詳解SpringSecurity中的Authentication信息與登錄流程
Authentication
使用SpringSecurity可以在任何地方注入Authentication進而獲取到當(dāng)前登錄的用戶信息,可謂十分強大。
在Authenticaiton的繼承體系中,實現(xiàn)類UsernamePasswordAuthenticationToken 算是比較常見的一個了,在這個類中存在兩個屬性:principal和credentials,其實分別代表著用戶和密碼。【當(dāng)然其他的屬性存在于其父類中,如authorities
和details
。】
我們需要對這個對象有一個基本地認識,它保存了用戶的基本信息。用戶在登錄的時候,進行了一系列的操作,將信息存與這個對象中,后續(xù)我們使用的時候,就可以輕松地獲取這些信息了。
那么,用戶信息如何存,又是如何取的呢?繼續(xù)往下看吧。
登錄流程
一、與認證相關(guān)的UsernamePasswordAuthenticationFilter
通過Servlet中的Filter技術(shù)進行實現(xiàn),通過一系列內(nèi)置的或自定義的安全Filter,實現(xiàn)接口的認證與授權(quán)。
比如:UsernamePasswordAuthenticationFilter
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException { if (postOnly && !request.getMethod().equals("POST")) { throw new AuthenticationServiceException( "Authentication method not supported: " + request.getMethod()); } //獲取用戶名和密碼 String username = obtainUsername(request); String password = obtainPassword(request); if (username == null) { username = ""; } if (password == null) { password = ""; } username = username.trim(); //構(gòu)造UsernamePasswordAuthenticationToken對象 UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken( username, password); // 為details屬性賦值 setDetails(request, authRequest); // 調(diào)用authenticate方法進行校驗 return this.getAuthenticationManager().authenticate(authRequest); }
獲取用戶名和密碼
從request中提取參數(shù),這也是SpringSecurity默認的表單登錄需要通過key/value形式傳遞參數(shù)的原因。
@Nullable protected String obtainPassword(HttpServletRequest request) { return request.getParameter(passwordParameter); } @Nullable protected String obtainUsername(HttpServletRequest request) { return request.getParameter(usernameParameter); }
構(gòu)造UsernamePasswordAuthenticationToken對象
傳入獲取到的用戶名和密碼,而用戶名對應(yīng)UPAT對象中的principal屬性,而密碼對應(yīng)credentials屬性。
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken( username, password); //UsernamePasswordAuthenticationToken 的構(gòu)造器 public UsernamePasswordAuthenticationToken(Object principal, Object credentials) { super(null); this.principal = principal; this.credentials = credentials; setAuthenticated(false); }
為details屬性賦值
// Allow subclasses to set the "details" property 允許子類去設(shè)置這個屬性 setDetails(request, authRequest); protected void setDetails(HttpServletRequest request, UsernamePasswordAuthenticationToken authRequest) { authRequest.setDetails(authenticationDetailsSource.buildDetails(request)); } //AbstractAuthenticationToken 是UsernamePasswordAuthenticationToken的父類 public void setDetails(Object details) { this.details = details; }
details屬性存在于父類之中,主要描述兩個信息,一個是remoteAddress 和sessionId。
public WebAuthenticationDetails(HttpServletRequest request) { this.remoteAddress = request.getRemoteAddr(); HttpSession session = request.getSession(false); this.sessionId = (session != null) ? session.getId() : null; }
調(diào)用authenticate方法進行校驗
this.getAuthenticationManager().authenticate(authRequest)
二、ProviderManager的校驗邏輯
public Authentication authenticate(Authentication authentication) throws AuthenticationException { Class<? extends Authentication> toTest = authentication.getClass(); AuthenticationException lastException = null; AuthenticationException parentException = null; Authentication result = null; Authentication parentResult = null; boolean debug = logger.isDebugEnabled(); for (AuthenticationProvider provider : getProviders()) { //獲取Class,判斷當(dāng)前provider是否支持該authentication if (!provider.supports(toTest)) { continue; } //如果支持,則調(diào)用provider的authenticate方法開始校驗 result = provider.authenticate(authentication); //將舊的token的details屬性拷貝到新的token中。 if (result != null) { copyDetails(authentication, result); break; } } //如果上一步的結(jié)果為null,調(diào)用provider的parent的authenticate方法繼續(xù)校驗。 if (result == null && parent != null) { result = parentResult = parent.authenticate(authentication); } if (result != null) { if (eraseCredentialsAfterAuthentication && (result instanceof CredentialsContainer)) { //調(diào)用eraseCredentials方法擦除憑證信息 ((CredentialsContainer) result).eraseCredentials(); } if (parentResult == null) { //publishAuthenticationSuccess將登錄成功的事件進行廣播。 eventPublisher.publishAuthenticationSuccess(result); } return result; } }
