热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

深入解析SpringSecurity用户认证机制

本文将详细介绍SpringSecurity中用户登录认证的核心流程,重点分析AbstractAuthenticationProcessingFilter和AuthenticationManager的工作原理。通过理解这些组件的实现,读者可以更好地掌握SpringSecurity的认证机制。

1. 引言

在上一篇文章中,我们探讨了 UsernamePasswordAuthenticationFilter 的工作流程,并留下了一个悬念:作为一个 Servlet Filter,它并没有直接实现 doFilter 方法,而是由其父类 AbstractAuthenticationProcessingFilter 提供了具体实现。本文将继续深入探讨这一实现,引出 AuthenticationManager 并详细讲解用户的认证过程。

2. AbstractAuthenticationProcessingFilter 深度剖析

AbstractAuthenticationProcessingFilter 是 UsernamePasswordAuthenticationFilter 的父类,负责处理认证过滤器的逻辑。我们来看一下它的核心方法 doFilter 的实现:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse respOnse= (HttpServletResponse) res; if (!requiresAuthentication(request, response)) { chain.doFilter(request, response); return; } if (logger.isDebugEnabled()) { logger.debug("Request is to process authentication"); } try { Authentication authResult = attemptAuthentication(request, response); if (authResult == null) { return; } sessionStrategy.onAuthentication(authResult, request, response); } catch (InternalAuthenticationServiceException failed) { logger.error("An internal error occurred while trying to authenticate the user.", failed); unsuccessfulAuthentication(request, response, failed); return; } catch (AuthenticationException failed) { unsuccessfulAuthentication(request, response, failed); return; } if (continueChainBeforeSuccessfulAuthentication) { chain.doFilter(request, response); } successfulAuthentication(request, response, chain, authResult); }

doFilter 方法的主要逻辑是判断请求是否需要认证,并调用子类的 attemptAuthentication 方法获取认证结果。如果认证成功,则继续执行后续过滤器链;否则,触发认证失败处理器。

3. AuthenticationManager 详解

AuthenticationManager 接口用于对未授信凭据进行认证。该接口的输入和输出类型都是 Authentication。认证通过则返回授信状态的凭据,否则抛出 AuthenticationException。

3.1 AuthenticationManager 初始化流程

AuthenticationManager 在 WebSecurityConfigurerAdapter 的 configure 方法中进行配置。以下是初始化流程的总结:


AuthenticationManager 的初始化流程

需要注意的是,自定义配置时应避免类似以下错误示范:

@Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { DaoAuthenticationProvider daoAuthenticatiOnProvider= new DaoAuthenticationProvider(); daoAuthenticationProvider.setUserDetailsService(weChatSecurityConfigProperties.getUserDetailsService()); daoAuthenticationProvider.setPasswordEncoder(multiPasswordEncoder()); auth.authenticationProvider(daoAuthenticationProvider); // 不要调用 super.configure(auth); }

3.2 AuthenticationManager 认证过程

AuthenticationManager 的实现类 ProviderManager 管理多个 AuthenticationProvider。每个 AuthenticationProvider 只支持特定类型的 Authentication,如果不支持则跳过。只要有一个认证成功,就认为整体认证成功,所有都失败则认为认证失败。


ProviderManager 认证 Token 的流程

从这里可以看出,AuthenticationManager 针对不同类型的 Authentication 提供了灵活的认证功能,可以实现多种认证方式并存。

4. 总结

本文详细分析了 Spring Security 中 AuthenticationManager 的初始化和认证过程。熟悉这些内容有助于开发者实现复杂的认证逻辑,为项目集成 Spring Security 提供坚实的基础。欢迎关注「码农小胖哥」获取更多原创干货。

往期推荐:

你没见过Java台式计算机和Java操作系统吧

Spring Security 实战干货:UsernamePasswordAuthenticationFilter 源码分析

为什么我推荐Nginx作为后端服务器代理


推荐阅读
  • 深入解析 Android IPC 中的 Messenger 机制
    本文详细介绍了 Android 中基于消息传递的进程间通信(IPC)机制——Messenger。通过实例和源码分析,帮助开发者更好地理解和使用这一高效的通信工具。 ... [详细]
  • 深入探讨CPU虚拟化与KVM内存管理
    本文详细介绍了现代服务器架构中的CPU虚拟化技术,包括SMP、NUMA和MPP三种多处理器结构,并深入探讨了KVM的内存虚拟化机制。通过对比不同架构的特点和应用场景,帮助读者理解如何选择最适合的架构以优化性能。 ... [详细]
  • 深入解析 Apache Shiro 安全框架架构
    本文详细介绍了 Apache Shiro,一个强大且灵活的开源安全框架。Shiro 专注于简化身份验证、授权、会话管理和加密等复杂的安全操作,使开发者能够更轻松地保护应用程序。其核心目标是提供易于使用和理解的API,同时确保高度的安全性和灵活性。 ... [详细]
  • 本文详细介绍了Java Web应用程序中的过滤器(Filter)功能,包括其作用、实现方式及配置方法。过滤器可以在请求到达目标资源之前对其进行预处理,并在响应返回给客户端之前进行后处理。 ... [详细]
  • 深入解析SpringMVC核心组件:DispatcherServlet的工作原理
    本文详细探讨了SpringMVC的核心组件——DispatcherServlet的运作机制,旨在帮助有一定Java和Spring基础的开发人员理解HTTP请求是如何被映射到Controller并执行的。文章将解答以下问题:1. HTTP请求如何映射到Controller;2. Controller是如何被执行的。 ... [详细]
  • InmyapplicationIhaveQGraphicsScenewithpixmapaddedandallisviewedinQGraphicsViewwithsc ... [详细]
  • 并发编程 12—— 任务取消与关闭 之 shutdownNow 的局限性
    Java并发编程实践目录并发编程01——ThreadLocal并发编程02——ConcurrentHashMap并发编程03——阻塞队列和生产者-消费者模式并发编程04——闭锁Co ... [详细]
  • 本文探讨了如何通过预处理器开关选择不同的类实现,并解决在特定情况下遇到的链接器错误。 ... [详细]
  • 1.执行sqlsever存储过程,消息:SQLServer阻止了对组件“AdHocDistributedQueries”的STATEMENT“OpenRowsetOpenDatas ... [详细]
  • 深入解析Spring启动过程
    本文详细介绍了Spring框架的启动流程,帮助开发者理解其内部机制。通过具体示例和代码片段,解释了Bean定义、工厂类、读取器以及条件评估等关键概念,使读者能够更全面地掌握Spring的初始化过程。 ... [详细]
  • ssm框架整合及工程分层1.先创建一个新的project1.1配置pom.xml ... [详细]
  • 本文探讨了在Django项目中,如何在对象详情页面添加前后导航链接,以提升用户体验。文章详细描述了遇到的问题及解决方案。 ... [详细]
  • Django Token 认证详解与 HTTP 401、403 状态码的区别
    本文详细介绍了如何在 Django 中配置和使用 Token 认证,并解释了 HTTP 401 和 HTTP 403 状态码的区别。通过具体的代码示例,帮助开发者理解认证机制及权限控制。 ... [详细]
  • 本文将详细探讨 Java 中提供的不可变集合(如 `Collections.unmodifiableXXX`)和同步集合(如 `Collections.synchronizedXXX`)的实现原理及使用方法,帮助开发者更好地理解和应用这些工具。 ... [详细]
  • springMVC JRS303验证 ... [详细]
author-avatar
好的吧
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有