// 这里取得用户输入的用户名3

最新推荐文章于 2023-02-24 18:26:16 发布
原创 最新推荐文章于 2023-02-24 18:26:16 发布 · 746 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#authentication #string #credentials #数据库 #user
#exception
本文详细解析了Spring Security中的用户认证流程,包括从用户输入获取用户名、利用缓存提高效率、验证用户状态(如锁定、过期等)、密码校验及最终认证结果的返回。

      // 这里取得用户输入的用户名
        String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED" : authentication.getName();
        // 如果配置了缓存,从缓存中去取以前存入的用户验证信息 - 这里是UserDetail,是服务器端存在数据库里的用户信息,这样就不用每次都去数据库中取了
        boolean cacheWasUsed = true;
        UserDetails user = this.userCache.getUserFromCache(username);
        //没有取到,设置标志位,下面会把这次取到的服务器端用户信息存入缓存中去
        if (user == null) {
            cacheWasUsed = false;

            try {//这里是调用UserDetailService去取用户数据库里信息的地方
                user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
            } catch (UsernameNotFoundException notFound) {
                if (hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(messages.getMessage(
                            "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                } else {
                    throw notFound;
                }
            }

            Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
        }

        if (!user.isAccountNonLocked()) {
            throw new LockedException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.locked",
                    "User account is locked"));
        }

        if (!user.isEnabled()) {
            throw new DisabledException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.disabled",
                    "User is disabled"));
        }

        if (!user.isAccountNonExpired()) {
            throw new AccountExpiredException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.expired",
                    "User account has expired"));
        }

        // This check must come here, as we don't want to tell users
        // about account status unless they presented the correct credentials
        try {//这里是验证过程,在retrieveUser中从数据库中得到用户的信息,在additionalAuthenticationChecks中进行对比用户输入和服务器端的用户信息
              //如果验证通过,那么构造一个Authentication对象来让以后的授权使用,如果验证不通过,直接抛出异常结束鉴权过程
            additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
        } catch (AuthenticationException exception) {
            if (cacheWasUsed) {
                // There was a problem, so try again after checking
                // we're using latest data (ie not from the cache)
                cacheWasUsed = false;
                user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
                additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
            } else {
                throw exception;
            }
        }

        if (!user.isCredentialsNonExpired()) {
            throw new CredentialsExpiredException(messages.getMessage(
                    "AbstractUserDetailsAuthenticationProvider.credentialsExpired", "User credentials have expired"));
        }
        //根据前面的缓存结果决定是不是要把当前的用户信息存入缓存以供下次验证使用
        if (!cacheWasUsed) {
            this.userCache.putUserInCache(user);
        }

        Object principalToReturn = user;

        if (forcePrincipalAsString) {
            principalToReturn = user.getUsername();
        }
        //最后返回Authentication记录了验证结果供以后的授权使用
        return createSuccessAuthentication(principalToReturn, authentication, user);
    }
    //这是是调用UserDetailService去加载服务器端用户信息的地方,从什么地方加载要看设置,这里我们假设由JdbcDaoImp来从数据中进行加载
    protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
        throws AuthenticationException {
        UserDetails loadedUser;
        //这里调用UserDetailService去从数据库中加载用户验证信息,同时返回从数据库中返回的信息,这些信息放到了UserDetails对象中去了
        try {
            loadedUser = this.getUserDetailsService().loadUserByUsername(username);
        } catch (DataAccessException repositoryProblem) {
            throw new AuthenticationServiceException(repositoryProblem.getMessage(), repositoryProblem);
        }

        if (loadedUser == null) {
            throw new AuthenticationServiceException(
                "UserDetailsService returned null, which is an interface contract violation");
        }
        return loadedUser;
    }