獲取Class,判斷當(dāng)前provider是否支持該authentication。
如果支持,則調(diào)用provider的authenticate方法開始校驗,校驗完成之后,返回一個新的Authentication。
將舊的token的details屬性拷貝到新的token中。
如果上一步的結(jié)果為null,調(diào)用provider的parent的authenticate方法繼續(xù)校驗。
調(diào)用eraseCredentials方法擦除憑證信息,也就是密碼,具體來說就是讓credentials為空。
publishAuthenticationSuccess將登錄成功的事件進行廣播。
三、AuthenticationProvider的authenticate
public Authentication authenticate(Authentication authentication) throws AuthenticationException { //從Authenticaiton中提取登錄的用戶名。 String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED" : authentication.getName(); //返回登錄對象 user = retrieveUser(username,(UsernamePasswordAuthenticationToken) authentication); //校驗user中的各個賬戶狀態(tài)屬性是否正常 preAuthenticationChecks.check(user); //密碼比對 additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken) authentication); //密碼比對 postAuthenticationChecks.check(user); Object principalToReturn = user; //表示是否強制將Authentication中的principal屬性設(shè)置為字符串 if (forcePrincipalAsString) { principalToReturn = user.getUsername(); } //構(gòu)建新的UsernamePasswordAuthenticationToken return createSuccessAuthentication(principalToReturn, authentication, user); }
從Authenticaiton中提取登錄的用戶名。retrieveUser
方法將會調(diào)用loadUserByUsername
方法,這里將會返回登錄對象。preAuthenticationChecks.check(user);
校驗user中的各個賬戶狀態(tài)屬性是否正常,如賬號是否被禁用,賬戶是否被鎖定,賬戶是否過期等。additionalAuthenticationChecks
用于做密碼比對,密碼加密解密校驗就在這里進行。postAuthenticationChecks.check(user);
用于密碼比對。forcePrincipalAsString
表示是否強制將Authentication中的principal屬性設(shè)置為字符串,默認為false,也就是說默認登錄之后獲取的用戶是對象,而不是username。構(gòu)建新的UsernamePasswordAuthenticationToken
。
用戶信息保存
我們來到UsernamePasswordAuthenticationFilter 的父類AbstractAuthenticationProcessingFilter 中,
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) res; Authentication authResult; try { //實際觸發(fā)了上面提到的attemptAuthentication方法 authResult = attemptAuthentication(request, response); if (authResult == null) { return; } sessionStrategy.onAuthentication(authResult, request, response); } //登錄失敗 catch (InternalAuthenticationServiceException failed) { unsuccessfulAuthentication(request, response, failed); return; } catch (AuthenticationException failed) { unsuccessfulAuthentication(request, response, failed); return; } if (continueChainBeforeSuccessfulAuthentication) { chain.doFilter(request, response); } //登錄成功 successfulAuthentication(request, response, chain, authResult); }
關(guān)于登錄成功調(diào)用的方法:
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException { //將登陸成功的用戶信息存儲在SecurityContextHolder.getContext()中 SecurityContextHolder.getContext().setAuthentication(authResult); rememberMeServices.loginSuccess(request, response, authResult); // Fire event if (this.eventPublisher != null) { eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent( authResult, this.getClass())); } //登錄成功的回調(diào)方法 successHandler.onAuthenticationSuccess(request, response, authResult); }
我們可以通過SecurityContextHolder.getContext().setAuthentication(authResult);
得到兩點結(jié)論:
- 如果我們想要獲取用戶信息,我們只需要調(diào)用
SecurityContextHolder.getContext().getAuthentication()
即可。 - 如果我們想要更新用戶信息,我們只需要調(diào)用
SecurityContextHolder.getContext().setAuthentication(authResult);
即可。
用戶信息的獲取
前面說到,我們可以利用Authenticaiton輕松得到用戶信息,主要有下面幾種方法:
通過上下文獲取。
SecurityContextHolder.getContext().getAuthentication();
直接在Controller注入Authentication。
@GetMapping("/hr/info") public Hr getCurrentHr(Authentication authentication) { return ((Hr) authentication.getPrincipal()); }
為什么多次請求可以獲取同樣的信息
前面已經(jīng)談到,SpringSecurity將登錄用戶信息存入SecurityContextHolder 中,本質(zhì)上,其實是存在ThreadLocal中,為什么這么說呢?
