Spring Security认证的完整流程记录
作者:Pseudocode 发布时间:2021-12-15 13:04:03
前言
本文以用户名/密码验证方式为例,讲解 Spring Security 的认证流程,在此之前,需要你了解 Spring Security 用户名/密码认证的基本配置。
Spring Security 是基于过滤器的,通过一层一层的过滤器,处理认证的流程,拦截非法请求。
认证上下文的持久化
处于最前面的过滤器叫做 SecurityContextPersistenceFilter
,Spring Security 是通过 Session 来存储认证信息的,这个过滤器的 doFilter
方法在每次请求中只执行一次,作用就是,在请求时,将 Session 中的 SecurityContext 放到当前请求的线程中(如果有),在响应时,检查县城中是否有 SecurityContext,有的话将其放入 Session。可以理解为将 SecurityContext 进行 Session 范围的持久化。
认证信息的封装
接着进入 UsernamePasswordAuthenticationFilter
,这是基于用户名/密码认证过程中的主角之一。
默认情况下,这个过滤器会匹配路径为 /login
的 POST 请求,也就是 Spring Security 默认的用户名和密码登录的请求路径。
这里最关键的代码是 attemptAuthentication
方法(由 doFilter
方法调用),源码如下:
@Override
public Authentication attemptAuthentication ( HttpServletRequest request, HttpServletResponse response )
throws AuthenticationException {
if ( this.postOnly && !request.getMethod () .equals ( "POST" )) {
throw new AuthenticationServiceException ( "Authentication method not supported: " + request.getMethod ()) ;
}
String username = obtainUsername ( request ) ;
username = ( username != null ) ? username : "";
username = username.trim () ;
String password = obtainPassword ( request ) ;
password = ( password != null ) ? password : "";
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken ( username, password ) ;
// Allow subclasses to set the "details" property
setDetails ( request, authRequest ) ;
return this.getAuthenticationManager () .authenticate ( authRequest ) ;
}
在 attemptAuthentication
方法代码的第 12 行,使用从 request 中获取到的用户名和密码,构建了一个 UsernamePasswordAuthenticationToken
对象,我们可以看到这个构造方法的代码,非常简单:
public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
super((Collection)null);
this.principal = principal;
this.credentials = credentials;
this.setAuthenticated(false);
}
只是保存了用户名和密码的引用,并且将认证状态设置为 false
,因为此时只是封装了认证信息,还没有进行认证。
我们再回到 attemptAuthentication
的代码,在方法的最后一行,将创建好的认证信息,传递给了一个 AuthenticationManager
进行认证。这里实际工作的是 AuthenticationManager
的实现类 ProviderManager
。
查找处理认证的 Provider 类
进入 ProviderManager
可以从源码中找到 authenticate
方法,代码比较长,我就不贴在这里了,你可以自行查找,我简述一下代码中的逻辑。
ProviderManager
本身不执行认证操作,它管理着一个 AuthenticationProvider
列表,当需要对一个封装好的认证信息进行认证操作的时候,它会将认证信息和它管理者的 Provider 们,逐一进行匹配,找到合适的 Provider 处理认证的具体工作。
可以这样理解,ProviderManager
是一个管理者,管理着各种各样的 Provider。当有工作要做的时候,它从来都不亲自去做,而是把不同的工作,分配给不同的 Provider 去操作。
最后,它会将 Provider 的工作成果(已认证成功的信息)返回,或者抛出异常。
那么,它是怎么将一个认证信息交给合适的 Provider 的呢?
在上一部分中,我们说到,认证信息被封装成了一个 UsernamePasswordAuthenticationToken
,它是Authentication
的子类,ProviderManager
会将这个认证信息的类型,传递个每个 Provider 的 supports
方法,由 Provider 来告诉 ProviderManager
它是不是支持这个类型的认证信息。
认证逻辑
在 Spring Security 内置的 Provider 中,与 UsernamePasswordAuthenticationToken
对应的 Provider 是 DaoAuthenticationProvider
,authenticate
方法在它的父类 AbstractUserDetailsAuthenticationProvider
中。我们来看它的 authenticate
方法:
@Override
public Authentication authenticate ( Authentication authentication ) throws AuthenticationException {
Assert.isInstanceOf( UsernamePasswordAuthenticationToken.class, authentication,
() -> this.messages.getMessage ( "AbstractUserDetailsAuthenticationProvider.onlySupports",
"Only UsernamePasswordAuthenticationToken is supported" )) ;
String username = determineUsername ( authentication ) ;
boolean cacheWasUsed = true;
UserDetails user = this.userCache.getUserFromCache ( username ) ;
if ( user == null ) {
cacheWasUsed = false;
try {
user = retrieveUser ( username, ( UsernamePasswordAuthenticationToken ) authentication ) ;
}
catch ( UsernameNotFoundException ex ) {
this.logger.debug ( "Failed to find user '" + username + "'" ) ;
