Spring Security登錄驗證流程源碼解析

一、登錄認證基於過濾器鏈


Spring Security的登錄驗證流程核心就是過濾器鏈。當一個請求到達時按照過濾器鏈的順序依次進行處理,通過所有過濾器鏈的驗證,就可以訪問API接口了。



SpringSecurity提供了多種登錄認證的方式,由多種Filter過濾器來實現,比如:



  • BasicAuthenticationFilter實現的是HttpBasic模式的登錄認證

  • UsernamePasswordAuthenticationFilter實現用戶名密碼的登錄認證

  • RememberMeAuthenticationFilter實現登錄認證的"記住我"的功能

  • SmsCodeAuthenticationFilter實現短信驗證碼登錄認證

  • SocialAuthenticationFilter實現社交媒體方式登錄認證的處理

  • Oauth2AuthenticationProcessingFilter和Oauth2ClientAuthenticationProcessingFilter實現Oauth2的鑒權方式


根據我們不同的需求實現及配置,不同的Filter會被加載到應用中。


二、結合源碼講解登錄驗證流程


我們就以用戶名、密碼登錄方式為例講解一下Spring Security的登錄認證流程。



2.1 UsernamePasswordAuthenticationFilter


該過濾器封裝用戶基本信息(用戶名、密碼),定義登錄表單數據接收相關的信息。如:



  • 默認的表單用戶名密碼input框name是username、password

  • 默認的處理登錄請求路徑是/login、使用POST方法




2.2 AbstractAuthenticationProcessingFilter的doFilter方法的驗證過程


UsernamePasswordAuthenticationFilter繼承自抽象類AbstractAuthenticationProcessingFilter,該抽象類定義了驗證成功與驗證失敗的處理方法。


2.3 驗證成功之後的Handler和驗證失敗之後的handler



也就是說當我們需要自定義驗證成功或失敗的處理方法時,要去實現AuthenticationSuccessHandler或AuthenticationfailureHandler接口



三、登錄驗證內部細節


3.1多種認證方式的管理 ProviderManager


ProviderManager用繼承於AuthenticationManager是登錄驗證的核心類。ProviderManager保管了多個AuthenticationProvider,用於不同類型的登錄驗證。比如:



  • RememberMeAuthenticationProvider定義了"記住我"功能的登錄驗證邏輯

  • DaoAuthenticationProvider加載數據庫用戶信息,進行用戶密碼的登錄驗證


public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
     ……
     private List<AuthenticationProvider> providers;
     ……

下文是ProviderManager的核心源碼,遍歷不同登錄驗證的AuthenticationProvider,只有當這種方式被支持的時候,才執行具體的登錄驗證邏輯。


3.2 登錄認證接口 AuthenticationProvider


public interface AuthenticationProvider {
     Authentication authenticate(Authentication var1) throws AuthenticationException;
 
     boolean supports(Class<?> var1);
 }

AuthenticationProvider的實現類定義了具體的登錄驗證邏輯



3.3 數據庫加載用戶信息 DaoAuthenticationProvider


public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {

從數據庫獲取用戶信息源碼



所以當我們需要加載用戶信息進行登錄驗證的時候,我們需要實現UserDetailsService接口,重寫loadUserByUsername方法,參數是用戶輸入的用戶名。返回值是UserDetails


期待您的關注



  • 博主最近新寫了一本書:

  • 本文轉載註明出處(必須帶連接,不能只轉文字):。

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理
【其他文章推薦】

※帶您來了解什麼是 USB CONNECTOR  ?



※自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象



※如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!



※綠能、環保無空污,成為電動車最新代名詞,目前市場使用率逐漸普及化



※廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益


Orignal From: Spring Security登錄驗證流程源碼解析

留言

張貼留言