詳解SpringSecurity中的Authentication信息與登錄流程

更新時間：2020年09月09日 10:06:31 作者：天喬巴夏丶

這篇文章主要介紹了SpringSecurity中的Authentication信息與登錄流程,本文給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下

Authentication

使用SpringSecurity可以在任何地方注入Authentication進而獲取到當前登錄的用戶信息，可謂十分強大。

在Authenticaiton的繼承體系中，實現類UsernamePasswordAuthenticationToken 算是比較常見的一個了，在這個類中存在兩個屬性：principal和credentials，其實分別代表著用戶和密碼。【當然其他的屬性存在于其父類中，如authorities和details。】

我們需要對這個對象有一個基本地認識，它保存了用戶的基本信息。用戶在登錄的時候，進行了一系列的操作，將信息存與這個對象中，后續(xù)我們使用的時候，就可以輕松地獲取這些信息了。

那么，用戶信息如何存，又是如何取的呢？繼續(xù)往下看吧。

登錄流程

一、與認證相關的UsernamePasswordAuthenticationFilter

通過Servlet中的Filter技術進行實現，通過一系列內置的或自定義的安全Filter，實現接口的認證與授權。

比如：UsernamePasswordAuthenticationFilter

public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}
		//獲取用戶名和密碼
		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}
		username = username.trim();
		//構造UsernamePasswordAuthenticationToken對象
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// 為details屬性賦值
		setDetails(request, authRequest);
		// 調用authenticate方法進行校驗
		return this.getAuthenticationManager().authenticate(authRequest);
	}

獲取用戶名和密碼

從request中提取參數，這也是SpringSecurity默認的表單登錄需要通過key/value形式傳遞參數的原因。

@Nullable
	protected String obtainPassword(HttpServletRequest request) {
		return request.getParameter(passwordParameter);
	}
	@Nullable
	protected String obtainUsername(HttpServletRequest request) {
		return request.getParameter(usernameParameter);
	}

構造UsernamePasswordAuthenticationToken對象

傳入獲取到的用戶名和密碼，而用戶名對應UPAT對象中的principal屬性，而密碼對應credentials屬性。

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
 username, password);

//UsernamePasswordAuthenticationToken 的構造器
public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
 super(null);
 this.principal = principal;
 this.credentials = credentials;
 setAuthenticated(false);
}

為details屬性賦值

// Allow subclasses to set the "details" property 允許子類去設置這個屬性
setDetails(request, authRequest);

protected void setDetails(HttpServletRequest request,
    UsernamePasswordAuthenticationToken authRequest) {
 authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
}

//AbstractAuthenticationToken 是UsernamePasswordAuthenticationToken的父類
public void setDetails(Object details) {
 this.details = details;
}

details屬性存在于父類之中，主要描述兩個信息，一個是remoteAddress 和sessionId。

	public WebAuthenticationDetails(HttpServletRequest request) {
		this.remoteAddress = request.getRemoteAddr();

		HttpSession session = request.getSession(false);
		this.sessionId = (session != null) ? session.getId() : null;
	}

調用authenticate方法進行校驗

this.getAuthenticationManager().authenticate(authRequest)

二、ProviderManager的校驗邏輯

public Authentication authenticate(Authentication authentication)
 throws AuthenticationException {
 Class<? extends Authentication> toTest = authentication.getClass();
 AuthenticationException lastException = null;
 AuthenticationException parentException = null;
 Authentication result = null;
 Authentication parentResult = null;
 boolean debug = logger.isDebugEnabled();

 for (AuthenticationProvider provider : getProviders()) {
 //獲取Class，判斷當前provider是否支持該authentication
 if (!provider.supports(toTest)) {
  continue;
 }
 //如果支持，則調用provider的authenticate方法開始校驗
 result = provider.authenticate(authentication);
 
