欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

詳解SpringSecurity中的Authentication信息與登錄流程

 更新時間:2020年09月09日 10:06:31   作者:天喬巴夏丶  
這篇文章主要介紹了SpringSecurity中的Authentication信息與登錄流程,本文給大家介紹的非常詳細,對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下

Authentication

使用SpringSecurity可以在任何地方注入Authentication進而獲取到當(dāng)前登錄的用戶信息,可謂十分強大。

在Authenticaiton的繼承體系中,實現(xiàn)類UsernamePasswordAuthenticationToken 算是比較常見的一個了,在這個類中存在兩個屬性:principal和credentials,其實分別代表著用戶和密碼。【當(dāng)然其他的屬性存在于其父類中,如authoritiesdetails。】

我們需要對這個對象有一個基本地認識,它保存了用戶的基本信息。用戶在登錄的時候,進行了一系列的操作,將信息存與這個對象中,后續(xù)我們使用的時候,就可以輕松地獲取這些信息了。

那么,用戶信息如何存,又是如何取的呢?繼續(xù)往下看吧。

登錄流程

一、與認證相關(guān)的UsernamePasswordAuthenticationFilter

通過Servlet中的Filter技術(shù)進行實現(xiàn),通過一系列內(nèi)置的或自定義的安全Filter,實現(xiàn)接口的認證與授權(quán)。

比如:UsernamePasswordAuthenticationFilter

public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}
		//獲取用戶名和密碼
		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}
		username = username.trim();
		//構(gòu)造UsernamePasswordAuthenticationToken對象
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// 為details屬性賦值
		setDetails(request, authRequest);
		// 調(diào)用authenticate方法進行校驗
		return this.getAuthenticationManager().authenticate(authRequest);
	}

獲取用戶名和密碼

從request中提取參數(shù),這也是SpringSecurity默認的表單登錄需要通過key/value形式傳遞參數(shù)的原因。

@Nullable
	protected String obtainPassword(HttpServletRequest request) {
		return request.getParameter(passwordParameter);
	}
	@Nullable
	protected String obtainUsername(HttpServletRequest request) {
		return request.getParameter(usernameParameter);
	}

構(gòu)造UsernamePasswordAuthenticationToken對象

傳入獲取到的用戶名和密碼,而用戶名對應(yīng)UPAT對象中的principal屬性,而密碼對應(yīng)credentials屬性。

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
 username, password);

//UsernamePasswordAuthenticationToken 的構(gòu)造器
public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
 super(null);
 this.principal = principal;
 this.credentials = credentials;
 setAuthenticated(false);
}

為details屬性賦值

// Allow subclasses to set the "details" property 允許子類去設(shè)置這個屬性
setDetails(request, authRequest);

protected void setDetails(HttpServletRequest request,
    UsernamePasswordAuthenticationToken authRequest) {
 authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
}

//AbstractAuthenticationToken 是UsernamePasswordAuthenticationToken的父類
public void setDetails(Object details) {
 this.details = details;
}

 

details屬性存在于父類之中,主要描述兩個信息,一個是remoteAddress 和sessionId。

	public WebAuthenticationDetails(HttpServletRequest request) {
		this.remoteAddress = request.getRemoteAddr();

		HttpSession session = request.getSession(false);
		this.sessionId = (session != null) ? session.getId() : null;
	}

調(diào)用authenticate方法進行校驗

this.getAuthenticationManager().authenticate(authRequest)

二、ProviderManager的校驗邏輯

public Authentication authenticate(Authentication authentication)
 throws AuthenticationException {
 Class<? extends Authentication> toTest = authentication.getClass();
 AuthenticationException lastException = null;
 AuthenticationException parentException = null;
 Authentication result = null;
 Authentication parentResult = null;
 boolean debug = logger.isDebugEnabled();

 for (AuthenticationProvider provider : getProviders()) {
 //獲取Class,判斷當(dāng)前provider是否支持該authentication
 if (!provider.supports(toTest)) {
  continue;
 }
 //如果支持,則調(diào)用provider的authenticate方法開始校驗
 result = provider.authenticate(authentication);
 
		//將舊的token的details屬性拷貝到新的token中。
 if (result != null) {
  copyDetails(authentication, result);
  break;
 }
 }
 //如果上一步的結(jié)果為null,調(diào)用provider的parent的authenticate方法繼續(xù)校驗。
 if (result == null && parent != null) {
 result = parentResult = parent.authenticate(authentication);
 }

 if (result != null) {
 if (eraseCredentialsAfterAuthentication
  && (result instanceof CredentialsContainer)) {
  //調(diào)用eraseCredentials方法擦除憑證信息
  ((CredentialsContainer) result).eraseCredentials();
 }
 if (parentResult == null) {
  //publishAuthenticationSuccess將登錄成功的事件進行廣播。
  eventPublisher.publishAuthenticationSuccess(result);
 }
 return result;
 }
}

