SpringSecurity完整认证流程(包含自定义页面和自定义登录逻辑)

程序员 Hasity2024-01-16 10:51

认证基本流程图:

1. 用户发起表单登录请求后,首先进入UsernamePasswordAuthenticationFilter

​ 在 UsernamePasswordAuthenticationFilter 中根据用户输入的用户名、密码构建了 UsernamePasswordAuthenticationToken,并将其交给 AuthenticationManager 来进行认证处理。

​ AuthenticationManager 本身不包含认证逻辑,其核心是用来管理所有的 AuthenticationProvider,通过交由合适的 AuthenticationProvider 来实现认证。

2.下面跳转到了 ProviderManager ,该类是 AuthenticationManager 的实现类

我们知道不同的登录逻辑它的认证方式是不一样的,比如我们表单登录需要认证用户名和密码,但是当我们使用三方登录时就不需要验证密码。

​ Spring Security 支持多种认证逻辑,每一种认证逻辑的认证方式其实就是一种 AuthenticationProvider。通过 getProviders() 方法就能获取所有的 AuthenticationProvider,通过 provider.supports() 来判断 provider 是否支持当前的认证逻辑。当选择好一个合适的 AuthenticationProvider 后,通过 provider.authenticate(authentication) 来让 AuthenticationProvider 进行认证。

3.传统表单登录的 AuthenticationProvider 主要是由 AbstractUserDetailsAuthenticationProvider 来进行处理的,我们来看下它的 authenticate()方法。

retrieveUser() 的具体实现在 DaoAuthenticationProvider 中,代码如下:

当我们成功的读取 UserDetails 后,下面开始对其进行认证:

在上图中,我们可以看到认证校验分为 前校验、附加校验和后校验,如果任何一个校验出错,就会抛出相应的异常。所有校验都通过后,调用 createSuccessAuthentication() 返回认证信息

在 createSuccessAuthentication 方法中,我们发现它重新 new 了一个 UsernamePasswordAuthenticationToken,因为到这里认证已经通过了,所以将 authorities 注入进去,并设置 authenticated 为 true,即需要认证

4.至此认证信息就被传递回 UsernamePasswordAuthenticationFilter 中,在 UsernamePasswordAuthenticationFilter 的父类 AbstractAuthenticationProcessingFilter 的 doFilter() 中,会根据认证的成功或者失败调用相应的 handler:

​ 这里调用的 handler 实际就是我们在配置文件中配置的 successHandler() 和 failureHandler()。

5.流程总结

  1. 用户在浏览器中随意输入一个URL。
  2. Spring Security 会判断当前是否已经被认证(登录)如果已经认证,正常访问URL。如果没有被认证跳转到loginPage()对应的URL中,显示登录页面。
  3. 用户输入用户名和密码点击登录按钮后,发送请求到登录url。
  4. 如果url和loginProcessingUrl()一样才执行登录流程。否则需要重新认证。
    1. 执行登录流程时首先被UsernamePasswordAuthenticationFilter进行过滤,取出用户名和密码,放入到容器(UsernamePasswordAuthenticationToken)中。根据usernameParameter和passwordParameter进行取用户名和密码,如果没有配置这两个方法,默认为请求参数名username和password]把UsernamePasswordAuthenticationToken 交给 AuthenticationManager对象进行匹配管理,在当前方法中会进行认证方式匹配(AuthenticationProvider )
  5. 我们使用表单是AbstractUserDetailsAuthenticationProvider,再次调用retrieveUser()执行自定义登录逻辑UserDetailsService的实现类。返回数据库中保存当前用户信息,然后调用三次检查方法
    1. preAuthenticationChecks.check(user);
    2. additionalAuthenticationChecks(user,authentication);
    3. postAuthenticationChecks.check(user);,
  6. 判断用户名是否存在和数据库中密码是否和客户端传递过来的密码匹配。
  7. 如果登录成功(经过AbstractAuthenticationProcessingFilter中doFliter()进行跳转),跳转到successForwardUrl(转发)/successHandler(自己控制跳转方式)配置的URL如果登录失败,跳转到failureForwardUrl/failureHandler
  8. 如果没有配置成功和失败转发URL,会跳转到用户之前希望访问的URL。
相关推荐
为什么不问问神奇的海螺呢丶8 分钟前
服务器巡检报告-基于categraf 采集数据-存入Prometheus-写入mysql后生成报告
服务器·mysql·prometheus
网硕互联的小客服14 分钟前
遇到网站500内部服务器错误如何处理?如何预防这样的问题发生?
运维·服务器·安全
叮咚侠18 分钟前
Ubuntu 24.04.3 LTS 中 vdb 的 UUID 永久挂载没有显示的磁盘的操作步骤
linux·运维·ubuntu·挂载磁盘
GAOJ_K21 分钟前
滚柱导轨中的密封件如何判断是否需更换?
运维·人工智能·科技·自动化·制造
代码or搬砖21 分钟前
SQL核心语法总结:从基础操作到高级窗口函数
java·数据库·sql
27 分钟前
TIDB——TIKV——读写与coprocessor
数据库·分布式·tidb·
skyyx20021 小时前
写给网工新手:子网掩码基本概念和一些计算方法
运维·网络
大猫和小黄1 小时前
若依微服务全面适配PostgreSQL-OpenGauss数据库
数据库·微服务·postgresql·若依
老徐电商数据笔记1 小时前
技术复盘第二篇:电商数据主题域划分企业级实践
大数据·数据库·数据仓库·零售·教育电商·技术面试
jfqqqqq1 小时前
postgres查询、重设自增序列的起始值
数据库·sql·postgres·自增序列
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)06RedissonClient的配置解析07BongoCat - 跨平台键盘猫动画工具08jdk21下载、安装(Windows、Linux、macOS)09Open-AutoGLM Windows 安装部署教程10Labelme从安装到标注:零基础完整指南