Spring security(三)---認證過程
在前面兩節Spring security (一)架構框架-Component、Service、Filter分析)和Spring Security(二)--WebSecurityConfigurer配置以及filter順序)爲Spring Security認證做好了準備,可讓咱們更好的理解認證過程以及項目代碼編寫。git
1.認證過程工做流程
認證工做流程:github
AbstractAuthenticationProcessingFilter
doFilter()(attemptAuthentication()獲取Authentication實體)
->UsernamePasswordAuthenticationFilter(AbstractAuthenticationProcessingFilter的子類)
attemptAuthentication() (在UsernamePasswordAuthenticationToken()中將username 和 password 生成 UsernamePasswordAuthenticationToken對象,getAuthenticationManager().authenticate進行認證以及返回獲取Authentication實體)
->AuthenticationManager
->ProviderManager()(AuthenticationManager接口實現)
authenticate()(AuthenticationProvider.authenticate()進行認證並獲取Authentication實體)
->AbstractUserDetailsAuthenticationProvider(內置緩存機制,若是緩存中沒有用戶信息就調用retrieveUser()獲取用戶)
authenticate() (獲取Authentication實體須要userDetails,在緩存中或者retrieveUser()獲取userDetails;驗證additionalAuthenticationChecks(); createSuccessAuthentication()生成Authentication實體)
->DaoAuthenticationProvider
retrieveUser() (調用自定義UserDetailsService中loadUserByUsername()加載userDetails)
->UserDetailsService
loadUserByUsername()(獲取userDetails)
具體流程請看下面小節。算法
1.1:請求首先通過過濾器AbstractAuthenticationProcessingFilter以及UsernamePasswordAuthenticationFilter進行處理
當請求來臨時,在默認狀況下,請求先通過AbstractAuthenticationProcessingFilter的子類UsernamePasswordAuthenticationFilter過濾器。在UsernamePasswordAuthenticationFilter過濾器調用attemptAuthentication()方法現實主要的兩步過程:spring
- 建立擁有用戶的詳情信息的Authentication對象,在默認的UsernamePasswordAuthenticationFilter中將建立UsernamePasswordAuthenticationToken的Authentication對象;
- AuthenticationManager調用authenticate()方法進行認證過程,在默認狀況,使用ProviderManager類進行認證。
UsernamePasswordAuthenticationFilter源碼分析:數據庫
public class UsernamePasswordAuthenticationFilter extends
AbstractAuthenticationProcessingFilter {
....
public Authentication attemptAuthentication(HttpServletRequest request,
HttpServletResponse response) throws AuthenticationException {
.....
//1.建立擁有用戶的詳情信息的Authentication對象
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
username, password);
// Allow subclasses to set the "details" property
setDetails(request, authRequest);
//2.AuthenticationManager進行認證
return this.getAuthenticationManager().authenticate(authRequest);
}
...
}
1.2請求通過過濾器處理以後,在AuthenticationManager以及ProviderManager認證
在UsernamePasswordAuthenticationFilter中看出,將調用AuthenticationManager接口的authenticate()方法進行詳細認證。默認狀況將使用AuthenticationManager子類ProviderManager的authenticate()進行認證,能夠分紅三個主要過程:緩存
- AuthenticationProvide.authenticate()進行認證,默認下,將使用AbstractUserDetailsAuthenticationProvider進行認證;
- 認證成功後,從authentication中刪除憑據和其餘機密數據,不然拋出異常或者認證失敗;
- 發佈認證成功事件,並將Authentication對象保存到security context中。
ProviderManager源碼分析:微信
public class ProviderManager implements AuthenticationManager, MessageSourceAware,
InitializingBean {
...
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
...
//AuthenticationProvider依次進行認證
for (AuthenticationProvider provider : getProviders()) {
...
try {
//1.1進行認證,並返回Authentication對象
result = provider.authenticate(authentication);
if (result != null) {
copyDetails(authentication, result);
break;
}
}
...
catch (AuthenticationException e) {
lastException = e;
}
}
if (result == null && parent != null) {
// Allow the parent to try.
