欢迎来到 通辽市某某化工涂料售后客服中心
全国咨询热线:020-123456789
产品中心汽车配件汽车音响汽车电瓶
联系我们

地址:联系地址联系地址联系地址

电话:020-123456789

传真:020-123456789

邮箱:admin@aa.com

新闻中心
Spring Security认证器实现
  来源:通辽市某某化工涂料售后客服中心  更新时间:2024-04-28 23:58:26

Spring Security认证器实现

目录

  • 拦截请求
  • 验证过程
  • 返回完整的认证Authentication
  • 收尾工作
  • 结论

一些权限框架一般都包含认证器和决策器  ,前者处理登陆验证 ,器实后者处理访问资源的认证控制

Spring Security的登陆请求处理如图

Spring Security认证器实现

下面来分析一下是怎么实现认证器的

拦截请求

首先登陆请求会被UsernamePasswordAuthenticationFilter拦截 ,这个过滤器看名字就知道是器实一个拦截用户名密码的拦截器

主要的验证是在attemptAuthentication()方法里 ,他会去获取在请求中的认证用户名密码 ,并且创建一个该用户的器实上下文 ,然后在去执行一个验证过程

String username = this.obtainUsername(request);nString password = this.obtainPassword(request);n//创建上下文nUsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username,认证 password);nthis.setDetails(request, authRequest);nreturn this.getAuthenticationManager().authenticate(authRequest);n

可以看看UsernamePasswordAuthenticationToken这个类  ,他是器实继承了AbstractAuthenticationToken,然后这个父类实现了Authentication

Spring Security认证器实现

由这个类的方法和属性可得知他就是存储用户验证信息的,认证器的器实主要功能应该就是验证完成后填充这个类

回到UsernamePasswordAuthenticationToken中,在上面创建的认证过程了可以发现

public UsernamePasswordAuthenticationToken(Object principal,Object credentials){ n super(null);n this.principal=principal;n this.credentials=credentials;n //还没认证n setAuthenticated(false);n}n

还有一个super(null)的处理 ,因为刚进来是器实还不知道有什么权限的 ,设置null是认证初始化一个空的权限

//权限利集合nprivate final Collection<GrantedAuthority> authorities;n//空的集合npublic static final List<GrantedAuthority> NO_AUTHORITIES = Collections.emptyList();n//初始化nif (authorities == null) { n this.authorities = AuthorityUtils.NO_AUTHORITIES;n return;n}n

那么后续认证完还会把权限设置尽量,此时可以看UsernamePasswordAuthenticationToken的器实另一个重载构造器

//认证完成npublic UsernamePasswordAuthenticationToken(Object principal, Object credentials,n Collection<? extends GrantedAuthority> authorities) { n super(authorities);n this.principal = principal;n this.credentials = credentials;n super.setAuthenticated(true); // must use super, as we overriden}n

在看源码的过程中 ,注释一直在强调这些上下文的认证填充和设置都应该是由AuthenticationManager或者AuthenticationProvider的实现类去操作

验证过程

接下来会把球踢给AuthenticationManager  ,但他只是个接口

/**n * Attempts to authenticate the passed { @link Authentication} object, returning an * fully populated <code>Authentication</code> object (including granted authorities)n * if successful.n **/npublic interface AuthenticationManager { n Authentication authenticate(Authentication authentication)n throws AuthenticationException;n}n

注释也写的很清楚了 ,认证完成后会填充Authentication

接下来会委托给ProviderManager ,因为他实现了AuthenticationManager

刚进来看authenticate()方法会发现他先遍历了一个List<AuthenticationProvider>集合

/**n * Indicates a class can process a specific Authentication n **/npublic interface AuthenticationProvider { n Authentication authenticate(Authentication authentication)n throws AuthenticationException;n //支不支持特定类型的authenticationn boolean supports(Class<?> authentication);n}n

实现这个类就可以处理不同类型的Authentication ,比如上边的UsernamePasswordAuthenticationToken ,对应的处理类是AbstractUserDetailsAuthenticationProvider,为啥知道呢,因为在这个supports()里

public boolean supports(Class<?> authentication) { nttreturn (UsernamePasswordAuthenticationToken.classntttt.isAssignableFrom(authentication));n}n

