTo() 方法及其应用

本文详细介绍了 org.apache.commons.io.IOCase 类中的 checkCompareTo() 方法，通过多个代码示例展示其在不同场景下的使用方法。 ... [详细]

蜡笔小新 2024-12-23 15:32:05
java
阿里Java面试全解析：从技术面到HR面的详细攻略

本文作者分享了在阿里巴巴获得实习offer的经历，包括五轮面试的详细内容和经验总结。其中四轮为技术面试，一轮为HR面试，涵盖了大量的Java技术和项目实践经验。 ... [详细]

蜡笔小新 2024-12-23 11:32:02
input
Java 序列化接口详解

本文深入探讨了 Java 中的 Serializable 接口，解释了其实现机制、用途及注意事项，帮助开发者更好地理解和使用序列化功能。 ... [详细]

蜡笔小新 2024-12-27 15:06:12
foreach
Apache Jena 中 Txn.executeWrite 方法详解与代码示例

本文详细介绍了 Apache Jena 库中的 Txn.executeWrite 方法，通过多个实际代码示例展示了其在不同场景下的应用，帮助开发者更好地理解和使用该方法。 ... [详细]

蜡笔小新 2024-12-26 17:55:52
input
从 .NET 转 Java 的自学之路：IO 流基础篇

本文详细介绍了 Java 中的 IO 流，包括字节流和字符流的基本概念及其操作方式。探讨了如何处理不同类型的文件数据，并结合编码机制确保字符数据的正确读写。同时，文中还涵盖了装饰设计模式的应用，以及多种常见的 IO 操作实例。 ... [详细]

蜡笔小新 2024-12-26 17:37:25
input
Linux 透明防火墙（网桥模式）的部署与配置

本文介绍如何在现有网络中部署基于Linux系统的透明防火墙（网桥模式），以实现灵活的时间段控制、流量限制等功能。通过详细的步骤和配置说明，确保内部网络的安全性和稳定性。 ... [详细]

蜡笔小新 2024-12-25 13:17:38

好的吧

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章