獲取Class,判斷當(dāng)前provider是否支持該authentication。

如果支持,則調(diào)用provider的authenticate方法開始校驗,校驗完成之后,返回一個新的Authentication。

將舊的token的details屬性拷貝到新的token中。

如果上一步的結(jié)果為null,調(diào)用provider的parent的authenticate方法繼續(xù)校驗。

調(diào)用eraseCredentials方法擦除憑證信息,也就是密碼,具體來說就是讓credentials為空。

publishAuthenticationSuccess將登錄成功的事件進行廣播。

三、AuthenticationProvider的authenticate

public Authentication authenticate(Authentication authentication)
		throws AuthenticationException {
 //從Authenticaiton中提取登錄的用戶名。
	String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
			: authentication.getName();
 //返回登錄對象
	user = retrieveUser(username,(UsernamePasswordAuthenticationToken) authentication);
 //校驗user中的各個賬戶狀態(tài)屬性是否正常
	preAuthenticationChecks.check(user);
 //密碼比對
	additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken) authentication);
 //密碼比對
	postAuthenticationChecks.check(user);
	Object principalToReturn = user;
 //表示是否強制將Authentication中的principal屬性設(shè)置為字符串
	if (forcePrincipalAsString) {
		principalToReturn = user.getUsername();
	}
 //構(gòu)建新的UsernamePasswordAuthenticationToken
	return createSuccessAuthentication(principalToReturn, authentication, user);
}

從Authenticaiton中提取登錄的用戶名。retrieveUser方法將會調(diào)用loadUserByUsername方法,這里將會返回登錄對象。preAuthenticationChecks.check(user);校驗user中的各個賬戶狀態(tài)屬性是否正常,如賬號是否被禁用,賬戶是否被鎖定,賬戶是否過期等。additionalAuthenticationChecks用于做密碼比對,密碼加密解密校驗就在這里進行。postAuthenticationChecks.check(user);用于密碼比對。forcePrincipalAsString表示是否強制將Authentication中的principal屬性設(shè)置為字符串,默認為false,也就是說默認登錄之后獲取的用戶是對象,而不是username。構(gòu)建新的UsernamePasswordAuthenticationToken。

用戶信息保存

我們來到UsernamePasswordAuthenticationFilter 的父類AbstractAuthenticationProcessingFilter 中,

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
		throws IOException, ServletException {
	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;
	Authentication authResult;
	try {
 //實際觸發(fā)了上面提到的attemptAuthentication方法
		authResult = attemptAuthentication(request, response);
		if (authResult == null) {
			return;
		}
		sessionStrategy.onAuthentication(authResult, request, response);
	}
 //登錄失敗
	catch (InternalAuthenticationServiceException failed) {
		unsuccessfulAuthentication(request, response, failed);
		return;
	}
	catch (AuthenticationException failed) {
		unsuccessfulAuthentication(request, response, failed);
		return;
	}
	if (continueChainBeforeSuccessfulAuthentication) {
		chain.doFilter(request, response);
	}
 //登錄成功
	successfulAuthentication(request, response, chain, authResult);
}

關(guān)于登錄成功調(diào)用的方法:

protected void successfulAuthentication(HttpServletRequest request,
		HttpServletResponse response, FilterChain chain, Authentication authResult)
		throws IOException, ServletException {
 //將登陸成功的用戶信息存儲在SecurityContextHolder.getContext()中
	SecurityContextHolder.getContext().setAuthentication(authResult);
	rememberMeServices.loginSuccess(request, response, authResult);
	// Fire event
	if (this.eventPublisher != null) {
		eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
				authResult, this.getClass()));
	}
 //登錄成功的回調(diào)方法
	successHandler.onAuthenticationSuccess(request, response, authResult);
}

我們可以通過SecurityContextHolder.getContext().setAuthentication(authResult);得到兩點結(jié)論:

  • 如果我們想要獲取用戶信息,我們只需要調(diào)用SecurityContextHolder.getContext().getAuthentication()即可。
  • 如果我們想要更新用戶信息,我們只需要調(diào)用SecurityContextHolder.getContext().setAuthentication(authResult);即可。

用戶信息的獲取

前面說到,我們可以利用Authenticaiton輕松得到用戶信息,主要有下面幾種方法:

通過上下文獲取。

SecurityContextHolder.getContext().getAuthentication();

直接在Controller注入Authentication。

@GetMapping("/hr/info")
public Hr getCurrentHr(Authentication authentication) {
 return ((Hr) authentication.getPrincipal());
}

為什么多次請求可以獲取同樣的信息

前面已經(jīng)談到,SpringSecurity將登錄用戶信息存入SecurityContextHolder 中,本質(zhì)上,其實是存在ThreadLocal中,為什么這么說呢?