		//將舊的token的details屬性拷貝到新的token中。
 if (result != null) {
  copyDetails(authentication, result);
  break;
 }
 }
 //如果上一步的結果為null，調用provider的parent的authenticate方法繼續(xù)校驗。
 if (result == null && parent != null) {
 result = parentResult = parent.authenticate(authentication);
 }

 if (result != null) {
 if (eraseCredentialsAfterAuthentication
  && (result instanceof CredentialsContainer)) {
  //調用eraseCredentials方法擦除憑證信息
  ((CredentialsContainer) result).eraseCredentials();
 }
 if (parentResult == null) {
  //publishAuthenticationSuccess將登錄成功的事件進行廣播。
  eventPublisher.publishAuthenticationSuccess(result);
 }
 return result;
 }
}

獲取Class，判斷當前provider是否支持該authentication。

如果支持，則調用provider的authenticate方法開始校驗，校驗完成之后，返回一個新的Authentication。

將舊的token的details屬性拷貝到新的token中。

如果上一步的結果為null，調用provider的parent的authenticate方法繼續(xù)校驗。

調用eraseCredentials方法擦除憑證信息，也就是密碼，具體來說就是讓credentials為空。

publishAuthenticationSuccess將登錄成功的事件進行廣播。

三、AuthenticationProvider的authenticate

public Authentication authenticate(Authentication authentication)
		throws AuthenticationException {
 //從Authenticaiton中提取登錄的用戶名。
	String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
			: authentication.getName();
 //返回登錄對象
	user = retrieveUser(username,(UsernamePasswordAuthenticationToken) authentication);
 //校驗user中的各個賬戶狀態(tài)屬性是否正常
	preAuthenticationChecks.check(user);
 //密碼比對
	additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken) authentication);
 //密碼比對
	postAuthenticationChecks.check(user);
	Object principalToReturn = user;
 //表示是否強制將Authentication中的principal屬性設置為字符串
	if (forcePrincipalAsString) {
		principalToReturn = user.getUsername();
	}
 //構建新的UsernamePasswordAuthenticationToken
	return createSuccessAuthentication(principalToReturn, authentication, user);
}

從Authenticaiton中提取登錄的用戶名。retrieveUser方法將會調用loadUserByUsername方法，這里將會返回登錄對象。preAuthenticationChecks.check(user);校驗user中的各個賬戶狀態(tài)屬性是否正常，如賬號是否被禁用，賬戶是否被鎖定，賬戶是否過期等。additionalAuthenticationChecks用于做密碼比對，密碼加密解密校驗就在這里進行。postAuthenticationChecks.check(user);用于密碼比對。forcePrincipalAsString表示是否強制將Authentication中的principal屬性設置為字符串，默認為false，也就是說默認登錄之后獲取的用戶是對象，而不是username。構建新的UsernamePasswordAuthenticationToken。

用戶信息保存

我們來到UsernamePasswordAuthenticationFilter 的父類AbstractAuthenticationProcessingFilter 中，

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
		throws IOException, ServletException {
	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;
	Authentication authResult;
	try {
 //實際觸發(fā)了上面提到的attemptAuthentication方法
		authResult = attemptAuthentication(request, response);
		if (authResult == null) {
			return;
		}
		sessionStrategy.onAuthentication(authResult, request, response);
	}
 //登錄失敗
	catch (InternalAuthenticationServiceException failed) {
		unsuccessfulAuthentication(request, response, failed);
		return;
	}
	catch (AuthenticationException failed) {
		unsuccessfulAuthentication(request, response, failed);
		return;
	}
	if (continueChainBeforeSuccessfulAuthentication) {
		chain.doFilter(request, response);
	}
 //登錄成功
	successfulAuthentication(request, response, chain, authResult);
}

關于登錄成功調用的方法：

protected void successfulAuthentication(HttpServletRequest request,
		HttpServletResponse response, FilterChain chain, Authentication authResult)
		throws IOException, ServletException {
 //將登陸成功的用戶信息存儲在SecurityContextHolder.getContext()中
	SecurityContextHolder.getContext().setAuthentication(authResult);
	rememberMeServices.loginSuccess(request, response, authResult);
	// Fire event
	if (this.eventPublisher != null) {
		eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
				authResult, this.getClass()));
	}
 //登錄成功的回調方法
	successHandler.onAuthenticationSuccess(request, response, authResult);
}