注意到这个是抽象类,实际的处理方法是在他的子类DaoAuthenticationProvider里,但是最重要的authenticate()方法子类好像没有继承,看看父类是怎么实现这个方法的

  1. 首先是继续判断Authentication是不是特定的类
  2. Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, () -> messages.getMessage( "AbstractUserDetailsAuthenticationProvider.onlySupports", "Only UsernamePasswordAuthenticationToken is supported"));
  3. 查询根据用户名用户 ,这次就是到了子类的方法了 ,因为这个方法是抽象的
  4. user=retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
  5. 接着DaoAuthenticationProvider会调用真正实现查询用户的类UserDetailsService
  6. UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
  7. UserDetailsService这个类信息就不陌生了 ,我们一般都会去实现这个类来自定义查询用户的方式 ,查询完后会返回一个UserDetails ,当然也可以继承这个类来扩展想要的字段 ,主要填充的是权限信息和密码
  8. 检验用户 ,如果获取到的UserDetails是null ,则抛异常,不为空则继续校验
  9. //检验用户合法性 preAuthenticationChecks.check(user); //校验密码 additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
  10. 第一个教育是判断用户的合法性 ,就是判断UserDetails里的几个字段
  11. //账号是否过期 boolean isAccountNonExpired(); //账号被锁定或解锁状态。 boolean isAccountNonLocked(); //密码是否过期 boolean isCredentialsNonExpired(); //是否启用 boolean isEnabled();
  12. 第二个则是由子类实现的 ,判断从数据库获取的密码和请求中的密码是否一致,因为用的登陆方式是根据用户名称登陆 ,所以有检验密码的步骤
  13. String presentedPassword = authentication.getCredentials().toString(); if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) { logger.debug("Authentication failed: password does not match stored value"); throw new BadCredentialsException(messages.getMessage( "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials")); }
  14. 需要主要的是请求中的密码是被加密过的,所以从数据库获取到的密码也应该是被加密的
  15. 注意到当完成校验的时候会把信息放入缓存
  16. //当没有从缓存中获取到值时,这个字段会被设置成false if (!cacheWasUsed) { this.userCache.putUserInCache(user); } //下次进来的时候回去获取 UserDetails user = this.userCache.getUserFromCache(username);
  17. 如果是从缓存中获取 ,也是会走检验逻辑的
  18. 最后完成检验,并填充一个完整的Authentication
  19. return createSuccessAuthentication(principalToReturn, authentication, user);

由上述流程来看,Security的检验过程还是比较清晰的 ,通过AuthenticationManager来委托给ProviderManager,在通过具体的实现类来处理请求 ,在这个过程中 ,将查询用户的实现和验证代码分离开来

整个过程看着像是策略模式,后边将变化的部分抽离出来,实现解耦

返回完整的Authentication

前边提到的认证成功会调用createSuccessAuthentication()方法,里边的内容很简单

UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(n principal, authentication.getCredentials(),n authoritiesMapper.mapAuthorities(user.getAuthorities()));n result.setDetails(authentication.getDetails());n

public UsernamePasswordAuthenticationToken(Object principal, Object credentials,n Collection<? extends GrantedAuthority> authorities) { n super(authorities);n this.principal = principal;n this.credentials = credentials;n super.setAuthenticated(true); // must use super, as we overriden }n

这次往supe里放了权限集合 ,父类的处理是判断里边的权限有没有空的 ,没有则转换为只读集合

for (GrantedAuthority a : authorities) { n if (a == null) { n throw new IllegalArgumentException(n "Authorities collection cannot contain any null elements");n }n}nArrayList<GrantedAuthority> temp = new ArrayList<>(nauthorities.size());ntemp.addAll(authorities);nthis.authorities = Collections.unmodifiableList(temp);n

