史上最简单的Spring Security教程(二十五):UsernamePasswordAuthenFilter详解

最新推荐文章于 2026-04-21 08:04:29 发布
原创 最新推荐文章于 2026-04-21 08:04:29 发布 · 4k 阅读 · 13 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文详细介绍了Spring Security框架中表单登录Filter——UsernamePasswordAuthenticationFilter的工作原理,包括认证流程、Session策略、认证成功与失败处理,以及如何自定义AuthenticationFilter。

​在 Spring Security 框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。

下面我们就来一起详细了解一下这个 Filter 的具体功用。

首先,既然是Filter,势必要实现 Filter 接口吧,不过,确实实现了 Filter 接口。

从上图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系,也确实实现了 Filter 接口。

那么,我们便从 Filter 的核心方法 doFilter 开始看起,然后,内部贯穿说明其它涉及的逻辑。

 

判断

 

 

首先,便是是否需要认证的判断。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
​
    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
​
    if (!requiresAuthentication(request, response)) {
      chain.doFilter(request, response);
​
      return;
    }

如不需要认证,则直接执行下一个 Filter;如果需要认证,再向下继续进行。按照 Spring Security 框架的默认配置,此处只拦截 /login 的action,也即表单登录提交action,不会拦截其它请求。因此,这也就是解释了为何其它请求不会被 UsernamePasswordAuthenticationFilter 处理

此一节是通过 requiresAuthentication 方法来判断的。

protected boolean requiresAuthentication(HttpServletRequest request,
      HttpServletResponse response) {
    return requiresAuthenticationRequestMatcher.matches(request);
}

而 requiresAuthenticationRequestMatcher,看着不熟悉,其实,我们一开始就为其赋了值。

比如构造方法(基类AbstractAuthenticationProcessingFilter)。

protected AbstractAuthenticationProcessingFilter(
      RequestMatcher requiresAuthenticationRequestMatcher) {
    Assert.notNull(requiresAuthenticationRequestMatcher,
                   "requiresAuthenticationRequestMatcher cannot be null");
    this.requiresAuthenticationRequestMatcher = requiresAuthenticationRequestMatcher;
}

同时,UsernamePasswordAuthenticationFilter 默认的无参构造方法,也对此进行了赋值(Ant风格路径匹配)。

public UsernamePasswordAuthenticationFilter() {
    super(new AntPathRequestMatcher("/login", "POST"));
}

注意,正是此处,默认了 /login(老版本为 /j_spring_security_check)为用户名密码验证路径,即 loginProcessingUrl(老版本为 filterProcessingUrl

基类 AbstractAuthenticationProcessingFilter 的无参构造方法为:

protected AbstractAuthenticationProcessingFilter(String defaultFilterProcessesUrl) {
    setFilterProcessesUrl(defaultFilterProcessesUrl);
}

基类的 setFilterProcessesUrl 方法和 requiresAuthenticationRequestMatcher 的 setter 方法一起,实现了对 requiresAuthenticationRequestMatcher 的赋值。

public void setFilterProcessesUrl(String filterProcessesUrl) {
    setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher(
        filterProcessesUrl));
}
​
public final void setRequiresAuthenticationRequestMatcher(
    RequestMatcher requestMatcher) {
    Assert.notNull(requestMatcher, "requestMatcher cannot be null");
    this.requiresAuthenticationRequestMatcher = requestMatcher;
}

同时,表单登录配置器同时也默认了 UsernamePasswordAuthenticationFilter 作为表单登录验证的Filter,同时,提供了相关API以供相关配置属性的修改。

/**
 * Creates a new instance
 * @see HttpSecurity#formLogin()
 */
public FormLoginConfigurer() {
    super(new UsernamePasswordAuthenticationFilter(), null);
    usernameParameter("username");
    passwordParameter("password");
}
​
......
​
@Override
public FormLoginConfigurer<H> loginPage(String loginPage) {
    return super.loginPage(loginPage);
}
​
......
​
public FormLoginConfigurer<H> usernameParameter(String usernameParameter) {
    getAuthenticationFilter().setUsernameParameter(usernameParameter);
    return this;
}
​
......

