SpringSecurity完整认证流程(包含自定义页面和自定义登录逻辑)

程序员 Hasity2024-01-16 10:51

认证基本流程图:

1. 用户发起表单登录请求后,首先进入UsernamePasswordAuthenticationFilter

​ 在 UsernamePasswordAuthenticationFilter 中根据用户输入的用户名、密码构建了 UsernamePasswordAuthenticationToken,并将其交给 AuthenticationManager 来进行认证处理。

​ AuthenticationManager 本身不包含认证逻辑,其核心是用来管理所有的 AuthenticationProvider,通过交由合适的 AuthenticationProvider 来实现认证。

2.下面跳转到了 ProviderManager ,该类是 AuthenticationManager 的实现类

我们知道不同的登录逻辑它的认证方式是不一样的,比如我们表单登录需要认证用户名和密码,但是当我们使用三方登录时就不需要验证密码。

​ Spring Security 支持多种认证逻辑,每一种认证逻辑的认证方式其实就是一种 AuthenticationProvider。通过 getProviders() 方法就能获取所有的 AuthenticationProvider,通过 provider.supports() 来判断 provider 是否支持当前的认证逻辑。当选择好一个合适的 AuthenticationProvider 后,通过 provider.authenticate(authentication) 来让 AuthenticationProvider 进行认证。

3.传统表单登录的 AuthenticationProvider 主要是由 AbstractUserDetailsAuthenticationProvider 来进行处理的,我们来看下它的 authenticate()方法。

retrieveUser() 的具体实现在 DaoAuthenticationProvider 中,代码如下:

当我们成功的读取 UserDetails 后,下面开始对其进行认证:

在上图中,我们可以看到认证校验分为 前校验、附加校验和后校验,如果任何一个校验出错,就会抛出相应的异常。所有校验都通过后,调用 createSuccessAuthentication() 返回认证信息

在 createSuccessAuthentication 方法中,我们发现它重新 new 了一个 UsernamePasswordAuthenticationToken,因为到这里认证已经通过了,所以将 authorities 注入进去,并设置 authenticated 为 true,即需要认证

4.至此认证信息就被传递回 UsernamePasswordAuthenticationFilter 中,在 UsernamePasswordAuthenticationFilter 的父类 AbstractAuthenticationProcessingFilter 的 doFilter() 中,会根据认证的成功或者失败调用相应的 handler:

​ 这里调用的 handler 实际就是我们在配置文件中配置的 successHandler() 和 failureHandler()。

5.流程总结

  1. 用户在浏览器中随意输入一个URL。
  2. Spring Security 会判断当前是否已经被认证(登录)如果已经认证,正常访问URL。如果没有被认证跳转到loginPage()对应的URL中,显示登录页面。
  3. 用户输入用户名和密码点击登录按钮后,发送请求到登录url。
  4. 如果url和loginProcessingUrl()一样才执行登录流程。否则需要重新认证。
    1. 执行登录流程时首先被UsernamePasswordAuthenticationFilter进行过滤,取出用户名和密码,放入到容器(UsernamePasswordAuthenticationToken)中。根据usernameParameter和passwordParameter进行取用户名和密码,如果没有配置这两个方法,默认为请求参数名username和password]把UsernamePasswordAuthenticationToken 交给 AuthenticationManager对象进行匹配管理,在当前方法中会进行认证方式匹配(AuthenticationProvider )
  5. 我们使用表单是AbstractUserDetailsAuthenticationProvider,再次调用retrieveUser()执行自定义登录逻辑UserDetailsService的实现类。返回数据库中保存当前用户信息,然后调用三次检查方法
    1. preAuthenticationChecks.check(user);
    2. additionalAuthenticationChecks(user,authentication);
    3. postAuthenticationChecks.check(user);,
  6. 判断用户名是否存在和数据库中密码是否和客户端传递过来的密码匹配。
  7. 如果登录成功(经过AbstractAuthenticationProcessingFilter中doFliter()进行跳转),跳转到successForwardUrl(转发)/successHandler(自己控制跳转方式)配置的URL如果登录失败,跳转到failureForwardUrl/failureHandler
  8. 如果没有配置成功和失败转发URL,会跳转到用户之前希望访问的URL。
相关推荐
老邓计算机毕设6 分钟前
SSM智慧社区信息化服务平台4v5hv(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
数据库·ssm 框架·智慧社区、·信息化平台
tianyuanwo12 分钟前
企业级NTP客户端配置指南:基于内部NTP服务器的实践
运维·服务器·ntp客户端
芷栀夏17 分钟前
CANN开源实战:基于DrissionPage构建企业级网页自动化与数据采集系统
运维·人工智能·开源·自动化·cann
麦聪聊数据27 分钟前
为何通用堡垒机无法在数据库运维中实现精准风控?
数据库·sql·安全·低代码·架构
2301_7903009631 分钟前
Python数据库操作:SQLAlchemy ORM指南
jvm·数据库·python
寄存器漫游者40 分钟前
Linux 软件编程 - IO 编程
linux·运维·spring
charlotte1024102443 分钟前
高并发:关于在等待学校教务系统选课时的碎碎念
java·运维·网络
m0_736919101 小时前
用Pandas处理时间序列数据(Time Series)
jvm·数据库·python
亓才孓1 小时前
[JDBC]PreparedStatement替代Statement
java·数据库
_别来无恙_1 小时前
TFTP的使用Linux
linux·服务器
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03使用 1panel面板 部署 php网站04OpenClaw Chrome扩展使用教程 - 浏览器中继控制05Linux下V2Ray安装配置指南06Vue-skills的中文文档07UV安装并设置国内源08让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南09Claude Code Skills 实用使用手册10一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示