原因在于,SpringSecurity采用了策略模式,在SecurityContextHolder 中定義了三種不同的策略,而如果我們不配置,默認就是MODE_THREADLOCAL
模式。
public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL"; public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL"; public static final String MODE_GLOBAL = "MODE_GLOBAL"; public static final String SYSTEM_PROPERTY = "spring.security.strategy"; private static String strategyName = System.getProperty(SYSTEM_PROPERTY); private static void initialize() { if (!StringUtils.hasText(strategyName)) { // Set default strategyName = MODE_THREADLOCAL; } if (strategyName.equals(MODE_THREADLOCAL)) { strategy = new ThreadLocalSecurityContextHolderStrategy(); } } private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();
了解這個之后,又有一個問題拋出:ThreadLocal能夠保證同一線程的數(shù)據(jù)是一份,那進進出出之后,線程更改,又如何保證登錄的信息是正確的呢。
這里就要說到一個比較重要的過濾器:SecurityContextPersistenceFilter
,它的優(yōu)先級很高,僅次于WebAsyncManagerIntegrationFilter
。也就是說,在進入后面的過濾器之前,將會先來到這個類的doFilter方法。
public class SecurityContextPersistenceFilter extends GenericFilterBean { public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) req; HttpServletResponse response = (HttpServletResponse) res; if (request.getAttribute(FILTER_APPLIED) != null) { // 確保這個過濾器只應(yīng)對一個請求 chain.doFilter(request, response); return; } //分岔路口之后,表示應(yīng)對多個請求 HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response); //用戶信息在 session 中保存的 value。 SecurityContext contextBeforeChainExecution = repo.loadContext(holder); try { //將當(dāng)前用戶信息存入上下文 SecurityContextHolder.setContext(contextBeforeChainExecution); chain.doFilter(holder.getRequest(), holder.getResponse()); } finally { //收尾工作,獲取SecurityContext SecurityContext contextAfterChainExecution = SecurityContextHolder .getContext(); //清空SecurityContext SecurityContextHolder.clearContext(); //重新存進session中 repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse()); } } }
SecurityContextPersistenceFilter
繼承自GenericFilterBean
,而GenericFilterBean
則是 Filter 的實現(xiàn),所以SecurityContextPersistenceFilter
作為一個過濾器,它里邊最重要的方法就是doFilter
了。- 在
doFilter
方法中,它首先會從 repo 中讀取一個SecurityContext
出來,這里的 repo 實際上就是HttpSessionSecurityContextRepository
,讀取SecurityContext
的操作會進入到readSecurityContextFromSession(httpSession)
方法中。 - 在這里我們看到了讀取的核心方法
Object contextFromSession = httpSession.getAttribute(springSecurityContextKey);
,這里的springSecurityContextKey