下面我们重点分析一下JdbcDaoImp这个类来看看具体是怎样从数据库中得到用户信息的:
Java代码

  • publicclass JdbcDaoImpl extends JdbcDaoSupport implements UserDetailsService {  
  •     //~ Static fields/initializers =====================================================================================   
  •     //这里是预定义好的对查询语句,对应于默认的数据库表结构,也可以自己定义查询语句对应特定的用户数据库验证表的设计   
  •     public static final String DEF_USERS_BY_USERNAME_QUERY =  
  •             "SELECT username,password,enabled FROM users WHERE username = ?";  
  •     public static final String DEF_AUTHORITIES_BY_USERNAME_QUERY =  
  •             "SELECT username,authority FROM authorities WHERE username = ?";  
  •   
  •     //~ Instance fields ================================================================================================   
  •     //这里使用Spring JDBC来进行数据库操作   
  •     protected MappingSqlQuery authoritiesByUsernameMapping;  
  •     protected MappingSqlQuery usersByUsernameMapping;  
  •     private String authoritiesByUsernameQuery;  
  •     private String rolePrefix = "";  
  •     private String usersByUsernameQuery;  
  •     private boolean usernameBasedPrimaryKey = true;  
  •   
  •     //~ Constructors ===================================================================================================   
  •     //在初始化函数中把查询语句设置为预定义的SQL语句   
  •     public JdbcDaoImpl() {  
  •         usersByUsernameQuery = DEF_USERS_BY_USERNAME_QUERY;  
  •         authoritiesByUsernameQuery = DEF_AUTHORITIES_BY_USERNAME_QUERY;  
  •     }  
  •   
  •     //~ Methods ========================================================================================================   
  •   
  •     protected void addCustomAuthorities(String username, List authorities) {}  
  •   
  •     public String getAuthoritiesByUsernameQuery() {  
  •         return authoritiesByUsernameQuery;  
  •     }  
  •   
  •     public String getRolePrefix() {  
  •         return rolePrefix;  
  •     }  
  •   
  •     public String getUsersByUsernameQuery() {  
  •         return usersByUsernameQuery;  
  •     }  
  •   
  •     protected void initDao() throws ApplicationContextException {  
  •         initMappingSqlQueries();  
  •     }  
  •      * Extension point to allow other MappingSqlQuery objects to be substituted in a subclass
  •      */  
  •     protected void initMappingSqlQueries() {  
  •         this.usersByUsernameMapping = new UsersByUsernameMapping(getDataSource());  
  •         this.authoritiesByUsernameMapping = new AuthoritiesByUsernameMapping(getDataSource());  
  •     }  
zadalwl
关注
spring security 用户认证原理
swadian2008的博客
08-27 1465
在程序的调用链中,找到一个 StandardWrapperValve 的记录,StandardWrapperValve.class 类位于 tomcat 核心包中,跟踪到这个调用位置(StandardWrapperValve#invoke),可以看到过滤器链的调用。用户名和密码认证过滤器继承了 AbstractAuthenticationProcessingFilter.calss,该过滤器的 #doFilter 方法中,调用了用户名和密码认证过滤器中用户认证的逻辑。调用认证管理器的具体实现进行权限验证。.
spring security 源码解析
stormwyrm的博客
03-30 1912
最近闲暇时间有空来看下spring secrity ,spring secrity 有很多种方式方式,那么我只看了通过数据库获取信息校验,若有什么不妥请及时告知我 spring secrity 第一个入口是一个filter 拦截请求 public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationExcept..
基于RuoYi学习SpringSecurity集成
m0_37246056的博客
10-23 1080
基于RuoYi学习SpringSecurity集成 集成maven坐标 <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 启用配置类 package
spring security 测试自定义logout,发生重定向
s_tupid的博客
02-24 874
spring security自定义logout,NONE_PROVIDED(String),重定向
如何理解SpringSecurity的用户登录所需信息以及配置原理——源码学习——从0到1教会方法自行学习
Alascanfu的博客
02-18 628
本篇内容:如何理解SpringSecurity的用户登录所需信息以及配置原理——源码学习——从0到1教会方法自行学习 文章专栏:前后端分离项目(Vue + SpringBoot) 最近更新:2022年 2月 17 日 如何理解学习SpringSecurity的自动配置原理以及其拓展——举例进行学习——从0到1教会方法自行学习 个人简介:一只二本院校在读的大三程序猿,本着注重基础,打卡算法,分享技术作为个人的经验总结性的博文博主,虽然可能有时会犯懒,但是还是会坚持下去的,如果