原因在于,SpringSecurity采用了策略模式,在SecurityContextHolder 中定義了三種不同的策略,而如果我們不配置,默認就是MODE_THREADLOCAL模式。

public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
public static final String MODE_GLOBAL = "MODE_GLOBAL";
public static final String SYSTEM_PROPERTY = "spring.security.strategy";
private static String strategyName = System.getProperty(SYSTEM_PROPERTY);

private static void initialize() {
 if (!StringUtils.hasText(strategyName)) {
 // Set default
 strategyName = MODE_THREADLOCAL;
 }
 if (strategyName.equals(MODE_THREADLOCAL)) {
 strategy = new ThreadLocalSecurityContextHolderStrategy();
 } 
}

private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

了解這個之后,又有一個問題拋出:ThreadLocal能夠保證同一線程的數(shù)據(jù)是一份,那進進出出之后,線程更改,又如何保證登錄的信息是正確的呢。

這里就要說到一個比較重要的過濾器:SecurityContextPersistenceFilter,它的優(yōu)先級很高,僅次于WebAsyncManagerIntegrationFilter。也就是說,在進入后面的過濾器之前,將會先來到這個類的doFilter方法。

public class SecurityContextPersistenceFilter extends GenericFilterBean {
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
 if (request.getAttribute(FILTER_APPLIED) != null) {
			// 確保這個過濾器只應(yīng)對一個請求
			chain.doFilter(request, response);
			return;
		}
 //分岔路口之后,表示應(yīng)對多個請求
		HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,
				response);
 //用戶信息在 session 中保存的 value。
		SecurityContext contextBeforeChainExecution = repo.loadContext(holder);
		try {
  //將當(dāng)前用戶信息存入上下文
			SecurityContextHolder.setContext(contextBeforeChainExecution);
			chain.doFilter(holder.getRequest(), holder.getResponse());
		}
		finally {
  //收尾工作,獲取SecurityContext
			SecurityContext contextAfterChainExecution = SecurityContextHolder
					.getContext();
  //清空SecurityContext
			SecurityContextHolder.clearContext();
  //重新存進session中
			repo.saveContext(contextAfterChainExecution, holder.getRequest(),
					holder.getResponse());
		}
	}
}
  • SecurityContextPersistenceFilter 繼承自 GenericFilterBean,而 GenericFilterBean 則是 Filter 的實現(xiàn),所以 SecurityContextPersistenceFilter 作為一個過濾器,它里邊最重要的方法就是 doFilter 了。
  • doFilter 方法中,它首先會從 repo 中讀取一個 SecurityContext 出來,這里的 repo 實際上就是 HttpSessionSecurityContextRepository,讀取 SecurityContext 的操作會進入到 readSecurityContextFromSession(httpSession) 方法中。
  • 在這里我們看到了讀取的核心方法 Object contextFromSession = httpSession.getAttribute(springSecurityContextKey);,這里的 springSecurityContextKey 對象的值就是 SPRING_SECURITY_CONTEXT,讀取出來的對象最終會被轉(zhuǎn)為一個 SecurityContext 對象。
  • SecurityContext 是一個接口,它有一個唯一的實現(xiàn)類 SecurityContextImpl,這個實現(xiàn)類其實就是用戶信息在 session 中保存的 value。
  • 在拿到 SecurityContext 之后,通過 SecurityContextHolder.setContext 方法將這個 SecurityContext 設(shè)置到 ThreadLocal 中去,這樣,在當(dāng)前請求中,Spring Security 的后續(xù)操作,我們都可以直接從 SecurityContextHolder 中獲取到用戶信息了。
  • 接下來,通過 chain.doFilter 讓請求繼續(xù)向下走(這個時候就會進入到 UsernamePasswordAuthenticationFilter 過濾器中了)。
  • 在過濾器鏈走完之后,數(shù)據(jù)響應(yīng)給前端之后,finally 中還有一步收尾操作,這一步很關(guān)鍵。這里從 SecurityContextHolder 中獲取到 SecurityContext,獲取到之后,會把 SecurityContextHolder 清空,然后調(diào)用 repo.saveContext 方法將獲取到的 SecurityContext 存入 session 中。

總結(jié):

每個請求到達服務(wù)端的時候,首先從session中找出SecurityContext ,為了本次請求之后都能夠使用,設(shè)置到SecurityContextHolder 中。