我們可以通過SecurityContextHolder.getContext().setAuthentication(authResult);得到兩點結論：

如果我們想要獲取用戶信息，我們只需要調用SecurityContextHolder.getContext().getAuthentication()即可。
如果我們想要更新用戶信息，我們只需要調用SecurityContextHolder.getContext().setAuthentication(authResult);即可。

用戶信息的獲取

前面說到，我們可以利用Authenticaiton輕松得到用戶信息，主要有下面幾種方法：

通過上下文獲取。

SecurityContextHolder.getContext().getAuthentication();

直接在Controller注入Authentication。

@GetMapping("/hr/info")
public Hr getCurrentHr(Authentication authentication) {
 return ((Hr) authentication.getPrincipal());
}

為什么多次請求可以獲取同樣的信息

前面已經談到，SpringSecurity將登錄用戶信息存入SecurityContextHolder 中，本質上，其實是存在ThreadLocal中，為什么這么說呢？

原因在于，SpringSecurity采用了策略模式，在SecurityContextHolder 中定義了三種不同的策略，而如果我們不配置，默認就是MODE_THREADLOCAL模式。

public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
public static final String MODE_GLOBAL = "MODE_GLOBAL";
public static final String SYSTEM_PROPERTY = "spring.security.strategy";
private static String strategyName = System.getProperty(SYSTEM_PROPERTY);

private static void initialize() {
 if (!StringUtils.hasText(strategyName)) {
 // Set default
 strategyName = MODE_THREADLOCAL;
 }
 if (strategyName.equals(MODE_THREADLOCAL)) {
 strategy = new ThreadLocalSecurityContextHolderStrategy();
 } 
}

private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

了解這個之后，又有一個問題拋出：ThreadLocal能夠保證同一線程的數據是一份，那進進出出之后，線程更改，又如何保證登錄的信息是正確的呢。

這里就要說到一個比較重要的過濾器：SecurityContextPersistenceFilter，它的優(yōu)先級很高，僅次于WebAsyncManagerIntegrationFilter。也就是說，在進入后面的過濾器之前，將會先來到這個類的doFilter方法。

public class SecurityContextPersistenceFilter extends GenericFilterBean {
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
 if (request.getAttribute(FILTER_APPLIED) != null) {
			// 確保這個過濾器只應對一個請求
			chain.doFilter(request, response);
			return;
		}
 //分岔路口之后，表示應對多個請求
		HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,
				response);
 //用戶信息在 session 中保存的 value。
		SecurityContext contextBeforeChainExecution = repo.loadContext(holder);
		try {
  //將當前用戶信息存入上下文
			SecurityContextHolder.setContext(contextBeforeChainExecution);
			chain.doFilter(holder.getRequest(), holder.getResponse());
		}
		finally {
  //收尾工作，獲取SecurityContext
			SecurityContext contextAfterChainExecution = SecurityContextHolder
					.getContext();
  //清空SecurityContext
			SecurityContextHolder.clearContext();
  //重新存進session中
			repo.saveContext(contextAfterChainExecution, holder.getRequest(),
					holder.getResponse());
		}
	}
}

SecurityContextPersistenceFilter 繼承自 GenericFilterBean，而 GenericFilterBean 則是 Filter 的實現，所以 SecurityContextPersistenceFilter 作為一個過濾器，它里邊最重要的方法就是 doFilter 了。
在 doFilter 方法中，它首先會從 repo 中讀取一個 SecurityContext 出來，這里的 repo 實際上就是 HttpSessionSecurityContextRepository，讀取 SecurityContext 的操作會進入到 readSecurityContextFromSession(httpSession) 方法中。
在這里我們看到了讀取的核心方法 Object contextFromSession = httpSession.getAttribute(springSecurityContextKey);，這里的 springSecurityContextKey 對象的值就是 SPRING_SECURITY_CONTEXT，讀取出來的對象最終會被轉為一個 SecurityContext 對象。
SecurityContext 是一個接口，它有一個唯一的實現類 SecurityContextImpl，這個實現類其實就是用戶信息在 session 中保存的 value。
在拿到 SecurityContext 之后，通過 SecurityContextHolder.setContext 方法將這個 SecurityContext 設置到 ThreadLocal 中去，這樣，在當前請求中，Spring Security 的后續(xù)操作，我們都可以直接從 SecurityContextHolder 中獲取到用戶信息了。
接下來，通過 chain.doFilter 讓請求繼續(xù)向下走（這個時候就會進入到 UsernamePasswordAuthenticationFilter 過濾器中了）。
在過濾器鏈走完之后，數據響應給前端之后，finally 中還有一步收尾操作，這一步很關鍵。這里從 SecurityContextHolder 中獲取到 SecurityContext，獲取到之后，會把 SecurityContextHolder 清空，然后調用 repo.saveContext 方法將獲取到的 SecurityContext 存入 session 中。