收尾工作

回到ProviderManager里的authenticate方法 ,当我们终于从

result = provider.authenticate(authentication);n

走出来时,后边还有什么操作

  1. 将返回的用户信息负责给当前的上下文

if (result != null) { n tcopyDetails(authentication, result);n tbreak;n }n

  1. 删除敏感信息
  2. ((CredentialsContainer) result).eraseCredentials();
  3. 这个过程会将一些字段设置为null,可以实现eraseCredentials()方法来自定义需要删除的信息

最后返回到UsernamePasswordAuthenticationFilter中通过过滤

结论

这就是Spring Security实现认证的过程了

Spring Security认证器实现

通过实现自己的上下文Authentication和处理类AuthenticationProvider以及具体的查询用户的方法就可以自定义自己的登陆实现
具体可以看Spring Security自定义认证器

原文链接 :https://www.cnblogs.com/aruo/p/16306421.html#%E9%AA%8C%E8%AF%81%E8%BF%87%E7%A8%8B


友情链接魔兽世界:伊瑟拉与红龙女王神级幻化!暗夜和血精COS专属!全新丰田RAV4曝光,外观酷似大脚怪兽,沿袭新皇冠设计求生之路2不显示局域网服务器,求生之路2怎么局域网联机 求生之路2局域网联机教程...阴阳师各类玩法经验金币收益汇总详解 经验金币消耗与获取收益对比解析王者荣耀:训练营新模式!练英雄的最佳地方白酒杯该怎么拿,正确的拿白酒杯的手势“广西最美监狱人民警察” ——新康监狱教育改造科一级警长袁梅深岩之渊坐骑叫啥名(魔兽世界超稀有坐骑获取攻略)魔兽世界怀旧服:TBC燃烧的远征70级职业天赋介绍-猎人刃影最强装备搭配攻略 dnf刃影最强装备怎么搭配砍价砍到到小数点后6位,网红现场直播曝光拼多多!霜之哀伤英雄联盟希维尔怎么玩,战争女神希维尔实战玩法技巧问道1.46鬼宠成长、技能、携带等级、宠物轮回释放召唤师技能狂暴有什么作用魔兽世界猎人天赋加点选择(魔兽80级生存猎人天赋攻略)魔兽争霸3地图阿拉德战记异次元裂缝v1.64地下城与勇士DNF2023年周年庆登录奖励都有哪些呢魔兽战士名字推荐大全(魔兽世界战士最佳种族)魔兽世界怀旧服法师怎么加点 怀旧服法师天赋加点介绍魔兽世界符文精金棒图纸在哪-符文精金棒图纸购买位置魔兽世界wlk练级北风苔原还是嚎风峡湾7723游戏盒下载安装正版-7723游戏盒子修改版-手机7723游戏盒官方免费下载英雄联盟赵信天赋符文怎么搭 赵信天赋符文推荐选择dnf最新女鬼剑的加点图魔兽世界TBC前瞻:70级团本常规消耗品盘点,比60级还复杂永劫无间知料 | Android之父安迪·鲁宾:私德有亏的天才又做了一部新手机天涯明月刀精英体验服申请方法 什么是精英服造梦西游OL悟空打牛魔王攻略 悟空过牛魔王视频赛尔号阿克希亚怎么获得众星之子索拉卡出装符文玩法全面介绍 LOL手游索拉卡怎么玩魔兽世界怀旧服三大本术士毕业装备有哪些英雄联盟圣枪游侠卢锡安版本最强ADC出装套路炉石主播狗贼微博改名:疑似要离开斗鱼王者荣耀暃的cp是谁魔兽世界战士 防护天赋全攻略专题赛尔号新版SPT挑战细节猜测魔兽世界怀旧服:NAXX纳克萨玛斯攻略输出(魔兽世界怀旧服纳克萨玛斯副本入口在哪)魔兽世界冰冠堡垒副本攻略 魔兽世界冰冠堡垒怎么打
联系我们

地址:联系地址联系地址联系地址

电话:020-123456789

传真:020-123456789

邮箱:admin@aa.com

0.2108

Copyright © 2024 Powered by 通辽市某某化工涂料售后客服中心   sitemap