當(dāng)請求離開的時候,SecurityContextHolder 會被清空,且SecurityContext 會被放回session中,方便下一個請求來獲取。

資源放行的兩種方式

用戶登錄的流程只有走過濾器鏈,才能夠?qū)⑿畔⒋嫒雜ession中,因此我們配置登錄請求的時候需要使用configure(HttpSecurity http),因為這個配置會走過濾器鏈。

http.authorizeRequests()
 .antMatchers("/hello").permitAll()
 .anyRequest().authenticated()

而 configure(WebSecurity web)不會走過濾器鏈,適用于靜態(tài)資源的放行。

@Override
public void configure(WebSecurity web) throws Exception {
 	web.ignoring().antMatchers("/index.html","/img/**","/fonts/**","/favicon.ico");
}

到此這篇關(guān)于SpringSecurity中的Authentication信息與登錄流程的文章就介紹到這了,更多相關(guān)SpringSecurity登錄流程內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Java文件讀寫詳解

    Java文件讀寫詳解

    在真實的應(yīng)用場景中,很多時候需要使用?Java?讀寫文件。比如說,讀取配置文件信息、讀取用戶輸入等。本篇文章將會詳細介紹?Java?文件讀寫的相關(guān)知識,其中包括:讀取文件、寫入文件、復(fù)制文件和刪除文件等操作,需要的朋友可以參考下
    2023-05-05
  • Spring MVC 啟動過程源碼分析詳解

    Spring MVC 啟動過程源碼分析詳解

    這篇文章主要介紹了Spring MVC 啟動過程源碼分析詳解,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2018-07-07
  • Java探索之Hibernate主鍵生成策略詳細介紹

    Java探索之Hibernate主鍵生成策略詳細介紹

    這篇文章主要介紹了Java探索之Hibernate主鍵生成策略詳細介紹,具有一定參考價值,需要的朋友可以了解下。
    2017-10-10
  • hibernate一對多關(guān)聯(lián)映射學(xué)習(xí)小結(jié)

    hibernate一對多關(guān)聯(lián)映射學(xué)習(xí)小結(jié)

    這篇文章主要介紹了hibernate一對多關(guān)聯(lián)映射學(xué)習(xí)小結(jié),需要的朋友可以參考下
    2017-09-09
  • Java JVM調(diào)優(yōu)五大技能詳解

    Java JVM調(diào)優(yōu)五大技能詳解

    這篇文章主要為大家介紹了JVM調(diào)優(yōu)的五大技能,具有一定的參考價值,感興趣的小伙伴們可以參考一下,希望能夠給你帶來幫助
    2021-11-11
  • 淺談Java設(shè)置PPT幻燈片背景——純色、漸變、圖片背景

    淺談Java設(shè)置PPT幻燈片背景——純色、漸變、圖片背景

    這篇文章主要介紹了Java設(shè)置PPT幻燈片背景——純色、漸變、圖片背景,文中通過示例代碼介紹的非常詳細,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-03-03
  • java適配器模式如何讓不兼容的接口變得兼容

    java適配器模式如何讓不兼容的接口變得兼容

    這篇文章主要為大家介紹了java適配器模式如何讓不兼容的接口變得兼容示例解析,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
    2023-09-09
  • Java?-jar參數(shù)詳解之掌握Java可執(zhí)行JAR文件的運行技巧

    Java?-jar參數(shù)詳解之掌握Java可執(zhí)行JAR文件的運行技巧

    做項目的時候我們肯定接觸過很多jar包,下面這篇文章主要給大家介紹了關(guān)于Java?-jar參數(shù)詳解之掌握Java可執(zhí)行JAR文件的運行技巧,文中通過代碼介紹的非常詳細,需要的朋友可以參考下
    2023-11-11
  • java8 統(tǒng)計字符串字母個數(shù)的幾種方法總結(jié)(推薦)

    java8 統(tǒng)計字符串字母個數(shù)的幾種方法總結(jié)(推薦)

    下面小編就為大家分享一篇java8 統(tǒng)計字符串字母個數(shù)的幾種方法總結(jié)(推薦),具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來吧
    2017-11-11
  • Java全面講解順序表與鏈表的使用

    Java全面講解順序表與鏈表的使用

    大家好,今天給大家?guī)淼氖琼樞虮砗玩湵?,我覺得順序表還是有比較難理解的地方的,于是我就把這一塊的內(nèi)容全部整理到了一起,希望能夠給剛剛進行學(xué)習(xí)數(shù)據(jù)結(jié)構(gòu)的人帶來一些幫助,或者是已經(jīng)學(xué)過這塊的朋友們帶來更深的理解,我們現(xiàn)在就開始吧
    2022-05-05

最新評論