try {
//1.2若是1.1認證中沒有一個驗證經過,則使用父類型AuthenticationManager進行驗證
result = parent.authenticate(authentication);
}
catch (ProviderNotFoundException e) {
// ignore as we will throw below if no other exception occurred prior to
// calling parent and the parent
// may throw ProviderNotFound even though a provider in the child already
// handled the request
}
catch (AuthenticationException e) {
lastException = e;
}
}
//2.從authentication中刪除憑據和其餘機密數據
if (result != null) {
if (eraseCredentialsAfterAuthentication
&& (result instanceof CredentialsContainer)) {
// Authentication is complete. Remove credentials and other secret data
// from authentication
((CredentialsContainer) result).eraseCredentials();
}
//3.發佈認證成功事件,並將Authentication對象保存到security context中
eventPublisher.publishAuthenticationSuccess(result);
return result;
}
}
1.3 認證過程詳細處理:AuthenticationProvider、AbstractUserDetailsAuthenticationProvider以及DaoAuthenticationProvider
在默認認證詳細處理過程當中,AuthenticationProvider認證由AbstractUserDetailsAuthenticationProvider抽象類以及AbstractUserDetailsAuthenticationProvider的子類DaoAuthenticationProvider進行方法重寫協助共同工做進行認證的。主要能夠分紅如下步驟:架構
- 獲取用戶信息UserDetails,首先從緩存中讀取信息,若是緩存中沒有的化,在UserDetailsService中加載,其最主要能夠從咱們自定義的UserDetailsService進行讀取用戶信息UserDetails;
- 驗證三步走:
1). preAuthenticationChecks2). additionalAuthenticationChecks:使用PasswordEncoder.matches()方法進行認證,其驗證方式中驗證數據已通過PasswordEncoder算法加密,能夠經過實現PasswordEncoder接口來定義算法加密方式。 app
3). postAuthenticationChecks框架
- 將已經過驗證的用戶信息封裝成 UsernamePasswordAuthenticationToken對象並返回;該對象封裝了用戶的身份信息,以及相應的權限信息。
AbstractUserDetailsAuthenticationProvider主要功能提供authenticate()認證方法以及給DaoAuthenticationProvider重寫方法源碼分析:
public abstract class AbstractUserDetailsAuthenticationProvider implements
AuthenticationProvider, InitializingBean, MessageSourceAware {
...
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
...
boolean cacheWasUsed = true;
//1.1獲取緩存中UserDetails信息
UserDetails user = this.userCache.getUserFromCache(username);
//1.2 若是緩存中沒有信息,從UserDetailsService中獲取
if (user == null) {
cacheWasUsed = false;
try {
//使用DaoAuthenticationProvider中重寫的方法去獲取信息
user = retrieveUser(username,
(UsernamePasswordAuthenticationToken) authentication);
}catch{
...
}
...
try {
//進行檢驗認證
preAuthenticationChecks.check(user);
additionalAuthenticationChecks(user,
(UsernamePasswordAuthenticationToken) authentication);
}catch{
...
}
...
postAuthenticationChecks.check(user);
....
// 將已經過驗證的用戶信息封裝成 UsernamePasswordAuthenticationToken對象並返回
return createSuccessAuthentication(principalToReturn, authentication, user);
}
DaoAuthenticationProvider功能主要爲認證憑證加密PasswordEncoder,以及重寫AbstractUserDetailsAuthenticationProvider抽象類的retrieveUser、additionalAuthenticationChecks方法,其中retrieveUser主要是獲取UserDetails信息,源碼分析
protected final UserDetails retrieveUser(String username,
UsernamePasswordAuthenticationToken authentication)
throws AuthenticationException {
prepareTimingAttackProtection();
try {
//根據UserDetailsService獲取UserDetails信息,從自定義的UserDetailsService獲取
UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
if (loadedUser == null) {
throw new InternalAuthenticationServiceException(
"UserDetailsService returned null, which is an interface contract violation");
}
return loadedUser;
}
catch (UsernameNotFoundException ex) {
mitigateAgainstTimingAttack(authentication);
throw ex;
}
catch (InternalAuthenticationServiceException ex) {
throw ex;
}
catch (Exception ex) {
throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
}
}
additionalAuthenticationChecks主要使用PasswordEncoder進行密碼驗證,源碼分析:
protected void additionalAuthenticationChecks(UserDetails userDetails,
UsernamePasswordAuthenticationToken authentication)
throws AuthenticationException {
if (authentication.getCredentials() == null) {
logger.debug("Authentication failed: no credentials provided");
throw new BadCredentialsException(messages.getMessage(
"AbstractUserDetailsAuthenticationProvider.badCredentials",
"Bad credentials"));
}
String presentedPassword = authentication.getCredentials().toString();
//進行密碼驗證
if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
