AI 助理
文档备案控制台
开发者社区 开发与运维 文章 正文

认证源码分析与自定义后端认证逻辑

2025-12-30 43
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 本文深入分析Spring Security认证流程,从UsernamePasswordAuthenticationFilter过滤器入手,解析用户登录请求如何通过AuthenticationManager委托给AuthenticationProvider进行认证,最终由UserDetailsService加载用户信息并完成身份验证的全过程,揭示自定义认证逻辑的关键实现点。

认证流程分析
UsernamePasswordAuthenticationFilter
先看主要负责认证的过滤器UsernamePasswordAuthenticationFilter,有删减,注意注释。
public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter
{
public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
private String usernameParameter = "username";
private String passwordParameter = "password";
private boolean postOnly = true;

public UsernamePasswordAuthenticationFilter() {
    super(new AntPathRequestMatcher("/login", "POST"));
}

public Authentication attemptAuthentication(HttpServletRequest request, 
                                            HttpServletResponse response) throws AuthenticationException {
    //必须为POST请求
    if (this.postOnly && !request.getMethod().equals("POST")) {
        throw new AuthenticationServiceException("Authentication method not supported: " +
                                                 request.getMethod());
    } else {

        String username = this.obtainUsername(request);
        String password = this.obtainPassword(request);

        if (username == null) {
            username = "";
        }

        if (password == null) {
            password = "";
        }

        username = username.trim();

        //将填写的用户名和密码封装到了UsernamePasswordAuthenticationToken中
        UsernamePasswordAuthenticationToken authRequest = new
        UsernamePasswordAuthenticationToken(username, password);

        this.setDetails(request, authRequest);
        //调用AuthenticationManager对象实现认证
        return this.getAuthenticationManager().authenticate(authRequest);
    }
}

}
AuthenticationManager
由上面源码得知,真正认证操作在AuthenticationManager里面!
public class ProviderManager implements AuthenticationManager, MessageSourceAware,
InitializingBean { 

private static final Log logger = LogFactory.getLog(ProviderManager.class);
private AuthenticationEventPublisher eventPublisher;
private List<AuthenticationProvider> providers;
protected MessageSourceAccessor messages;
private AuthenticationManager parent;
private boolean eraseCredentialsAfterAuthentication;

//注意AuthenticationProvider这个对象,SpringSecurity针对每一种认证,什么qq登录啊,
//用户名密码登陆啊,微信登录啊都封装了一个AuthenticationProvider对象。
public ProviderManager(List<AuthenticationProvider> providers) {
    this(providers, (AuthenticationManager)null);
}

public Authentication authenticate(Authentication authentication) throws
AuthenticationException {

    Class<? extends Authentication> toTest = authentication.getClass();
    AuthenticationException lastException = null;
    AuthenticationException parentException = null;
    Authentication result = null;
    Authentication parentResult = null;
    boolean debug = logger.isDebugEnabled();
    Iterator var8 = this.getProviders().iterator();

    //循环所有AuthenticationProvider,匹配当前认证类型。
    while(var8.hasNext()) {
        AuthenticationProvider provider = (AuthenticationProvider)var8.next();
        if (provider.supports(toTest)) {
            if (debug) {
                logger.debug("Authentication attempt using " +
                             provider.getClass().getName());
            }
            try {
                //找到了对应认证类型就继续调用AuthenticationProvider对象完成认证业务。
                result = provider.authenticate(authentication);
                if (result != null) {
                    this.copyDetails(authentication, result);
                    break;
                }
            } catch (AccountStatusException var13) {
                this.prepareException(var13, authentication);
                throw var13;
            } catch (InternalAuthenticationServiceException var14) {
                this.prepareException(var14, authentication);
                throw var14;
            } catch (AuthenticationException var15) {
                lastException = var15;
            }
        }
    }

    if (result == null && this.parent != null) {
        try {
            result = parentResult = this.parent.authenticate(authentication);
        } catch (ProviderNotFoundException var11) {
        } catch (AuthenticationException var12) {
            parentException = var12;
            lastException = var12;
        }
    }

    if (result != null) {
        if (this.eraseCredentialsAfterAuthentication && result instanceof
            CredentialsContainer) {
            ((CredentialsContainer)result).eraseCredentials();
        }
        if (parentResult == null) {
            this.eventPublisher.publishAuthenticationSuccess(result);
        }
        return result;
    } else {
        if (lastException == null) {
            lastException = new
            ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound", new
                                                               Object[]{toTest.getName()}, "No AuthenticationProvider found for {0}"));
        }
        if (parentException == null) {
            this.prepareException((AuthenticationException)lastException, authentication);
        }
        throw lastException;
    }
}