 

尝试认证

 

 

如果需要进行认证,也即就是表单提交操作,此时,便需要进行用户名、密码验证。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
​
    ......
​
    try {
      authResult = attemptAuthentication(request, response);
      ......
    }

具体的验证逻辑,在 UsernamePasswordAuthenticationFilter 中的 attemptAuthentication方法。

public Authentication attemptAuthentication(HttpServletRequest request,
      HttpServletResponse response) throws AuthenticationException {
    if (postOnly && !request.getMethod().equals("POST")) {
        throw new AuthenticationServiceException(
            "Authentication method not supported: " + request.getMethod());
    }
​
    String username = obtainUsername(request);
    String password = obtainPassword(request);
​
    if (username == null) {
        username = "";
    }
​
    if (password == null) {
        password = "";
    }
​
    username = username.trim();
​
    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
        username, password);
​
    // Allow subclasses to set the "details" property
    setDetails(request, authRequest);
​
    return this.getAuthenticationManager().authenticate(authRequest);
}

其实,此处的验证逻辑比较简单,最主要的便是调用 AuthenticationManager 进行身份认证

attemptAuthentication 方法主要是搜集参数(username、password),封装为验证请求(UsernamePasswordAuthenticationToken),然后调用AuthenticationManager 进行身份认证。关于认证的详细逻辑,后续会专门细讲,此处暂且不提。

关于此处设计,我们可以想象一下。为何核心逻辑都在基类 AbstractAuthenticationProcessingFilter 中,而尝试认证却需要子类 UsernamePasswordAuthenticationFilter 来实现?

其实,细品之后,不难发现其奥义。

无论哪一种认证方式,都需要先判断是否需要进行认证,然后认证成功了怎么样,失败了怎么样等等(诶,好像剧透了!!!)。

但是,认证需要的这些参数数据怎么来,甚至怎么认证,我就不管了,开发者可根据具体业务场景自行实现。

如 UsernamePasswordAuthenticationFilter,通过获取表单提交的参数,封装为表单登录认证特有的 UsernamePasswordAuthenticationToken 进行认证(后续还会讲解其它类型的认证方式哦,也就是不同的Token)。

 

Session策略

 

 

认证完成后(不发生异常),会有一个 Session 策略处理器处理 Session 的过程。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
​
    ......
​
    try {
      authResult = attemptAuthentication(request, response);
      if (authResult == null) {
        // return immediately as subclass has indicated that it hasn't completed
        // authentication
        return;
      }
      sessionStrategy.onAuthentication(authResult, request, response);
    }

具体怎么处理的,此处暂且不谈。

 

认证成功

 

 

如果认证过程中没有发生异常,那么即为认证成功。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
​
    ......
​
    successfulAuthentication(request, response, chain, authResult);
  }

具体的认证成功逻辑如下:

protected void successfulAuthentication(HttpServletRequest request,
      HttpServletResponse response, FilterChain chain, Authentication authResult)
      throws IOException, ServletException {
​
    if (logger.isDebugEnabled()) {
        logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
                     + authResult);
    }
​
    SecurityContextHolder.getContext().setAuthentication(authResult);
​
    rememberMeServices.loginSuccess(request, response, authResult);
​
    // Fire event
    if (this.eventPublisher != null) {
        eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
            authResult, this.getClass()));
    }
​
    successHandler.onAuthenticationSuccess(request, response, authResult);
}

 

暂且先不管 rememberMeServices。单看其它逻辑,也不复杂。首先把认证后的结果(UsernamePasswordAuthenticationToken )放到了 SecurityContextHolder 属于当前线程的 SecurityContext 中;然后,使用 rememberMeServices 处理记住我逻辑;接着,如果事件发布器不为空,则发布认证成功消息,供其他 Bean 接收并处理;最后,调用 AuthenticationSuccessHandler 进行认证成功的相关操作。

此处简单说明一下,为何把认证后的结果(UsernamePasswordAuthenticationToken )放到了 SecurityContextHolder 属于当前线程的 SecurityContext 中。

一切皆因 SecurityContextHolder 的初始化方法和 strategyName 参数。

private static void initialize() {
    if (!StringUtils.hasText(strategyName)) {
        // Set default
        strategyName = MODE_THREADLOCAL;
    }
​
    if (strategyName.equals(MODE_THREADLOCAL)) {
        strategy = new ThreadLocalSecurityContextHolderStrategy();
    }
    else if (strategyName.equals(MODE_INHERITABLETHREADLOCAL)) {
        strategy = new InheritableThreadLocalSecurityContextHolderStrategy();
    }
    else if (strategyName.equals(MODE_GLOBAL)) {
        strategy = new GlobalSecurityContextHolderStrategy();
    }
    else {
        // Try to load a custom strategy
        try {
            Class<?> clazz = Class.forName(strategyName);
            Constructor<?> customStrategy = clazz.getConstructor();
            strategy = (SecurityContextHolderStrategy) customStrategy.newInstance();
        }
        catch (Exception ex) {
            ReflectionUtils.handleReflectionException(ex);
        }
    }
​
    initializeCount++;
}