3. 1.C语言和OC结合题目 // 从控制台输入用户名和密码, 然后 判断输入用户名是否是@“Frank”, 密码 是否是 @“lanou”, 如果用户名和密码都正确,则输出登录成功
qq_17794197的专栏
08-06 3304
char account[20] = "0",password[20] = "0";//存储字符串 printf("请输入用户名:\n"); scanf("%s",account);//输入字符串 NSString *translate1 = [NSString stringWithUTF8String:account];//转换账号
git fatal: Authentication failed for ‘https://gitee.com
qi_sheng_的博客
07-10 1万+
fatal: Authentication failed for 'https://gitee.com/ remote: Incorrect username or password ( access token ) 啥意思 我们先来讲一下这是啥意思,大概的意思就是说账号或密码不正确,第三方会为了保护代码,设立的验证机制,就是要验证一下是不是本人 产生原因 对于新手来说的话,去到一家公司入职,很容易遇到这样的问题,尤其是老板给安排台没人用过的电脑,要重新配置环境,git是必不可少 的,那么我们就会去下载
windows10 将user用户名目录修改为英文
热门推荐
Tekraft
09-11 2万+
一、起因 因为某些历史原因,我在单位用的电脑的用户名是中文,很多文件存储在C:\Users\中文用户名\目录下,运行一些软件总会出现一些因为中文路径引起的问题,重装系统又要配置安装很多软件和环境,今天下定决心把用户名和目录修改成英文。 二、修改登陆用户名 打开控制面板->用户账户->用户账户->更改账户名称,修改为英文用户名 修改完成后,系统启动时的欢迎屏幕和开始菜单中用户名会被更新 三、修改user用户名目录 修改登陆用户名后,C:\User\中文用户名\目录依然为中文,需要管理员
C 模拟登录 用户输入用户名和密码,验证登录
m0_64358145的博客
07-14 3309
1. 模拟3次机会 三次输入结束活提示登录失败 2. 密码不可见,输入密码时显示******
1.spring security认证流程
weixin_45974277的博客
02-24 5274
让我们仔细分析认证过程: 1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到, 封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证,然后交给DaoAuthenticationProvider委托..
IDEA maven provided依赖报错解决
shengpli′s blog
08-13 1499
问题 maven添加provided依赖,idea运行时会报错找不到相关类 解决 在Run|Run Configurations选择如下勾选框 Include dependencies with “Provided” scope。注意此选项框在IDEA 2018.1版本才添加,详见:https://www.jetbrains.com/idea/whatsnew/2018-1/,版本过低需要安装高...
Spring Security Oauth2 单点登录案例实现和执行流程剖析
朝雨忆轻尘
12-07 1144
在线演示 演示地址:http://139.196.87.48:9002/kitty 用户名:admin 密码:admin Spring Security Oauth2 OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本。OAuth2在“客户端”与“服务提供商”之间,设置了一个授权层(authorization layer)。“客户端”不能直接登录“服务提供...
Spring Security(07)——缓存UserDetails
Elim的博客
11-24 446
       Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类,CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetails时,其首先会从缓存中获取,如果缓存中没有对应的UserDetails存在,...
深入理解SpringSecurity的执行原理
cj1561435010的博客
04-28 465
看下过滤器链的原理: 首先分析web.xml中的如下配置: <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</f...
前后端分离 spring security实现多认证功能
Liu_black的博客
08-05 1457
前后端分离 spring security实现多认证功能 spring security简说 spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Filter(UsernamePasswordAuthenticationFilter)之类的,Filter再交由其他组件完成细分的功能,例如最常用的UsernamePasswordAuthenticationFilter会持有一
Spring Security默认用户生成分析
Littewood的博客
07-15 1116
Spring Security默认用户生成源码分析
7. Spring Security缓存UserDetails
一个人的人生
11-29 1947
Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类,CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetails时,其首先会从缓存中获取,如果缓存中没有对应的UserDetails存在,则使用持有的UserD
SpringSecurity系列 - 08 oauth2认证:ClientCredentialsTokenEndpointFilter 过滤器
你今天真好看呀
09-14 2425
在 Spring Seourity 中,允许系统同时⽀持多种不同的认证⽅式,例如同时⽀持⽤户名/密码认证、 ReremberMe 认证、⼿机号码动态认证等,⽽不同的认证⽅式对应了不同的 AuthenticationProvider,所以⼀个完整的认证流程可能由多个AuthenticationProvider 来提供。到这儿认证流程就结束了,但是我们可以继续往下看一下,底层如何根据username获取客户端用户信息的。
Spring Boot Oauth2缓存UserDetails到Ehcache
weixin_34174422的博客
08-04 256
在Spring中有一个类CachingUserDetailsService实现了UserDetailsService接口,该类使用静态代理模式为UserDetailsService提供缓存功能。该类源码如下: CachingUserDetailsService.java public class CachingUserDetailsService implements UserDetailsSer...
Spring Security 解析() —— 认证过程
chu9764的博客
08-22 1239
Spring Security 解析() —— 认证过程 >   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring Security 、Spring Security Oauth2 等权限、认证相关的内容、原理及设计学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值