}
AbstractUserDetailsAuthenticationProvider
咱们继续再找到AuthenticationProvider的实现类AbstractUserDetailsAuthenticationProvider:
public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
private static final String USER_NOT_FOUND_PASSWORD = "userNotFoundPassword";
private PasswordEncoder passwordEncoder;
private volatile String userNotFoundEncodedPassword;
private UserDetailsService userDetailsService;
private UserDetailsPasswordService userDetailsPasswordService;
protected final UserDetails retrieveUser(String username,
UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
this.prepareTimingAttackProtection();
try {
//重点来了!主要就在这里了!
//可别忘了,咱们为什么要翻源码,是想用自己数据库中的数据实现认证操作啊!
//UserDetails就是SpringSecurity自己的用户对象。
//this.getUserDetailsService()其实就是得到UserDetailsService的一个实现类
//loadUserByUsername里面就是真正的认证逻辑
//也就是说我们可以直接编写一个UserDetailsService的实现类,告诉SpringSecurity就可以了!
//loadUserByUsername方法中只需要返回一个UserDetails对象即可
UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
//若返回null,就抛出异常,认证失败。
if (loadedUser == null) {
throw new InternalAuthenticationServiceException("UserDetailsService returned
null, which is an interface contract violation");
} else {
//若有得到了UserDetails对象,返回即可。
return loadedUser;
}
} catch (UsernameNotFoundException var4) {
this.mitigateAgainstTimingAttack(authentication);
throw var4;
} catch (InternalAuthenticationServiceException var5) {
throw var5;
} catch (Exception var6) {
throw new InternalAuthenticationServiceException(var6.getMessage(), var6);
}
}
}
AbstractUserDetailsAuthenticationProvider
按理说到此已经知道自定义认证方法的怎么写了,但咱们把返回的流程也大概走一遍,上面不是说到返回了一个 UserDetails对象对象吗?
跟着它就又回到AbstractUserDetailsAuthenticationProvider对象中authenticate方法最后一行了。
public abstract class AbstractUserDetailsAuthenticationProvider implements
AuthenticationProvider, InitializingBean, MessageSourceAware { 

public Authentication authenticate(Authentication authentication) throws
AuthenticationException {
    //最后一行返回值,调用了createSuccessAuthentication方法,此方法就在下面!
    return this.createSuccessAuthentication(principalToReturn, authentication, user);
}

//咿!?怎么又封装了一次UsernamePasswordAuthenticationToken,开局不是已经封装过了吗?
protected Authentication createSuccessAuthentication(Object principal, 
                                                     Authentication authentication, 
                                                     UserDetails user) {
    //那就从构造方法点进去看看,这才干啥了。
    UsernamePasswordAuthenticationToken result = new
    UsernamePasswordAuthenticationToken(principal, authentication.getCredentials(),
                                        this.authoritiesMapper.mapAuthorities(user.getAuthorities()));
    result.setDetails(authentication.getDetails());
    return result;
}

}
UsernamePasswordAuthenticationToken
来到UsernamePasswordAuthenticationToken对象发现里面有两个构造方法
public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken { 

private static final long serialVersionUID = 510L;
private final Object principal;
private Object credentials;

//认证成功前,调用的是这个带有两个参数的。
public UsernamePasswordAuthenticationToken(Object principal, 
                                           Object credentials) {
    super((Collection)null);
    this.principal = principal;
    this.credentials = credentials;
    this.setAuthenticated(false);
}

