2. 程式人生 > >spring-security-oauth2(三) 認證流程原始碼分析

spring-security-oauth2(三) 認證流程原始碼分析

阿新 發佈:2018-12-11

認證流程原始碼分析

之前的程式碼中,我們自定義了登陸路徑,自定義成功和失敗處理器以及自定義的使用者登陸資訊校驗,下面我們通過簡單的原始碼分析,來把這些串聯起來

  1. 認證流程處理說明
  2. 認證結果如何在多個請求之間共享
  3. 獲取認證使用者資訊

認證處理流程說明

spring-security過濾器鏈

關於web中過濾器 、攔截器 、監聽器區別 https://blog.csdn.net/Jintao_Ma/article/details/52972482

idea斷點除錯:https://blog.csdn.net/deepwishly/article/details/54645022

 表單過濾器認證流程如下:

UsernamePasswordAuthenticationFilter:表單使用者名稱登陸過濾器

AuthenticationManager:管理所有的Provider,並選擇適合的進行驗證

AuthenticationProvider:驗證提供者,可以自己寫provider處理自己的業務場景邏輯

UserDetailsService:驗證使用者登陸資訊

UserDetails:使用者資訊

Authentication:認證資訊封裝

下面我們進行登陸斷點除錯:

UsernamePasswordAuthenticationFilter 

UsernamePasswordAuthenticationToken  它實現Authentication這個認證介面

 

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean

 AbstractUserDetailsAuthenticationProvider

 DaoAuthenticationProvider

MyUserDetailServiceImpl 確實是我們自定義的實現

AbstractUserDetailsAuthenticationProvider

 登陸驗證成功後 AbstractAuthenticationProcessingFilter

 認證結果如何在多個請求之間共享

  在已經認證成功的情況下 

 SecurityContext 默策略是一個 org.springframework.security.core.context.ThreadLocalSecurityContextHolderStrategy  物件,
內部使用`ThreadLocal<SecurityContext>`來儲存;ThreadLocal執行緒的變數,同一個執行緒可以讀取

 SecurityContextPersistenceFilter會先查詢session中是否已經認證了。出去的時候回將認證資訊存入session。這樣就解決了請求的共享的問題

 獲取認證使用者資訊 

UserController,通過前面的認證資訊如何在多個請求之間共享我們知道可以直接從SecurityContextHolder中獲取認證資訊,我們來測試下

package com.rui.tiger.auth.demo.controller;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 使用者控制器
 *
 * @author CaiRui
 * @date 2018-12-6 8:16
 */
@RestController
@RequestMapping("/user")
public class UserController {

    @RequestMapping("/hello")
    public String hello() {
        return "Hello,World";
    }

    /**
     *獲取使用者認證資訊
     * @return
     */
   @GetMapping("authentication")
    public Authentication getCurrentAuthentication(){
      return SecurityContextHolder.getContext().getAuthentication();
    }

    /**
     * 獲取使用者認證資訊
     * 同getCurrentAuthentication spring 會幫我們注入
     * @param authentication
     * @return
     */
    @GetMapping("authentication/auto")
    public Authentication getCurrentAuthentication2(Authentication authentication){
        return authentication;
    }


}

首先進入登陸介面,登入成功後我們再輸入http://localhost:8070/user/authentication可以看到成功獲取到認證資訊

序列化格式看下

 有時我們只想看到認證主體資訊可以這樣設定 使用引數註解@AuthenticationPrincipal UserDetails userDetails 獲取User的資訊

ok基於原始碼分析的 我們就先到這裡,下一章我們將開發通用的驗證碼登陸

 

 

相關推薦

spring-security-oauth2() 認證流程原始碼分析

認證流程原始碼分析 之前的程式碼中,我們自定義了登陸路徑,自定義成功和失敗處理器以及自定義的使用者登陸資訊校驗,下面我們通過簡單的原始碼分析,來把這些串聯起來 認證流程處理說明 認證結果如何在多個請求之間共享 獲取認證使用者資訊 認證處理流程說明 spring-

Spring Securtiy 認證流程(原始碼分析)

當用 Spring Security 框架進行認證時,你可能會遇到這樣的問題: 你輸入的使用者名稱或密碼不管是空還是錯誤,它的錯誤資訊都是 Bad credentials。 那麼如果你想根據不同的情況給出相應的錯誤提示該怎麼辦呢? 這個時候我們只有瞭解 Spring Securiy 認證的流程才能知

spring security oauth2 jwt 認證和資源分離的配置文件(java類配置版)

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

Django rest framework 的認證流程(原始碼分析一)

一、基本流程舉例: urlpatterns = [ url(r'^admin/', admin.site.urls), url(r'^users/', views.HostView.as_view()), ] urls

Spring Security系列之核心過濾器原始碼分析(四)

文章來源 前面的部分,我們關注了Spring Security是如何完成認證工作的,但是另外一部分核心的內容:過濾器,一直沒有提到,我們已經知道Spring Security使用了springSecurityFillterChian作為了安全過濾的入口,這一節主要分析一下這個過濾器鏈都包含了哪

spring-security 個性化使用者認證流程——自定義登入頁面(可配置)