由于 strategyName 参数默认为空,所以,SecurityContextHolderStrategy 便被初始化为 ThreadLocalSecurityContextHolderStrategy。当然,也可以设置其它类型的 ThreadLocalSecurityContextHolderStrategy,只需设置 strategyName 参数即可。

 

认证失败

 

 

如果认证过程中发生异常,即代表认证失败。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
​
    ......
​
    catch (InternalAuthenticationServiceException failed) {
      logger.error(
          "An internal error occurred while trying to authenticate the user.",
          failed);
      unsuccessfulAuthentication(request, response, failed);
​
      return;
    }
    catch (AuthenticationException failed) {
      // Authentication failed
      unsuccessfulAuthentication(request, response, failed);
​
      return;
    }
​
    ......
  }

认证过程中发生异常,一共有分为两种情况,一是不好区分具体的认证失败原因、场景的内部异常,即 InternalAuthenticationServiceException;另一种就是父异常 AuthenticationException。这个异常是所有认证异常的父类。除了内部异常打印了一句日志,其它也没有明显的区别。

认证失败的具体处理逻辑如下:

protected void unsuccessfulAuthentication(HttpServletRequest request,
      HttpServletResponse response, AuthenticationException failed)
      throws IOException, ServletException {
    SecurityContextHolder.clearContext();
​
    if (logger.isDebugEnabled()) {
        logger.debug("Authentication request failed: " + failed.toString(), failed);
        logger.debug("Updated SecurityContextHolder to contain null Authentication");
        logger.debug("Delegating to authentication failure handler " + failureHandler);
    }
​
    rememberMeServices.loginFail(request, response);
​
    failureHandler.onAuthenticationFailure(request, response, failed);
}

首先,清除放到了 SecurityContextHolder 属于当前线程的 SecurityContext 中的认证后的结果(UsernamePasswordAuthenticationToken ,然后,就是 rememberMeServices 的处理逻辑(暂时不谈);最后,便是调用认证失败handler,即 AuthenticationFailureHandler 来处理失败后的逻辑。

 

自定义AuthenticationFilter

 

 

既然我们搞懂了表单登录认证Filter UsernamePasswordAuthenticationFilter 的相关认证逻辑,那么我们不妨自己实现一个 AuthenticationFilter

就以CA登录认证为例吧。

首先,我们创建一个适用于CA登录认证的 CertificateAuthorityAuthenticationToken(类似于表单登录认证的UsernamePasswordAuthenticationToken )。由于CA密码在前端验证,所以无需 credentials 属性。

public class CertificateAuthorityAuthenticationToken extends AbstractAuthenticationToken {
​
  private final Object principal;
​
    // ~ Constructors
    // ===================================================================================================
​
    /**
     * This constructor can be safely used by any code that wishes to create a
     * <code>CertificateAuthorityAuthenticationToken</code>, as the {@link #isAuthenticated()}
     * will return <code>false</code>.
     *
     */
    public CertificateAuthorityAuthenticationToken(Object principal) {
        super(null);
        this.principal = principal;
        setAuthenticated(false);
    }
    
  ......
}

基本逻辑同 UsernamePasswordAuthenticationToken ,但是,CA登录最显著的特点在于其只需输入密码,无需输入账号(与账号提前绑定)。所以,免去了记忆的烦恼,同时也增加了安全性。当然,KEY丢失了不算哈~~。

然后,自定义 CertificateAuthorityAuthenticationFilter 以处理CA登录请求,默认 filterProcessesUrl 为 /certificate_authority_login

public class CertificateAuthorityAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
​
  ......
​
    public CertificateAuthorityAuthenticationFilter() {
        super(new AntPathRequestMatcher("/certificate_authority_login", "POST"));
    }
​
    // ~ Methods
    // ========================================================================================================
​
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
​
    ......
​
        CertificateAuthorityAuthenticationToken authRequest = new CertificateAuthorityAuthenticationToken(
                signature, password);
​
    ......
    }
​
    ......
}

至于CA登录的演示,这里就不做了。一是还需要自定义相应的 AuthenticationManagerAuthenticationProvider、登录页面等,这些都还没有讲解到;另外,最重要的是,我们没有CA KEY,也演示不了[尴尬][尴尬]。

其它详细源码,请参考文末源码链接,可自行下载后阅读。

我是银河架构师,十年饮冰,难凉热血,愿历尽千帆,归来仍是少年! 