logger.debug("Authentication failed: password does not match stored value");
throw new BadCredentialsException(messages.getMessage(
"AbstractUserDetailsAuthenticationProvider.badCredentials",
"Bad credentials"));
}
}
1.4 認證中所需的認證憑證獲取:UserDetailsService
在認證中必須獲取認證憑證,從UserDetailsService獲取到認證憑證,UserDetailsService接口只有一個方法:
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
經過用戶名 username 調用方法 loadUserByUsername 返回了一個UserDetails接口對象:
public interface UserDetails extends Serializable {
//1.權限集合
Collection<? extends GrantedAuthority> getAuthorities();
//2.密碼
String getPassword();
//3.用戶名
String getUsername();
//4.用戶是否過時
boolean isAccountNonExpired();
//5.是否鎖定
boolean isAccountNonLocked();
//6.用戶密碼是否過時
boolean isCredentialsNonExpired();
//7.帳號是否可用(可理解爲是否刪除)
boolean isEnabled();
}
咱們經過實現UserDetailsService自定義獲取UserDetails類,能夠從不一樣數據源中獲取認證憑證。
1.5 總結
總結Spring Security(二)--WebSecurityConfigurer配置以及filter順序)和本節Spring security(三)想要實現簡單認證過程:
- 第一步:配置WebSecurityConfig
- 第二步: 實現自定義UserDetailsService,自定義從數據源碼獲取認證憑證。
2 Spring boot與Spring security整合
2.1配置WebSecurityConfig
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
// TODO Auto-generated method stub
//super.configure(http);
http .csrf().disable()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.loginProcessingUrl("/login/form")
.failureUrl("/login-error")
.permitAll() //表單登陸,permitAll()表示這個不須要驗證 登陸頁面,登陸失敗頁面
.and()
.logout().permitAll();
}
}
2.2 UserDetailsService實現
@service
public class CustomUserService implements UserDetailsService {
@Autowired
private UserInfoMapper userInfoMapper;
@Autowired
private PermissionInfoMapper permissionInfoMapper;
@Autowired
private BCryptPasswordEncoderService bCryptPasswordEncoderService;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// TODO Auto-generated method stub
//這裏能夠能夠經過username(登陸時輸入的用戶名)而後到數據庫中找到對應的用戶信息,並構建成咱們本身的UserInfo來返回。
UserInfoDTO user = userInfoMapper.getUserInfoByUserName(username);
if (user != null) {
List<PermissionInfoDTO> permissionInfoDTOS = permissionInfoMapper.findByAdminUserId(userInfo.getId());
List<GrantedAuthority> grantedAuthorityList = new ArrayList<>();
for (PermissionInfoDTO permissionInfoDTO : permissionInfoDTOS) {
if (permissionInfoDTO != null && permissionInfoDTO.getPermissionName() != null) {
GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(
permissionInfoDTO.getPermissionName());
grantedAuthorityList.add(grantedAuthority);
}
}
return new User(userInfo.getUserName(), bCryptPasswordEncoderService.encode(userInfo.getPasswaord()), grantedAuthorityList);
}else {
throw new UsernameNotFoundException("admin" + username + "do not exist");
}
}
}
2.3 github代碼
後續會spring security認證的擴展知識Spring Security OAuth2等,以及項目demo:Spring Security OAuth2 整合 JWT、ip、短信以及微信方式登錄的代碼分析與分享。最後若有錯誤可評論告知。
最後可關注公衆號:【Ccww筆記】 一塊兒學習,天天會分享乾貨,還有學習視頻領取!
相關文章
- 1. Spring security(三)---認證過程
- 2. Spring Security認證過程
- 3. Spring Security 解析(二) —— 認證過程
- 4. 淺析Spring Security認證過程
- 5. Spring Security系列之認證過程(六)
- 6. Spring Security源碼分析一:Spring Security認證過程
- 7. (六)Spring Security 認證流程
- 8. Spring Security認證流程
- 9. spring-security+jwt認證
- 10. Spring Security修煉手冊(三)————Security個性化認證流程
- 更多相關文章...
- • Spring實例化Bean的三種方法 - Spring教程
- • Swift 構造過程 - Swift 教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • Java 8 Stream 教程
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 跳槽面試的幾個實用小技巧,不妨看看!
- 2. Mac實用技巧 |如何使用Mac系統中自帶的預覽工具將圖片變成黑白色?
- 3. Mac實用技巧 |如何使用Mac系統中自帶的預覽工具將圖片變成黑白色?
- 4. 如何使用Mac系統中自帶的預覽工具將圖片變成黑白色?
- 5. Mac OS非兼容Windows軟件運行解決方案——「以VMware & Microsoft Access爲例「
- 6. 封裝 pyinstaller -F -i b.ico excel.py
- 7. 數據庫作業三ER圖待完善
- 8. nvm安裝使用低版本node.js(非命令安裝)
- 9. 如何快速轉換圖片格式
- 10. 將表格內容分條轉換爲若干文檔
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. Spring security(三)---認證過程
- 2. Spring Security認證過程
- 3. Spring Security 解析(二) —— 認證過程
- 4. 淺析Spring Security認證過程
- 5. Spring Security系列之認證過程(六)
- 6. Spring Security源碼分析一:Spring Security認證過程
- 7. (六)Spring Security 認證流程
- 8. Spring Security認證流程
- 9. spring-security+jwt認證
- 10. Spring Security修煉手冊(三)————Security個性化認證流程