1.定義自己的登入頁面我們需要根據自己的業務系統構建自己的登入頁面以及登入成功、失敗處理在spring security提供給我的登入頁面中,只有使用者名稱、密碼框,而自帶的登入成功頁面是空白頁面(可以重定向之前請求的路徑中),而登入失敗時也只是提示使用者被鎖定、過期等資訊。 在實際的開發中,則需要更

Spring Security+OAuth2 + JWT認證以及攜帶使用者資訊

Spring Boot,Spring Security實現OAuth2 + JWT認證 閱讀此文,希望是對JWT以及OAuth2有一定了解的童鞋。 JWT認證,提供了對稱加密以及非對稱的實現。 涉及到原始碼中兩個服務 spring-boot-oaut

Spring Data Redis整合Redis流程原始碼分析

一:版本資訊如下.     1.1 SpringBoot的版本:1.5.10.RELEASE. <parent> <groupId>org.springframework.boot</groupId> <art

SpringBoot 原始碼解析 (二)----- Spring Boot精髓:啟動流程原始碼分析

本文從原始碼的角度來看看Spring Boot的啟動過程到底是怎麼樣的,為何以往紛繁複雜的配置到如今可以這麼簡便。 入口類 @SpringBootApplication public class HelloWorldMainApplication { public static void main

認證與授權】Spring Security系列之認證流程解析

> 上面我們一起開始了Spring Security的初體驗,並通過簡單的配置甚至零配置就可以完成一個簡單的認證流程。可能我們都有很大的疑惑,這中間到底發生了什麼,為什麼簡單的配置就可以完成一個認證流程啊,可我啥都沒看見,沒有寫頁面,沒有寫介面。這一篇我們將深入到原始碼層面一起來了解一下spring secu

shiro認證流程原始碼分析--練氣初期

## 寫在前面 在上一篇文章當中,我們通過一個簡單的例子,簡單地認識了一下shiro。在這篇文章當中,我們將通過閱讀原始碼的方式瞭解shiro的認證流程。 *建議大家邊讀文章邊動手除錯程式碼,這樣效果會更好。* ## 認證異常分析 shiro中的異常主要分為兩類,一類是`AuthenticationE

Spring Security OAuth2.0認證授權一:框架搭建和認證測試

## 一、OAuth2.0介紹 OAuth(開放授權)是一個開放標準,**允許使用者授權第三方應用訪問他們儲存在另外的服務提供者上的資訊,而不 需要將使用者名稱和密碼提供給第三方應用或分享他們資料的所有內容**。 ### 1.stackoverflow和github 聽起來挺拗口,不如舉個例子說明下,就

Spring Security OAuth2.0認證授權二:搭建資源服務

在上一篇文章[Spring Security OAuth2.0認證授權一:框架搭建和認證測試](https://www.cnblogs.com/kuangdaoyizhimei/p/14250374.html) 詳細講解了如何搭建一個基於spring boot + oauth2.0的認證服務,這篇文章將會介紹

Spring Security OAuth2.0認證授權四:分散式系統認證授權

Spring Security OAuth2.0認證授權系列文章 > [Spring Security OAuth2.0認證授權一:框架搭建和認證測試](https://blog.kdyzm.cn/post/24) > [Spring Security OAuth2.0認證授權二:搭建資源服務](h

Spring Security OAuth2.0認證授權五:使用者資訊擴充套件到jwt

歷史文章 > [Spring Security OAuth2.0認證授權一:框架搭建和認證測試](https://blog.kdyzm.cn/post/24) > [Spring Security OAuth2.0認證授權二:搭建資源服務](https://blog.kdyzm.cn/post/25)

Spring Security OAuth2.0認證授權六:前後端分離下的登入授權

歷史文章 > [Spring Security OAuth2.0認證授權一:框架搭建和認證測試](https://blog.kdyzm.cn/post/24) > [Spring Security OAuth2.0認證授權二:搭建資源服務](https://blog.kdyzm.cn/post/25)

spring security oauth2認證中心 集成zuul網關的代碼分析

負載 很好 結合 gate conf git oauth2 註冊 通過 zuul作為業務網關需要對其內部的服務進行權限控制,采用oauth2的資源服務器集成到zuul中可以很好的保護zuul內部的服務,需要搭建服務註冊中心,認證中心,鑒權中心三大板塊,其中鑒權中心是和zuu

串理spring security認證流程原始碼

1.認證流程流程通過斷點除錯,可以看到在UsernamepasswordAuthenticationFilter中構造了一個UsernamePasswordAuthenticationToken物件 開啟UsernamePasswordAuthenticationToken可得知,該實現類是Authenti

Spring Security原始碼分析十一:Spring Security OAuth2整合JWT

Json web token (JWT), 是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準(RFC 7519).該token被設計為緊湊且安全的,特別適用於分散式站點的單點登入(SSO)場景。JWT的宣告一般被用來在身份提供者和服務提供者

Spring Security Oauth2 認證(獲取token/重新整理token)流程(password模式)

1.本文介紹的認證流程範圍 本文主要對從使用者發起獲取token的請求(/oauth/token),到請求結束返回token中間經過的幾個關鍵點進行說明。 2.認證會用到的相關請求 注:所有請求均為post請求。 獲取access_token請求(