//认证成功后,调用的是这个带有三个参数的。
public UsernamePasswordAuthenticationToken(Object principal, 
                                           Object credentials,
                                           Collection<? extends GrantedAuthority> authorities) {
    //看看父类干了什么!
    super(authorities);
    this.principal = principal;
    this.credentials = credentials;
    super.setAuthenticated(true);
}

}
AbstractAuthenticationToken
再点进去super(authorities)看看:
public abstract class AbstractAuthenticationToken implements Authentication,
CredentialsContainer { 

private final Collection<GrantedAuthority> authorities;
private Object details;
private boolean authenticated = false;

public AbstractAuthenticationToken(Collection<? extends GrantedAuthority> authorities) {

    //这时两个参数那个分支!
    if (authorities == null) {
        this.authorities = AuthorityUtils.NO_AUTHORITIES;
    } else {
        //三个参数的,看这里!
        Iterator var2 = authorities.iterator();
        //原来是多个了添加权限信息的步骤
        GrantedAuthority a;
        do {
            if (!var2.hasNext()) {
                ArrayList<GrantedAuthority> temp = new ArrayList(authorities.size());
                temp.addAll(authorities);
                this.authorities = Collections.unmodifiableList(temp);
                return;
            }
            a = (GrantedAuthority)var2.next();
        } while(a != null);
        //若没有权限信息,是会抛出异常的!
        throw new IllegalArgumentException("Authorities collection cannot contain any null
        elements");
    }
}

}
由此,咱们需要牢记自定义认证业务逻辑返回的UserDetails对象中一定要放置权限信息! 现在可以结束源码分析了?先不要着急! 咱们回到最初的地方UsernamePasswordAuthenticationFilter,你看好看了,这可是个过滤器,咱们分析这么 久,都没提到doFilter方法,你不觉得心里不踏实?可是这里面也没有doFilter呀?那就从父类找!
AbstractAuthenticationProcessingFilter

文章标签:
Java
Spring
安全
数据库
游客mzexf25iv3cbo
目录
相关文章
时光在流逝
|
6月前
|
人工智能 自然语言处理 算法
揭秘AI文本:当前主流检测技术与挑战
揭秘AI文本:当前主流检测技术与挑战
时光在流逝
1017 115
小陈写代码
|
4月前
|
存储 编解码 分布式计算
阿里云服务器Arm计算架构解析:主要实例规格、性能特点、适用场景与价格参考
阿里云基于ARM架构的云服务器(倚天实例)依托自研倚天710 CPU与第四代神龙/CIPU架构,Arm计算架构以其低功耗、高效率的特点受到广泛关注。本文将为大家解析阿里云服务器Arm计算架构的技术特点、适用场景以及包年包月与按量付费的详细价格信息与最新活动价格情况,以供选择参考。
小陈写代码
1232 8
云服务器吧
|
26天前
|
弹性计算 小程序
学生购买阿里云服务器多少钱一年?学生优惠免费领取和300元无门槛代金券申请
阿里云面向学生推出免费服务器福利:完成学信网认证即可领取300元无门槛代金券,覆盖ECS及轻量应用服务器,支持建站、部署小程序等。2026年仍有效,申请入口及教程详见阿里云大学官网。(239字)
云服务器吧
284 3
云小帮
|
2月前
|
存储 弹性计算 固态存储
2026阿里云服务器最新价曝光!一年、1月和1小时费用连夜整理,看完不花冤枉钱
2026阿里云服务器最新价曝光:轻量服务器低至38元/年(2核2G+200M峰值带宽),ECS爆款99元/年(2核2G+3M)和199元/年(2核4G+5M),香港轻量25元/月起;GPU及全规格ECS按小时计费,覆盖大陆及海外多地域,续费同价,不限流量,性价比拉满!
云小帮
743 6
九月天空
|
7月前
|
数据采集 机器学习/深度学习 算法框架/工具
Python:现代编程的瑞士军刀
Python:现代编程的瑞士军刀
九月天空
434 104
游客h3mzwb7pdh43e
|
10月前
|
缓存 监控 Android开发
App Trace 快速安装解析(开发者视角)
App Trace 是一款应用性能监控工具,可追踪启动时间、方法耗时及卡顿等指标,助力开发调试与性能优化。支持 Android 和 iOS 平台,提供依赖引入、初始化配置和自动化脚本等快速安装方案,同时包含采样率、本地缓存等高级配置选项。集成后可通过日志检查与测试事件验证功能,注意在发布版本中使用 no-op 版本以减少性能影响,并确保隐私合规。
游客h3mzwb7pdh43e
255 6
Star时光
|
10月前
|
安全 量子技术 数据安全/隐私保护
量子密钥分发:下一代信息安全基石
量子密钥分发:下一代信息安全基石
Star时光
514 72
桃子红了呐
|
存储 NoSQL 数据库
mongodb底层存储和索引原理——本质是文档数据库,无表设计,同时wiredTiger存储引擎支持文档级别的锁,MMAPv1引擎基于mmap,二级索引(二级是文档的存储位置信息『文件id + 文件内offset 』)
桃子红了呐
5356 0
flzjkl
|
12月前
|
存储 缓存 安全
【Java并发】【ThreadLocal】适合初学体质的ThreadLocal
ThreadLocal 是 Java 中用于实现线程本地存储(Thread-Local Storage)的核心类,它允许每个线程拥有自己独立的变量副本,从而在多线程环境中实现线程隔离,避免共享变量带来的线程安全问题。
flzjkl
312 9
【Java并发】【ThreadLocal】适合初学体质的ThreadLocal
bruce_xiaowei
|
存储 小程序 Python
农历节日倒计时:基于Python的公历与农历日期转换及节日查询小程序
### 农历节日倒计时:基于Python的公历与农历日期转换及节日查询小程序 该程序通过`lunardate`库实现公历与农历的日期转换,支持闰月和跨年处理,用户输入农历节日名称后,可准确计算距离该节日还有多少天。功能包括农历节日查询、倒计时计算等。欢迎使用! (239字符)
bruce_xiaowei
1091 86

