Springsecurity 自定义AuthenticationManager

2024-08-24 19:04

本文主要是介绍Springsecurity 自定义AuthenticationManager,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、认证流程

1、当用户提交了一个他的凭证(用户名、密码) AbstractAuthenticationProcessingFilter 将会创建一个凭证信息,最终,该请求会被UsernamePasswordAuthenticationFilter 拦截将请求中用户名和密码,封装为 Authentication 对象,并交给在UsernamePasswordAuthenticationFilter 的attemptAuthentication 方法中
AuthenticationManager 进行认证
2、认证成功,将认证信息存储到 SecurityContextHodler 以及调用记住我等,并回调AuthenticationSuccessHandler 处理
3、认证失败,清除SecuritvContextHodler 以及 记住我中信息,回调AuthenticationFailureHandler 处理

二、AuthenticationManager

   从上面分析中得知,AuthenticatiomManager 是认证的核心类,但实际上在底层真正认证时还离不开 ProviderManager 以及 AuthenticationProvider。
1.AuthenticationManager 是一个认证管理器,它定义了 Spring Security 过滤器要执行
认证操作。
2.  ProviderManager AuthenticationManager接口的实现类。Spring Security 认证时默认使用就是 ProviderManager。
3. AuthenticationProvider 就是针对不同的身份类型执行的具体的身份认证。

2.1 AuthenticationManager 与 ProviderManager 关系,其他接口都是抽象类,实际上实现类就是这一个

总结:ProviderManager是AuthenticationManager的唯一实现,也是Spring Security默认使用实现。从这里不难看出默认情况下   AuthenticationManager 就是一个ProviderManager。

2.2  AuthenticationManager/ProviderManager

    在Spring Seourity中,允许系统同时支持多种不同的认证方式,例如同时支持用户名/密码认证、ReremberMe 认证、手机号码动态认证等,而不同的认证方式对应了不同的AuthenticationProvider,所以一个完整的认证流程可能由多个AuthenticationProvider 来提供。

    多个AuthenticationProvider 将组成一个列表,这个列表将由 ProviderManager代理。换话说,在ProviderManager 中存在一个AuthenticationProvider列表,在Provider Manager中遍历列表中的每一个AuthenticationProvider 去执行身份认证,最终得到认证结果。

ProviderManager本身也可以再配置一个AuthenticationManager 作为 parent,这样当ProviderManager认证失败之后,就可以进入到 parent 中再次进行认证。理论上来说ProviderManager的 parent 可以是任意类型的 AuthenticationManager,但是通常都是ProviderManager 来扮演 parent 的角色,也就是 ProviderManager 是 ProviderManager的

parent.

 ProviderManager 本身也可以有多个,多个ProviderManager 共用同一个parent。有时个应用程序有受保护资源的逻辑组(例如,所有符合路径模式的网络资源,如/api/**),每通常,每个组都是一个ProviderManager

2.3 关系图

三、配置自定义AuthenticationManager

1.一旦通过 configure 方法自定义 AuthenticationManager实现 就回将工厂中自动配置AuthenticationManager 进行覆盖

2.一旦通过configure 方法自定义 AuthenticationManager实现 需要在实现中指定认证数据源对象UserDetailService

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {/***  配置自定义数据源,覆盖系统默认的数据源*/@Beanpublic UserDetailsService userDetailsService() {InMemoryUserDetailsManager detailsManager = new InMemoryUserDetailsManager();detailsManager.createUser(User.withUsername("test").password("{noop}123456").authorities("admin","delete","select").build());return detailsManager;}/***  自定义自己的 AuthenticationManager,使其默认的全局manager失效,也是官方推荐的方式* @param auth* @throws Exception*/@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService());
}
}

3.1 前端页面(密码输入错误)

3.2 前端页面(密码输入正确)

3.3  跳转路径配置

/***  表单配置* @param http* @throws Exception*/@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().mvcMatchers("/").permitAll()// 放行路径.anyRequest().authenticated()// 其他路径都需要认证.and().formLogin()// form表单认证.loginPage("/")// 默认的登录页面.loginProcessingUrl("/doLogin")// 认证的请求地址.defaultSuccessUrl("/main.html",true)// 登录成功后默认跳转的页面 redirect.failureUrl("/")//登录失败跳转的url.usernameParameter("loginId").passwordParameter("loginPwd").and().csrf().disable();// 关闭csrf跨站攻击}

四、默认全局AuthenticationManager

1.默认自动配置创建全局AuthenticationManager 默认找当前项目中是否存在自定义UserDetailService 实例 自动将当前项目 UserDetailService 实例设置为数据源

2. 默认自动配置创建全局AuthenticationManager 在工厂中使用时直接在代码中注入即

4.1 代码实现(只需要自定义UserDetailService 默认就是全局的了)

这篇关于Springsecurity 自定义AuthenticationManager的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1103336

相关文章

JVM 的类初始化机制

前言 当你在 Java 程序中new对象时,有没有考虑过 JVM 是如何把静态的字节码(byte code)转化为运行时对象的呢,这个问题看似简单,但清楚的同学相信也不会太多,这篇文章首先介绍 JVM 类初始化的机制,然后给出几个易出错的实例来分析,帮助大家更好理解这个知识点。 JVM 将字节码转化为运行时对象分为三个阶段,分别是:loading 、Linking、initialization

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

Spring Security--Architecture Overview

1 核心组件 这一节主要介绍一些在Spring Security中常见且核心的Java类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

【前端学习】AntV G6-08 深入图形与图形分组、自定义节点、节点动画(下)

【课程链接】 AntV G6:深入图形与图形分组、自定义节点、节点动画(下)_哔哩哔哩_bilibili 本章十吾老师讲解了一个复杂的自定义节点中,应该怎样去计算和绘制图形,如何给一个图形制作不间断的动画,以及在鼠标事件之后产生动画。(有点难,需要好好理解) <!DOCTYPE html><html><head><meta charset="UTF-8"><title>06

Java进阶13讲__第12讲_1/2

多线程、线程池 1.  线程概念 1.1  什么是线程 1.2  线程的好处 2.   创建线程的三种方式 注意事项 2.1  继承Thread类 2.1.1 认识  2.1.2  编码实现  package cn.hdc.oop10.Thread;import org.slf4j.Logger;import org.slf4j.LoggerFactory

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听