安科网

spring security 的jwt认证以及原理解析

白净垃圾桶

白净垃圾桶

2020-05-15

关注 关注

1.我们需要建立一个token的生产解析管理器,用于生成token,获取Authentication,验证token格式,以及从请求中获取token;
2.因为我们使用token进行权限控制等,所以我们需要重写一个基于token认证的过滤器,截取请求中的token首先对其进行一个redis查询存在后并对其解析(解密-需要正常获取没有抛出异常)获取信息后,将其转化成Authentication设置到SecurityContextHolder.getContext()上下文中;
3.将此过滤器配置到spring securit的过滤器链中,并将此过滤器设置到UsernamePasswordAuthenticationFilter之前;
4.需要实现userDetailsService,并将权限信息设置到UserDetails,重写loadUserByUsername方法
5.将内容配置到继承于WebSecurityConfigurerAdapter的配置类中去,并设置相应的一些过滤器如跨域,如token过滤器,未取得凭证或未取得授权的拦截器,也可以自定义去实现注解基于不需要权限认证的配置项

6.其中UsernamePasswordAuthenticationFilter中进行校验的是通过loadUserByUsername生成一个UserDetails与传入的UsernamePasswordAuthenticationToken进行校对

7.AuthenticationManager作为身份认证的核心接口,当自定义登录的时候我们需要委托给他的实现类ProviderManager进行身份认证,其中ProviderManager中含有AuthenticationProvider列表,会依次轮询里面AuthenticationProvider,当所构造的Authentication(如:UsernamePasswordAuthentication)被支持后会调用authenticate方法,如UsernamePasswordAuthentication调用的就是DaoAuthenticationProvider中的authenticate方法:
retrieveUser(...): 调用子类 DaoAuthenticationProvider 的 retrieveUser()方法获取 UserDetails
preAuthenticationChecks.check(user): 对从上面获取的UserDetails进行预检查,即判断用户是否锁定,是否可用以及用户是否过期
additionalAuthenticationChecks(user,authentication): 对UserDetails附加的检查,对传入的Authentication与获取的UserDetails进行密码匹配
postAuthenticationChecks.check(user): 对UserDetails进行后检查,即检查UserDetails的密码是否过期
createSuccessAuthentication(principalToReturn, authentication, user): 上面所有检查成功后,利用传入的Authentication 和获取的UserDetails生成一个成功验证的Authentication

这个方法实际上是调用DaoAuthenticationProvider的additionalAuthenticationChecks方法,内部调用加密解密器进行密码匹配,如果匹配失败,则抛出一个 BadCredentialsException异常
最后通过createSuccessAuthentication(..)方法生成一个成功认证的 Authentication,简单说就是组合获取的UserDetails和传入的Authentication,得到一个完全填充的Authentication。
该Authentication最终一步一步向上返回,到AbstractAuthenticationProcessingFilter过滤器中,将其设置到 SecurityContextHolder。

8.自定义一个TokenFilter,将其设置在UsernamePasswordAuthenticationFilter之前,则会进行过滤器链的轮询,当TokenFilter能够正确的设置SercurityHolder的安全上下文,将其传递给下一个过滤器即UsernamePasswordAuthenticationFilter,(在此之前会判断此请求是否是匹配的需要身份验证的请求,不是则不执行下面描述的验证逻辑)但在该过滤器中需要验证login的Post方法并且需要携带username与password,所以此验证失败则直接返回,不再执行身份验证

9.最后才是真正的验证权限逻辑

spring原理 jwt

白净垃圾桶

白净垃圾桶

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

大牛深入解析SpringBoot核心运行原理和运作原理源码

Spring Boot 最核心的功能就是自动配置,第 1 章中我们已经提到,功能的实现都是基于“约定优于配置”的原则。本章会带领大家通过源码学习 Spring Boot 的核心运作原理,内容涉及自动配置的运作原理、核心功能模块、核心注解以及使用到的核心源代

yupi0 2020-10-10

Spring IOC(一)

控制反转,把创建对象的过程交给Spring进行管理。使用IOC的目的,降低耦合度。IOC思想基于IOC容器完成,IOC容器底层就是对象工厂。IOC容器基本实现,是Spring内部使用的接口,不提供开发人员进行使用。(加载配置文件 的时候不会创建对象,在获取

itjavashuai 2020-07-28

@Component、@Service、@Controller、@Rrepository说明

Spring容器是Spring的核心,一切Spring bean都存储在Spring容器内,并由其通过IoC技术管理。应用中bean的实例化,获取,销毁等都是由这个bean工厂管理的。org.springframework.context.Applicat

横云断岭 2020-06-11

Spring的核心接口

像这种方法前后加一些东西的,一开始想到的是AOP,源码上看起来并不是AOP,而是在执行InitMethod的前后分别调用两个方法。相当于观察者模式的Observe实现类