if ( !this.hideUserNotFoundExceptions ) {
throw ex;
}
throw new BadCredentialsException ( this.messages
.getMessage ( "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials" )) ;
}
Assert.notNull( user, "retrieveUser returned null - a violation of the interface contract" ) ;
}
try {
this.preAuthenticationChecks.check ( user ) ;
additionalAuthenticationChecks ( user, ( UsernamePasswordAuthenticationToken ) authentication ) ;
}
catch ( AuthenticationException ex ) {
if ( !cacheWasUsed ) {
throw ex;
}
// There was a problem, so try again after checking
// we're using latest data (i.e. not from the cache)
cacheWasUsed = false;
user = retrieveUser ( username, ( UsernamePasswordAuthenticationToken ) authentication ) ;
this.preAuthenticationChecks.check ( user ) ;
additionalAuthenticationChecks ( user, ( UsernamePasswordAuthenticationToken ) authentication ) ;
}
this.postAuthenticationChecks.check ( user ) ;
if ( !cacheWasUsed ) {
this.userCache.putUserInCache ( user ) ;
}
Object principalToReturn = user;
if ( this.forcePrincipalAsString ) {
principalToReturn = user.getUsername () ;
}
return createSuccessAuthentication ( principalToReturn, authentication, user ) ;
}
代码比较长,我们说要点:
代码第 12 行,通过
retrieveUser
方法,获得UserDetails
信息,这个方法的具体实现,可以在DaoAuthenticationProvider
中找到,主要是通过UserDetailsService
的loadUserByUsername
方法,查找系统中的用户信息。代码第 25 行,通过
preAuthenticationChecks.check
方法,进行了认证前的一些校验。校验的具体实现可以在DefaultPreAuthenticationChecks
内部类中找到,主要是判断用户是否锁定、是否可用、是否过期。代码第 26 行,通过
additionalAuthenticationChecks
方法,对用户名和密码进行了校验。具体实现可以在DaoAuthenticationProvider
中找到。代码第 39 行,通过
postAuthenticationChecks.check
方法,校验了密码是否过期。具体实现可以在DefaultPostAuthenticationChecks
内部类中找到。最后,如果以上校验和认证都没有问题,则通过
createSuccessAuthentication
方法,创建成功的认证信息,并返回。此时,就成功通过了认证。
在最后的 createSuccessAuthentication
方法中,会创建一个新的 UsernamePasswordAuthenticationToken
认证信息,这个新的认证信息的认证状态为 true
。表示这是一个已经通过的认证。
这个认证信息会返回到 UsernamePasswordAuthenticationFilter
中,并作为 attemptAuthentication
方法的结果。
在 doFilter
方法中,会根据认证成功或失败的结果,调用相应的 Handler 类进行后续的处理,最后,认证的信息也会被保存在 SecurityContext 中,供后续使用。
来源:https://juejin.cn/post/7054569250307964958
猜你喜欢
- 汉诺(Hanoi)塔问题:古代有一个梵塔,塔内有三个座A、B、C,A座上有n个盘子,盘子大小不等,大的在下,小的在上(如图)。有一个和尚想把
- jmap:Java内存映像工具jmap(Memory Map for Java)命令用于生成堆转储快照(一般称为heapdump或dump文
- 我们平时使用的一些常见队列都是非阻塞队列,比如PriorityQueue、LinkedList(LinkedList是双向链表,它实现了De
- LinkedListLinkedList是一种可以在任何位置进行高效地插入和删除操作的有序序列。它的最基本存储结构是一个节点:每个节点将存储
- 前言JDK 1.5 之前 synchronized 的性能是比较低的,但在 JDK 1.5 中,官方推出一个重量级功能 Lock,一举改变了
- 本文实例为大家分享了java实现五子棋程序的具体代码,供大家参考,具体内容如下知识点1、Swing 编程2、ImageIO 类的使用3、图片
- 一、微服务结构微服务这种方案需要技术框架来落地,全球的互联网公司都在积极尝试自己的微服务落地技术。在国内最知名的就是SpringCloud和
- maven运行依赖于 JAVA_HOME如果各位还没有配置 JAVA_HOME,可以参考我的另一篇博客 JDK环境变量配置 JDK 环境变量
- 本章讲述:FileStream类的基本功能,以及简单示例;1、引用命名空间:using System.IO;2、注意:使用IO操作文件时,要
- 做Java编程,难免会遇到多线程的开发,但是JDK8这个CompletableFuture类很多开发者目前还没听说过,但是这个类实在是太好用
- 本文实例为大家分享了Unity使用鼠标旋转物体效果的具体代码,供大家参考,具体内容如下了解完基础知识后,然我们来做个小程序练习一下1.在Ma
- 这几天在项目里面发现我使用@Transactional注解事务之后,抛了异常居然不回滚。后来终于找到了原因。如果你也出现了这种情况,可以从下
- 翻看印象笔记发现自己整理过arraycopy()这样一个方法,码字放到这里:System.arraycopy()是一个静态方法,用来实现重置
- 日志是非常重要的,虽然他不会以需求功能提来,但也不会体现在产品方案中。但是,它在系统项目中却占有巨大的地位。为了保证服务的高可用,发现问题一
- 格式化一个数值,比如123456789.123,希望显示成"$123,456,789.123".要完成需求,可以用jav
- 匿名类类型类可以是匿名的 - 也就是说,可以在没有 identifier 的情况下声明类。在将类名称替换为 typedef 名称时,这会很有
- 什么是委托?之前写了事件的介绍:https://www.jb51.net/article/59461.htm这里也把委托相关知识也总结一下。
- 一、问题分析入门案例的内容已经做完了,在入门案例中我们创建过一个SpringMvcConfig的配置类,再回想前面咱们学习Spring的时候
- 下面我们就字符串连接方面分析。1.String打开String的源码,如图所示会发现存储字符串的字符数值是final常量。再看String的
- 通过JDK的Proxy代理实现对业务类做简单的AOP实现接口:UserService 包含的方法为切入点,会被代理拦截类:UserServi