登陆认证服务框架:SpringSecurity

登陆认证服务框架:SpringSecurity,第1张

登陆认证服务框架:SpringSecurity

最近想给自己的小系统搭建一个登录认证服务,最初是想着一套oauth2权鉴就可以,但是发现这个oauth2只是权鉴,具体的登录认证需要由 SpringSecurity来进行实现。 也就是说SpringSecurity 主要就是用来进行用户名、密码认证的登录框架 然后看了一下 SpringSecurity,发现之前用过,但是只是用过,具体的流程不清楚。 趁这个机会,将SpringSecurity源码大体的整理看一下。

概述#

SpringSecurity 的功能就是 认证、授权、防止伪造登录 其核心就是一组过滤链,通过各种的过滤器对请求进行过过滤,然后放行符合规则的请求。 具体流程可以看下图:

流程#

从上面我们可以清楚的认知到,我们的请求是由多个过滤器过滤之后才能访问到具体的api 的,那么各个过滤器是怎么进行的合作的呢? 这章只说登录认证

1. AbstractAuthenticationProcessingFilter 过滤器#

首先是 SpringSecurity一系列过滤器,然后走到AbstractAuthenticationProcessingFilter 这个过滤器,这个过滤器就是一个模版,主要是用来进行 识别是否是 认证请求,然后将不是认证请求到给到下一个过滤器的实现类(就是一组过滤器的串联) 这个过滤器中,主要的是doFilter方法,这个方法中requiresAuthentication 识别是否是认证请求,如果是,那么交给 attemptAuthentication 这个方法去处理,但是attemptAuthentication方法是抽象方法,需要子类去实现,然后我们就找到UsernamePasswordAuthenticationFilter 过滤器,也就是attemptAuthentication方法的具体实现类,也就是AbstractAuthenticationProcessingFilter的子类。

流程可以看图

2. UsernamePasswordAuthenticationFilter 过滤器#

它实际上是处理 认证请求的过滤器,AbstractAuthenticationProcessingFilter的子类,真正实现类attemptAuthentication方法。

attemptAuthentication方法中,除了进行对请求中用户名、密码参数的处理外,核心的一行是this.getAuthenticationManager().authenticate(authRequest); 这个就是用 选择合适的 验证类来进行验证,从名称我们也能看出AuthenticationManager 是一个管理类,这个里面有多个AuthenticationProvider 对象。选择合适的验证就行。 但是这个getAuthenticationManager是一个接口,需要找到真正的实现类才行。

流程可以看图

3. ProviderManager 管理类#

这个类就是真正选择具体的认证 类,authenticate方法遍历认证类,然后将请求中的用户名、密码进行验证的。 从上图可以看到,它就是对所有的认证类遍历,选择合适的进行。 provider.authenticate(authentication); 就是它的方法的核心代码。 但是AuthenticationProvider 也是一个接口,需要找其真正的实现类。

4. AbstractUserDetailsAuthenticationProvider(抽象类)#

authenticate 方法的具体实现是AbstractUserDetailsAuthenticationProvider类实现的。 我们具体看authenticate 方法,然后发现这个方法,就是先去内存中检查,是否有这个用户名 和密码,如果没有在去调用retrieveUser方法,查找这个 用户名 和密码。

然后找到之后,在去调用additionalAuthenticationChecks 方法去验证 持久化中的(内存或者retrieveUser方法找到的用户名和密码)是否和请求中的用户名密码一致,如果是一致的,那么就调用additionalAuthenticationChecks 方法去验证。

但是retrieveUser 和 additionalAuthenticationChecks 方法都是抽象方法,具体的实现,是子类进行的。

5. DaoAuthenticationProvider(子类)#

这个是AbstractUserDetailsAuthenticationProvider 的子类,实现了retrieveUser 和 additionalAuthenticationChecks 方法,我们可以看到两个方法:

注意看 this.getUserDetailsService().loadUserByUsername(username); 这个方法不就是我们自定义 获取真正的(也就是持久化 中)用户名 和 密码 时需要重写的方法么,返回的user 类,不就是UserDetails 这个类的子类么。

而且,我们在看additionalAuthenticationChecks 这个方法,不就是调用PasswordEncoder 类中的matches 方法去对比的么