如果文章对您有帮助,请举起您的小手,轻轻【三连】,这将是笔者持续创作的动力源泉。当然,如果文章有错误,或者您有任何的意见或建议,请留言。感谢您的阅读!

 

源码

 

 

github

https://github.com/liuminglei/SpringSecurityLearning/tree/master/25

 

gitee

https://gitee.com/xbd521/SpringSecurityLearning/tree/master/25

 

 

 

Spring Security源码解析一:UsernamePasswordAuthenticationFilter之登录流程
www_xuhss_com的博客
01-20 2489
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一.前言 spring security安全框架作为spring系列组件中的一个,被广泛的运用在各项目中,那么spring security在程序中的工作流程是个什么样的呢,它是如何进行一系列的鉴权和认证呢,下面让我们走进源码,从源码的角度来从头走一遍spr
SpringSecurity过滤器UsernamePasswordAuthenticationFilter
clyu的博客
01-01 6133
简介 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份认证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST请求。当我们登录的时候,也就是匹配到loginProcessingUrl,这个过滤器就会委托认证管理器authenticationManager来验证登录 登陆流程入口是Abstrac
spring security 超详细使用教程(接入springboot、前后端分离)
最新发布
ooseabiscuit的博客
04-21 364
如果需要更复杂的授权逻辑,可以实现自定义的或。
SpringSecurity------ Username/Password Authentication(九)
豢龙先生
06-18 2765
最常见的用户身份认证就是使用用户名密码,Spring Security为使用用户名和密码进行身份验证提供了全面的支持。 Spring Security提供了以下内置机制来从HttpServletRequest读取用户名和密码 (1)在未经过认证的情况下向/private发送了一个请求(2)FilterSecurityInterceptor通过抛出AccessDeniedException异常通知应用程序拒绝未经身份验证的请求(3)由于检测到用户没有经过身份认证,ExceptionTranslationFil
UsernamePasswordAuthenticationFilter
m0_57560984的博客
09-03 4861
我们前面介绍的账户密码都是指定在我们的xml配置文件中,我们最终还是需要实现和数据库中的数据比较,那么我们就需要自定义认证逻辑的实现。 我们还是一样先进行源码分析,系统认证是通过UsernamePasswordAuthenticationFilter过滤器实现的。 表单提交参数 public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter { //...
Spring Security入门6:Spring Security的默认配置
Designer 小郑的技术博客
01-10 2459
Spring Security 是一个强大且灵活的身份验证和授权框架,用于保护 Java Web 应用程序中的资源,它提供了一套丰富的功能,用于处理身份验证、授权、密码编码和会话管理等安全相关的任务。
spring-security(二十一)核心Filter-UsernamePasswordAuthenticationFilter
高枫的博客
03-04 805
一、UsernamePasswordAuthenticationFilter功能和属性 到目前为止,我们已经探讨了三个主要的filter,当采用默认配置时spring security会自动给我们追加这三个filter,现在我们的filter中还差一个处理用户认证的filter,下面我们就主要讨论下最常用的认证filter-UsernamePasswordAuthenticationFilter...
Spring常用过滤器(Filter)-UsernamePasswordAuthenticationFilter
Liang的博客
10-30 944
UsernamePasswordAuthenticationFilterSpring Security中用于处理用户名和密码登录认证的重要组件。1.1.1 UsernamePasswordAuthenticationFilterSpring Security提供的一个内置过滤器,专门用于处理基于用户名和密码的登录认证。如果认证成功,AuthenticationProvider会返回一个已认证的Authentication对象,通常包含了用户的信息(如UserDetails的实现)。
UsernamePasswordAuthenticationFilter详解
小汤圆
08-11 5606
表单认证是最常用的一个认证方式,一个最直观的业务场景便是允许用户在表单中输入用户名和密码进行登录,而这背后的UsernamePasswordAuthenticationFilter,在整个Spring Security的认证体系中则扮演着至关重要的角色。 源码分析 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication public Authenti
SpringBoot3-Security 之 认证与UsernamePasswordAuthenticationFilter
qq_45090949的博客
12-05 2300