热门文章

最新文章

  • 1
    DNS查询工具简介
  • 2
    Tomcat 7优化配置参数
  • 3
    《Cloud Native 》云原生技术汇总
  • 4
    Spring Boot 学习研究笔记(十七) -Spring boot JPA的复杂查询
  • 5
    单片机基础知识整理
  • 6
    手写redux方法以及数组reduce方法
  • 7
    以优质氘代产品为刃,劈开生物原材料市场壁垒
  • 8
    canvas-渐变文字
  • 9
    日本设计的七个原则
  • 10
    struts2学习笔记--总结获取servletAPI的几种方式
  • 1
    零基础零门槛!OpenClaw阿里云无影云电脑一键部署、iMessage对接与大模型千问Qwen3.6-Plus配置实战手册
    71
  • 2
    阿里云轻量服务器部署OpenClaw图文教程:飞书集成+千问Qwen3.6-Plus配置+新手避坑指南
    75
  • 3
    Claude Code、Codex接管开发流程,测试工程师下一步该做什么?
    119
  • 4
    阿里云ECS云服务器部署 OpenClaw 图文攻略|LINE集成+千问Qwen3.6-Plus配置+新手避坑指南
    53
  • 5
    别再无效刷题了!2026校招笔试高频考点权重排序(附大厂内部评分标准)
    57
  • 6
    阿里云计算巢部署 OpenClaw 图文攻略:微信小程序集成+千问Qwen3.6-Plus配置+新手避坑指南
    55
  • 7
    零基础保姆级图文教程:阿里云计算巢OpenClaw部署、微信小程序接入与千问大模型API配置及避坑指南
    70
  • 8
    “养龙虾”全攻略|OpenClaw(龙虾AI)阿里云轻量服务器零基础部署+QQ等四大IM集成+千问API配置指南
    70
  • 9
    分布式事务解决方案Seata之AT事务
    57
  • 10
    基于 YOLO的咖啡果实成熟度检测系统~Python+YOLO算法+模型训练+目标检测+2026原创
    50

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    PHP:将本地文件上传到阿里云OSS存储