圖解Spring Security 中用戶是如何實現(xiàn)登錄的

更新時間：2020年07月27日 11:35:00 作者：碼農(nóng)小胖哥

這篇文章主要介紹了圖解Spring Security 中用戶是如何實現(xiàn)登錄的，文中通過示例代碼和圖片介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

1. 前言

歡迎閱讀Spring Security 實戰(zhàn)干貨系列文章，在集成Spring Security安全框架的時候我們最先處理的可能就是根據(jù)我們項目的實際需要來定制注冊登錄了，尤其是Http登錄認證。根據(jù)以前的相關文章介紹，Http登錄認證由過濾器UsernamePasswordAuthenticationFilter 進行處理。我們只有把這個過濾器搞清楚才能做一些定制化。今天我們就簡單分析它的源碼和工作流程。

2. UsernamePasswordAuthenticationFilter 源碼分析

UsernamePasswordAuthenticationFilter 繼承于AbstractAuthenticationProcessingFilter（另文分析）。它的作用是攔截登錄請求并獲取賬號和密碼，然后把賬號密碼封裝到認證憑據(jù)UsernamePasswordAuthenticationToken中，然后把憑據(jù)交給特定配置的AuthenticationManager去作認證。源碼分析如下：

public class UsernamePasswordAuthenticationFilter extends
  AbstractAuthenticationProcessingFilter {
 // 默認取賬戶名、密碼的key
	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
 // 可以通過對應的set方法修改
	private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
 // 默認只支持 POST 請求
	private boolean postOnly = true;
 
 // 初始化一個用戶密碼 認證過濾器 默認的登錄uri 是 /login 請求方式是POST
 public UsernamePasswordAuthenticationFilter() {
  super(new AntPathRequestMatcher("/login", "POST"));
 }

 // 實現(xiàn)其父類 AbstractAuthenticationProcessingFilter 提供的鉤子方法 用去嘗試認證
 public Authentication attemptAuthentication(HttpServletRequest request,
   HttpServletResponse response) throws AuthenticationException {
  // 判斷請求方式是否是POST
  if (postOnly && !request.getMethod().equals("POST")) {
   throw new AuthenticationServiceException(
    "Authentication method not supported: " + request.getMethod());
  }
  
  // 先去 HttpServletRequest 對象中獲取賬號名、密碼
  String username = obtainUsername(request);
  String password = obtainPassword(request);

  if (username == null) {
   username = "";
  }

  if (password == null) {
   password = "";
  }

  username = username.trim();

  // 然后把賬號名、密碼封裝到 一個認證Token對象中，這是就是一個通行證，但是這時的狀態(tài)時不可信的，一旦通過認證就變?yōu)榭尚诺?
  UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
   username, password);

  // 會將 HttpServletRequest 中的一些細節(jié) request.getRemoteAddr() request.getSession 存入的到Token中
  setDetails(request, authRequest);

  // 然后 使用 父類中的 AuthenticationManager 對Token 進行認證 
  return this.getAuthenticationManager().authenticate(authRequest);
 }
 // 獲取密碼 很重要 如果你想改變獲取密碼的方式要么在此處重寫，要么通過自定義一個前置的過濾器保證能此處能get到
 @Nullable
 protected String obtainPassword(HttpServletRequest request) {
  return request.getParameter(passwordParameter);
 }

  // 獲取賬戶很重要 如果你想改變獲取密碼的方式要么在此處重寫，要么通過自定義一個前置的過濾器保證能此處能get到
 @Nullable
 protected String obtainUsername(HttpServletRequest request) {
  return request.getParameter(usernameParameter);
 }

 // 參見上面對應的說明為憑據(jù)設置一些請求細節(jié)
 protected void setDetails(HttpServletRequest request,
   UsernamePasswordAuthenticationToken authRequest) {
  authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
 }

 // 設置賬戶參數(shù)的key
 public void setUsernameParameter(String usernameParameter) {
  Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
  this.usernameParameter = usernameParameter;
 }

 // 設置密碼參數(shù)的key
 public void setPasswordParameter(String passwordParameter) {
  Assert.hasText(passwordParameter, "Password parameter must not be empty or null");
  this.passwordParameter = passwordParameter;
 }

 // 認證的請求方式是只支持POST請求
 public void setPostOnly(boolean postOnly) {
  this.postOnly = postOnly;
 }

 public final String getUsernameParameter() {
  return usernameParameter;
 }

 public final String getPasswordParameter() {
  return passwordParameter;
 }
}

為了加強對流程的理解，我特意畫了一張圖來對這個流程進行清晰的說明：