至此,我们就将 SpringSecurity 用户登录验证流程走通了。 我们将这个进行一个串联

6. 串联#

最近想给自己的小系统搭建一个登录认证服务,最初是想着一套oauth2权鉴就可以,但是发现这个oauth2只是权鉴,具体的登录认证需要由 SpringSecurity来进行实现。 也就是说SpringSecurity 主要就是用来进行用户名、密码认证的登录框架 然后看了一下 SpringSecurity,发现之前用过,但是只是用过,具体的流程不清楚。 趁这个机会,将SpringSecurity源码大体的整理看一下。

概述#

SpringSecurity 的功能就是 认证、授权、防止伪造登录 其核心就是一组过滤链,通过各种的过滤器对请求进行过过滤,然后放行符合规则的请求。 具体流程可以看下图:

流程#

从上面我们可以清楚的认知到,我们的请求是由多个过滤器过滤之后才能访问到具体的api 的,那么各个过滤器是怎么进行的合作的呢? 这章只说登录认证

1. AbstractAuthenticationProcessingFilter 过滤器#

首先是 SpringSecurity一系列过滤器,然后走到AbstractAuthenticationProcessingFilter 这个过滤器,这个过滤器就是一个模版,主要是用来进行 识别是否是 认证请求,然后将不是认证请求到给到下一个过滤器的实现类(就是一组过滤器的串联) 这个过滤器中,主要的是doFilter方法,这个方法中requiresAuthentication 识别是否是认证请求,如果是,那么交给 attemptAuthentication 这个方法去处理,但是attemptAuthentication方法是抽象方法,需要子类去实现,然后我们就找到UsernamePasswordAuthenticationFilter 过滤器,也就是attemptAuthentication方法的具体实现类,也就是AbstractAuthenticationProcessingFilter的子类。

流程可以看图

2. UsernamePasswordAuthenticationFilter 过滤器#

它实际上是处理 认证请求的过滤器,AbstractAuthenticationProcessingFilter的子类,真正实现类attemptAuthentication方法。

attemptAuthentication方法中,除了进行对请求中用户名、密码参数的处理外,核心的一行是this.getAuthenticationManager().authenticate(authRequest); 这个就是用 选择合适的 验证类来进行验证,从名称我们也能看出AuthenticationManager 是一个管理类,这个里面有多个AuthenticationProvider 对象。选择合适的验证就行。 但是这个getAuthenticationManager是一个接口,需要找到真正的实现类才行。

流程可以看图

3. ProviderManager 管理类#

这个类就是真正选择具体的认证 类,authenticate方法遍历认证类,然后将请求中的用户名、密码进行验证的。 从上图可以看到,它就是对所有的认证类遍历,选择合适的进行。 provider.authenticate(authentication); 就是它的方法的核心代码。 但是AuthenticationProvider 也是一个接口,需要找其真正的实现类。

4. AbstractUserDetailsAuthenticationProvider(抽象类)#

authenticate 方法的具体实现是AbstractUserDetailsAuthenticationProvider类实现的。 我们具体看authenticate 方法,然后发现这个方法,就是先去内存中检查,是否有这个用户名 和密码,如果没有在去调用retrieveUser方法,查找这个 用户名 和密码。

然后找到之后,在去调用additionalAuthenticationChecks 方法去验证 持久化中的(内存或者retrieveUser方法找到的用户名和密码)是否和请求中的用户名密码一致,如果是一致的,那么就调用additionalAuthenticationChecks 方法去验证。

但是retrieveUser 和 additionalAuthenticationChecks 方法都是抽象方法,具体的实现,是子类进行的。

5. DaoAuthenticationProvider(子类)#

这个是AbstractUserDetailsAuthenticationProvider 的子类,实现了retrieveUser 和 additionalAuthenticationChecks 方法,我们可以看到两个方法:

注意看 this.getUserDetailsService().loadUserByUsername(username); 这个方法不就是我们自定义 获取真正的(也就是持久化 中)用户名 和 密码 时需要重写的方法么,返回的user 类,不就是UserDetails 这个类的子类么。

而且,我们在看additionalAuthenticationChecks 这个方法,不就是调用PasswordEncoder 类中的matches 方法去对比的么

至此,我们就将 SpringSecurity 用户登录验证流程走通了。

原文地址:登陆认证框架:SpringSecurity - 张小吉 - 博客园

如果你觉的本文对你有帮助,麻烦点赞关注支持一下

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5697883.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-12-17
下一篇 2022-12-17

发表评论

登录后才能评论

评论列表(0条)

保存