對象的值就是SPRING_SECURITY_CONTEXT
,讀取出來的對象最終會被轉(zhuǎn)為一個SecurityContext
對象。 SecurityContext
是一個接口,它有一個唯一的實現(xiàn)類SecurityContextImpl
,這個實現(xiàn)類其實就是用戶信息在 session 中保存的 value。- 在拿到
SecurityContext
之后,通過SecurityContextHolder.setContext
方法將這個SecurityContext
設(shè)置到ThreadLocal
中去,這樣,在當(dāng)前請求中,Spring Security 的后續(xù)操作,我們都可以直接從SecurityContextHolder
中獲取到用戶信息了。 - 接下來,通過
chain.doFilter
讓請求繼續(xù)向下走(這個時候就會進入到UsernamePasswordAuthenticationFilter
過濾器中了)。 - 在過濾器鏈走完之后,數(shù)據(jù)響應(yīng)給前端之后,finally 中還有一步收尾操作,這一步很關(guān)鍵。這里從
SecurityContextHolder
中獲取到SecurityContext
,獲取到之后,會把SecurityContextHolder
清空,然后調(diào)用repo.saveContext
方法將獲取到的SecurityContext
存入 session 中。
總結(jié):
每個請求到達服務(wù)端的時候,首先從session中找出SecurityContext ,為了本次請求之后都能夠使用,設(shè)置到SecurityContextHolder 中。
當(dāng)請求離開的時候,SecurityContextHolder 會被清空,且SecurityContext 會被放回session中,方便下一個請求來獲取。
資源放行的兩種方式
用戶登錄的流程只有走過濾器鏈,才能夠?qū)⑿畔⒋嫒雜ession中,因此我們配置登錄請求的時候需要使用configure(HttpSecurity http),因為這個配置會走過濾器鏈。
http.authorizeRequests() .antMatchers("/hello").permitAll() .anyRequest().authenticated()
而 configure(WebSecurity web)不會走過濾器鏈,適用于靜態(tài)資源的放行。
@Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/index.html","/img/**","/fonts/**","/favicon.ico"); }
到此這篇關(guān)于SpringSecurity中的Authentication信息與登錄流程的文章就介紹到這了,更多相關(guān)SpringSecurity登錄流程內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
- SpringSecurity實現(xiàn)前后端分離登錄token認證詳解
- springSecurity實現(xiàn)簡單的登錄功能
- SpringSecurity自定義登錄成功處理
- SpringSecurity自定義登錄界面
- SpringSecurity OAuth2單點登錄和登出的實現(xiàn)
- SpringBoot如何整合Springsecurity實現(xiàn)數(shù)據(jù)庫登錄及權(quán)限控制
- SpringBoot整合SpringSecurity和JWT的示例
- SpringSecurity動態(tài)加載用戶角色權(quán)限實現(xiàn)登錄及鑒權(quán)功能
- SpringSecurity集成第三方登錄過程詳解(最新推薦)
相關(guān)文章
hibernate一對多關(guān)聯(lián)映射學(xué)習(xí)小結(jié)
這篇文章主要介紹了hibernate一對多關(guān)聯(lián)映射學(xué)習(xí)小結(jié),需要的朋友可以參考下2017-09-09淺談Java設(shè)置PPT幻燈片背景——純色、漸變、圖片背景
這篇文章主要介紹了Java設(shè)置PPT幻燈片背景——純色、漸變、圖片背景,文中通過示例代碼介紹的非常詳細,對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2019-03-03Java?-jar參數(shù)詳解之掌握Java可執(zhí)行JAR文件的運行技巧
做項目的時候我們肯定接觸過很多jar包,下面這篇文章主要給大家介紹了關(guān)于Java?-jar參數(shù)詳解之掌握Java可執(zhí)行JAR文件的運行技巧,文中通過代碼介紹的非常詳細,需要的朋友可以參考下2023-11-11java8 統(tǒng)計字符串字母個數(shù)的幾種方法總結(jié)(推薦)
下面小編就為大家分享一篇java8 統(tǒng)計字符串字母個數(shù)的幾種方法總結(jié)(推薦),具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來吧2017-11-11