一、SpringSecurity 本質(zhì)

SpringSecurity 本質(zhì)是一個過濾器鏈；
從啟動是可以獲取到（加載）過濾器鏈，當(dāng)執(zhí)行請求時就會執(zhí)行相應(yīng)的過濾器：

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
org.springframework.security.web.context.SecurityContextPersistenceFilter 
org.springframework.security.web.header.HeaderWriterFilter
org.springframework.security.web.csrf.CsrfFilter
org.springframework.security.web.authentication.logout.LogoutFilter 
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter 
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
org.springframework.security.web.savedrequest.RequestCacheAwareFilter
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
org.springframework.security.web.authentication.AnonymousAuthenticationFilter 
org.springframework.security.web.session.SessionManagementFilter 
org.springframework.security.web.access.ExceptionTranslationFilter 
org.springframework.security.web.access.intercept.FilterSecurityInterceptor

二、典型過濾器

2.1 FilterSecurityInterceptor

FilterSecurityInterceptor：是一個方法級的權(quán)限過濾器, 基本位于過濾鏈的最底部。

1.打開FilterSecurityInterceptor類，發(fā)現(xiàn)該類是實現(xiàn)Filter接口，如圖所示：

2.找到doFilter方法，發(fā)現(xiàn)最后調(diào)用的是invoke方法

3.找到invoke方法
super.beforeInvocation(filterInvocation) 表示查看之前的 filter 是否通過。
filterInvocation.getChain().doFilter(filterInvocation.getRequest(), filterInvocation.getResponse());表示真正的調(diào)用后臺的服務(wù)。

2.2 ExceptionTranslationFilter

ExceptionTranslationFilter：是個異常過濾器，用來處理在認證授權(quán)過程中拋出的異常

1.點擊繼承方法，發(fā)現(xiàn)該類是實現(xiàn)Filter接口，如圖所示：

2.找到核心方法doFilter方法

2.3 UsernamePasswordAuthenticationFilter

UsernamePasswordAuthenticationFilter ：對/login 的 POST 請求做攔截，校驗表單中用戶名，密碼。

1.找到核心方法attemptAuthentication

三、過濾器加載過程

1.使用Spring Security首先是需要進行配置，而springboot幫我們做了這些事情，自動裝配省了配置。
本質(zhì)是有過濾器進行處理的DelegatingFilterProxy，找到doFilter方法，進入initDelegate方法

2.該方法主要是找到指定的過濾器名（FilterChainProxy）
wac：spring容器中上下文對象。
Filter delegate = wac.getBean(targetBeanName, Filter.class);//獲取Spring容器中beanName=targetBeanName，類型為Filter的bean

3.我能從第二步知道獲得的過濾器名FilterChainProxy，所以我們進入這個類看看
發(fā)現(xiàn)無論怎么處理都會調(diào)用doFilterInternal，很好奇

4.我們進入doFilterInternal看看，發(fā)現(xiàn)代碼中有個list集合是來裝每個過濾器的

5.getFilters方法把過濾器都加載到過濾鏈中

6.返回DelegatingFilterProxy類中的doFilter方法，調(diào)用invokeDelegate，調(diào)用代理對象方法，完成攔截

7.invokeDelegate方法中delegate調(diào)用代理對象的Filter完成攔截

四、兩個重要接口

4.1 UserDetailsService接口

當(dāng)什么也沒有配置的時候，賬號和密碼是由 Spring Security 定義生成的。而在實際項目中賬號和密碼都是從數(shù)據(jù)庫中查詢出來的。 所以我們要通過自定義邏輯控制認證邏輯。

• UserDetailsService接口：查詢數(shù)據(jù)庫中的用戶名和密碼
• UsernamePasswordAuthenticationFilter：獲取前臺表單傳過來的用戶名和密碼

返回值 UserDetails，這個類是系統(tǒng)默認的用戶“主體”
UserDetails.java

// 表示獲取登錄用戶所有權(quán)限
Collection<? extends GrantedAuthority> getAuthorities();
// 表示獲取密碼
String getPassword();
// 表示獲取用戶名
String getUsername();
// 表示判斷賬戶是否過期
boolean isAccountNonExpired();
// 表示判斷賬戶是否被鎖定
boolean isAccountNonLocked();
// 表示憑證{密碼}是否過期
boolean isCredentialsNonExpired();
// 表示當(dāng)前用戶是否可用
boolean isEnabled();

UserDetails的實現(xiàn)類，以后我們只需要使用 User 這個實體類即可！

方法參數(shù) username：表示用戶名。此值是客戶端表單傳遞過來的數(shù)據(jù)。默認情況下必須叫 username，否則無法接收。

4.2 PasswordEncoder接口

PasswordEncoder接口：用來數(shù)據(jù)加密
PasswordEncoder.java

// 表示把參數(shù)按照特定的解析規(guī)則進行解析
String encode(CharSequence rawPassword);
// 表示驗證從存儲中獲取的編碼密碼與編碼后提交的原始密碼是否匹配。如果密碼匹
配，則返回 true；如果不匹配，則返回 false。第一個參數(shù)表示需要被解析的密碼。第二個
參數(shù)表示存儲的密碼。
boolean matches(CharSequence rawPassword, String encodedPassword);
// 表示如果解析的密碼能夠再次進行解析且達到更安全的結(jié)果則返回 true，否則返回
false。默認返回 false。
default boolean upgradeEncoding(String encodedPassword) {
return false; }

PasswordEncoder的實現(xiàn)類：

BCryptPasswordEncoder 是 Spring Security 官方推薦的密碼解析器，平時多使用這個解析器。
BCryptPasswordEncoder 是對 bcrypt 強散列方法的具體實現(xiàn)。是基于 Hash 算法實現(xiàn)的單向加密?？梢酝ㄟ^ strength 控制加密強度，默認10.

查用方法演示：

@Test
public void test01(){
	// 創(chuàng)建密碼解析器
	BCryptPasswordEncoder bCryptPasswordEncoder = new 
	BCryptPasswordEncoder();
	// 對密碼進行加密
	String atguigu = bCryptPasswordEncoder.encode("atguigu");
	// 打印加密之后的數(shù)據(jù)
	System.out.println("加密之后數(shù)據(jù)：\t"+atguigu);
	//判斷原字符加密后和加密之前是否匹配
	boolean result = bCryptPasswordEncoder.matches("atguigu", atguigu);
	// 打印比較結(jié)果
	System.out.println("比較結(jié)果：\t"+result);
}

到此這篇關(guān)于淺談SpringSecurity基本原理的文章就介紹到這了,更多相關(guān)SpringSecurity原理內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論