本文主要研究 SpringBoot-Security 的认证过程, 主要涉及的过滤器是首先我们要学习认证涉及到的类, 主要是多个接口之间的关系和作用学习中做了什么学习中一些重要属性的创建过程总的认证过程一共创建了两个, 其中中在创建对象的时候创建了一个,中使用@Bean的方式注入了一个在中创建的将@Bean创建的作为自己的 parent 保存中有个注入了一个, 这个 config 在调用方法的时候会被加入到@Bean注入的中,这个类会引入另外一个配置类, 然后该配置类会向中添加一个中创建的。
SpringSecurity默认过滤器链之UsernamePasswordAuthenticationFilter
欢谷悠扬
07-12 2041
1.作用 这个Filter是通过用户名和密码进行认证(登录)的。系统默认有三种认证Filter。 ClientCredentialsTokenEndpointFilter: 基于oauth2 token的认证入口 Oauth2ClientAuthenticationProcessingFilter:oauth2 客户端用于从授权服务器获取accessToken进行认证 2.认证统一流程AbstractAuthenticationProcessingFilter public void doFilte
Spring Security(二)自定义用户名密码认证
Lyndon的专栏
10-23 8559
SpringBoot整合Spring Security实现ajax登录
UsernamePasswordAuthenticationFilter学习之基础
热门推荐
yecong111的专栏
11-28 2万+
UsernamePasswordAuthenticationFilter是登陆用户密码验证过滤器,它继承了AbstractAuthenticationProcessingFilter过滤器(真正的Filter),是spring security3的第4个过滤器。 UsernamePasswordAuthenticationFilter由于3个表单参数,是我们需要知道的 1、username
Spring Security 6 UsernamePasswordAuthenticationFilter 详解
csdn_tom_168的博客
06-29 1046
Spring Security 6中的UsernamePasswordAuthenticationFilter是处理表单登录的核心过滤器,主要功能包括拦截登录请求、执行认证流程和管理安全上下文。该过滤器默认拦截POST方式的/login请求,提取用户名密码后创建未认证Token,委托AuthenticationManager完成认证。认证成功后会将Authentication存入SecurityContextHolder,失败则清除上下文。开发者可通过配置自定义登录页URL、字段名等参数,也可通过继承该过滤
详解(源码)SpringSecurity的认证过程!!
qq_42682745的博客
10-11 3467
文章目录AbstractAuthenticationProcessingFilter1.UsernamePasswordAuthenticationFilter的创建2.attemptAuthentication()方法整个认证过程梳理:1. 一号选手UsernamePasswordAuthenticationFilter2.二号选手ProviderManager3.三号选手DaoAuthenticationProvider(主力部队)4.四号选手SecurityContextPersistenceFilt
SpringSecurity原理解析(二):认证流程
liang8999的博客
09-08 2940
attemptAuthentication 方法在子类UsernamePasswordAuthenticationFilter 中实现的。attemptAuthentication方法的作用是获取Authentication对象其实就是对应的认证过程,用该AuthenticationProvider的authenticate函数认证,如果认证成功则整个认证过程结束。AuthenticationManager接口中就定义了一个方法authenticate方法,用于处理认证的请求;
Spring Security教程 Vol 4. 使用用户名和密码验证身份-UsernamePasswordAuthenticationFilter
03-11 1388
https://www.jianshu.com/p/e98cdf23b991 前言 上一期我们分享了Spring Security是如何通过AbstractAuthenticationProcessingFilter向Web应用向基于HTTP、浏览器的请求提供身份验证服务的。 这一次我们针对最常用,也是Spring Security默认在HTTP上使用的验证过滤器转存失败重新上传取消即基于用户...
深入理解SpringSecurity中的Authentication信息与登录流程和过滤器的配置:addFilterBefore
m0_71777195的博客
07-06 2917
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。
Spring Security 入门(3-11)Spring Security 的登录密码验证过程 UsernamePasswordAuthenticationFilter...
weixin_34306446的博客
06-15 1842
  认证过程如下 一、先判断请求(请求必须是post请求)地址是否为配置的 login-processing-url 值(默认/j_spring_security_check),如果不是,则放行,进入下一个过滤器,是则进行校验。 二、验证用户密码信息并返回Authentication类,在验证过程中如果失败则捕获异常进行处理(执行unsuccessfulAuthentication方法调转到配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值