springSecurity学习之springSecurity流程

springSecurity流程

认证流程

  • 登录请求进入UsernamePasswordAuthenticationFilter,父类是AbstractAuthenticationProcessingFilter,执行AbstractAuthenticationProcessingFilter的doFilter方法

    authResult = attemptAuthentication(request, response);
    
  • 确认该请求是否需要认证,如果需要认证且此时还没有进行认证,则尝试进行认证,调用UsernamePasswordAuthenticationFilter的attemptAuthentication方法,将从请求中获取的用户名和密码封装成UsernamePasswordAuthenticationToken对象(认证状态为未认证)

    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
          username, password);
          
     public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
    		super(null);
    		this.principal = principal;
    		this.credentials = credentials;
       	// 设置为未认证
    		setAuthenticated(false);
    	}
    
  • 通过AuthenticationManager(实现类是ProviderManager)委托AuthenticationProvider(实现类是DaoAuthenticationProvider)关联UserDetailsService进行认证过程

    // UsernamePasswordAuthenticationFilter中通过AuthenticationManager进行认证
    return this.getAuthenticationManager().authenticate(authRequest);
    
    // ProviderManager中通过AuthenticationProvider进行认证,使用的是DaoAuthenticationProvider对象,DaoAuthenticationProvider继承了AbstractUserDetailsAuthenticationProvider类,实际走的是AbstractUserDetailsAuthenticationProvider的authenticate方法
    result = provider.authenticate(authentication);
    
    // AbstractUserDetailsAuthenticationProvider的authenticate方法中检索用户,实际执行的是DaoAuthenticationProvider的retrieveUser方法
    user = retrieveUser(username,
    						(UsernamePasswordAuthenticationToken) authentication);
    // DaoAuthenticationProvider的retrieveUser方法中通过UserDetailsService就查询用户进行认证,可以自己实现用户查找以及认证过程
    loadedUser = this.getUserDetailsService().loadUserByUsername(username);
    
  • UserDetailsService返回的UserDetails被封装成Authentication

  • 如果认证成功则执行successfulAuthentication

    successfulAuthentication(request, response, chain, authResult);
    
  • 如果认证失败则执行unsuccessfulAuthentication

    unsuccessfulAuthentication(request, response, failed);
    

权限流程

FilterSecurityInterceptor

  • 判断请求是否有权限

    InterceptorStatusToken token = super.beforeInvocation(fi);
    
  • 进行springmvc处理

    fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
    

https://zhhll.icu/2021/框架/springSecurity/3.springSecurity流程/

相关推荐

  1. springSecurity学习springSecurity流程

    2024-07-22 03:28:02       19 阅读
  2. springSecurity学习springSecurity简介

    2024-07-22 03:28:02       27 阅读
  3. springSecurity学习springSecurity过滤web请求

    2024-07-22 03:28:02       27 阅读
  4. SpringSecurity

    2024-07-22 03:28:02       35 阅读
  5. springsecurity学习自用)

    2024-07-22 03:28:02       31 阅读

最近更新

  1. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-07-22 03:28:02       95 阅读
  2. Could not load dynamic library ‘cudart64_100.dll‘

    2024-07-22 03:28:02       103 阅读
  3. 在Django里面运行非项目文件

    2024-07-22 03:28:02       84 阅读
  4. Python语言-面向对象

    2024-07-22 03:28:02       93 阅读

热门阅读

  1. Symfony表单系统详解:构建强大且灵活的表单

    2024-07-22 03:28:02       21 阅读
  2. HarmonyOS NEXT零基础入门到实战-第三部分

    2024-07-22 03:28:02       22 阅读
  3. 计算机网络之TCP/IP协议栈

    2024-07-22 03:28:02       31 阅读
  4. GitHub每日最火火火项目(7.21)

    2024-07-22 03:28:02       27 阅读
  5. 【HTML】基础用法

    2024-07-22 03:28:02       28 阅读
  6. 今日总结:雪花算法,拉取在线用户

    2024-07-22 03:28:02       29 阅读
  7. qt QScrollArea 可滚动区域控件简单举例

    2024-07-22 03:28:02       26 阅读