總結：

每個請求到達服務端的時候，首先從session中找出SecurityContext ，為了本次請求之后都能夠使用，設置到SecurityContextHolder 中。

當請求離開的時候，SecurityContextHolder 會被清空，且SecurityContext 會被放回session中，方便下一個請求來獲取。

資源放行的兩種方式

用戶登錄的流程只有走過濾器鏈，才能夠將信息存入session中，因此我們配置登錄請求的時候需要使用configure(HttpSecurity http)，因為這個配置會走過濾器鏈。

http.authorizeRequests()
 .antMatchers("/hello").permitAll()
 .anyRequest().authenticated()

而 configure(WebSecurity web)不會走過濾器鏈，適用于靜態(tài)資源的放行。

@Override
public void configure(WebSecurity web) throws Exception {
 	web.ignoring().antMatchers("/index.html","/img/**","/fonts/**","/favicon.ico");
}

到此這篇關于SpringSecurity中的Authentication信息與登錄流程的文章就介紹到這了,更多相關SpringSecurity登錄流程內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

Java文件讀寫詳解
在真實的應用場景中，很多時候需要使用?Java?讀寫文件。比如說，讀取配置文件信息、讀取用戶輸入等。本篇文章將會詳細介紹?Java?文件讀寫的相關知識，其中包括：讀取文件、寫入文件、復制文件和刪除文件等操作,需要的朋友可以參考下
2023-05-05
Spring MVC 啟動過程源碼分析詳解
這篇文章主要介紹了Spring MVC 啟動過程源碼分析詳解,小編覺得挺不錯的，現在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2018-07-07
Java探索之Hibernate主鍵生成策略詳細介紹
這篇文章主要介紹了Java探索之Hibernate主鍵生成策略詳細介紹，具有一定參考價值，需要的朋友可以了解下。
2017-10-10
hibernate一對多關聯映射學習小結
這篇文章主要介紹了hibernate一對多關聯映射學習小結,需要的朋友可以參考下
2017-09-09
Java JVM調優(yōu)五大技能詳解
這篇文章主要為大家介紹了JVM調優(yōu)的五大技能，具有一定的參考價值，感興趣的小伙伴們可以參考一下，希望能夠給你帶來幫助
2021-11-11
淺談Java設置PPT幻燈片背景——純色、漸變、圖片背景
這篇文章主要介紹了Java設置PPT幻燈片背景——純色、漸變、圖片背景，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2019-03-03
java適配器模式如何讓不兼容的接口變得兼容
這篇文章主要為大家介紹了java適配器模式如何讓不兼容的接口變得兼容示例解析,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
2023-09-09
Java?-jar參數詳解之掌握Java可執(zhí)行JAR文件的運行技巧
做項目的時候我們肯定接觸過很多jar包,下面這篇文章主要給大家介紹了關于Java?-jar參數詳解之掌握Java可執(zhí)行JAR文件的運行技巧,文中通過代碼介紹的非常詳細,需要的朋友可以參考下
2023-11-11
java8 統計字符串字母個數的幾種方法總結(推薦)
下面小編就為大家分享一篇java8 統計字符串字母個數的幾種方法總結(推薦)，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來吧
2017-11-11
Java全面講解順序表與鏈表的使用
大家好，今天給大家?guī)淼氖琼樞虮砗玩湵?，我覺得順序表還是有比較難理解的地方的，于是我就把這一塊的內容全部整理到了一起，希望能夠給剛剛進行學習數據結構的人帶來一些幫助，或者是已經學過這塊的朋友們帶來更深的理解，我們現在就開始吧
2022-05-05