横云断岭 2020-05-26

spring 事务原理

1) 获取注解属性,获取到事务管理器,对目标方法进行执行;

haidaoxianzi 2020-05-07

Spring第二篇:Spring容器的基本使用及原理

  Spring的IOC容器是具有依赖注入功能的容器,负责对象的实例化、对象的初始化,对象和对象之间依赖关系配置、对象的销毁、对外提供对象的查找等操作,对象的整个生命周期都是由容器来控制。我们需要在配置文件中告诉Spring如何创建和管理该对象,我们把配置

咻pur慢 2020-04-29

spring 注解事务的原理(@Transaction)

注解一般都是需要切面类来根据注解加上adviser的,我们的transaction也不例外。

shuiluobu 2020-04-16

Spring Boot mybatis-starter原理

mybatis-spring-boot-autoconfigure 根据之前自定义的starter,它里面spring.factories有一个配置类实现了

小鱿鱼 2020-03-09

9种设计模式在Spring中的运用,一定要非常熟练

Spring中的BeanFactory就是简单工厂模式的体现,根据传入一个唯一的标识来获得Bean对象,但是否是在传入参数后创建还是传入参数前创建这个要根据具体情况来定。由一个工厂类根据传入的参数,动态决定应该创建哪一个产品类。读取bean的xml配置文件

shuiluobu 2020-03-03

Spring的两种动态代理:Jdk和Cglib 的区别和实现

java动态代理是利用反射机制生成一个实现代理接口的匿名类,在调用具体方法前调用InvokeHandler来处理。而cglib动态代理是利用asm开源包,对代理对象类的class文件加载进来,通过修改其字节码生成子类来处理。如何强制使用CGLIB实现AOP

MicroBoy 2020-02-29

Spring Bean 在容器的生命周期是什么样的?

Spring 容器根据配置中的 Bean Definition(定义)中实例化Bean 对象。Bean Definition 可以通过 XML,Java 注解或 Java Config 代码提供。Spring 使用依赖注入填充所有属性,如 Bean 中所定

neweastsun 2020-02-26

spring-BeanNameAware的使用

对于使用@Component注解纳入spring管理的bean,若未设置bean的name,则默认为首字母小写的bean类名,如SpringInit-springInit。

牧场SZShepherd 2020-02-23

【学习底层原理系列】重读spring源码1-建立基本的认知模型

在工作中,相信很多人都有这种体会,与其修改别人代码,宁愿自己重写。从0-1的过程,是建立在自己已有认知基础上,去用自己熟悉的方式构建一件作品。接下来就是去做一件自己熟悉的领域的事而已。对这种风险的规避,是来自骨子里的。下面开始正文,尝试换一种风格来解析sp

牧场SZShepherd 2020-02-23

spring中@Async注解的原理和使用

@EnableAsync是开启某个模块的功能加载,之前在《导图梳理springboot手动、自动装配,让springboot不再难懂》介绍过,@EnableXXX一般都有两种用法,一种直接引入配置,一种可以通过注解的元数据选择需要导入的配置。这里的@Ena

csuzxm000 2020-01-10

Spring 注解配置——@Autowired

@Autowired 注释,它可以对类成员变量、方法及构造函数进行标注,完成自动装配的工作。通过 @Autowired的使用来消除 set ,get方法。在使用@Autowired之前,我们对一个bean配置起属性时,是这用用的。通过这种方式来,配置比较繁

csuzxm000 2020-01-05

Spring在一个事务中开启另一个事务

spring使用@Transactional开启事务,而且该注解使用propagation属性来指定事务的传播级别

haidaoxianzi 2020-01-01

spring boot 配置文件动态更新原理 以Nacos为例

如果是在运行时要动态更新的话,第二种方式是自动支持的。因为RefreshEvents可能在应用程序生命周期中来得太早。

whbing 2019-12-23

Spring Boot面试杀手锏————自动配置原理

引言不论在工作中,亦或是求职面试,Spring Boot已经成为我们必知必会的技能项。除了某些老旧的政府项目或金融项目持有观望态度外,如今的各行各业都在飞速的拥抱这个已经不是很新的Spring启动框架。当然,作为Spring Boot的精髓,自动配置原理的

方志朋 2019-12-19

Spring-扫描注解原理,注解自动扫描原理分析

在spring的配置文件中加入如下代码,spring便开启了自动扫描,那么它的底层到底是如何实现的呢?

csuzxm000 2019-12-16

spring security 原理+实战

架构师成长+面试必备之 高并发基础书籍 . 在web应用开发中,安全无疑是十分重要的,选择Spring Security来保护web应用是一个非常好的选择。Spring Security 是spring项目之中的一个安全模块,特别是在spring boot

Julywhj 2019-12-14
白净垃圾桶

白净垃圾桶

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号