Spring Security的本質
Spring Security 本質上是一連串的Filter , 然後又以一個獨立的Filter 的形式插入到Filter Chain 裡,其名為FilterChainProxy 。 如圖所示。
實際上FilterChainProxy 下面可以有多條Filter Chain ,來針對不同的URL做驗證,而Filter Chain 中所擁有的Filter 則會根據定義的服務自動增減。所以無需要顯示再定義這些Filter ,除非想要實現自己的邏輯。
關鍵類
Authentication
Authentication 是一個接口,用來表示用戶認證信息,在用戶登錄認證之前相關信息會封裝為一個Authentication 具體實現類的對象,在登錄認證成功之後又會生成一個信息更全面,包含用戶權限等信息的Authentication 對象,然後把它保存在SecurityContextHolder 所持有的SecurityContext 中,供後續的程序進行調用,如訪問權限的鑑定等。
AuthenticationManager
用來做驗證的最主要的接口為AuthenticationManager ,這個接口只有一個方法:
public interface AuthenticationManager { Authentication authenticate(Authentication authentication) throws AuthenticationException;}其中authenticate() 方法運行後可能會有三種情況:
驗證成功,返回一個帶有用戶信息的Authentication 。
驗證失敗,拋出一個AuthenticationException 異常。
無法判斷,返回null 。
ProviderManager
ProviderManager 是上面的AuthenticationManager 最常見的實現,它不自己處理驗證,而是將驗證委託給其所配置的AuthenticationProvider 列表,然後會依次調用每一個AuthenticationProvider 進行認證,這個過程中只要有一個AuthenticationProvider 驗證成功,就不會再繼續做更多驗證,會直接以該認證結果作為ProviderManager 的認證結果。
認證過程
用戶使用用戶名和密碼進行登錄。
Spring Security 將獲取到的用戶名和密碼封裝成一個Authentication 接口的實現類,比如常用的UsernamePasswordAuthenticationToken 。
將上述產生的Authentication 對像傳遞給AuthenticationManager 的實現類ProviderManager 進行認證。
ProviderManager 依次調用各個AuthenticationProvider 進行認證,認證成功後返回一個封裝了用戶權限等信息的Authentication 對象。
將AuthenticationManager 返回的Authentication 對象賦予給當前的SecurityContext 。
自定義驗證
有了以上的知識儲備後就可以來自定義驗證方法了。通過上面可以看出,實際上真正來做驗證操作的是一個個的AuthenticationProvider ,所以如果要自定義驗證方法,只需要實現一個自己的AuthenticationProvider 然後再將其添加進ProviderManager 裡就行了。
自定義AuthenticationProvider
@Componentpublic class CustomAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { String name = authentication.getName(); String password = authentication.getCredentials().toString(); if (shouldAuthenticateAgainstThirdPartySystem()) { // use the credentials // and authenticate against the third-party system return new UsernamePasswordAuthenticationToken( name, password, new ArrayList<>()); } else { return null; } } @Override public boolean supports(Class<?> authentication) { return authentication.equals( UsernamePasswordAuthenticationToken.class); }}其中的supports() 方法接受一個authentication 參數,用來判斷傳進來的authentication 是不是該AuthenticationProvider 能夠處理的類型。
註冊AuthenticationProvider
現在再將剛創建的AuthenticationProvider 在與ProviderManager 裡註冊,所有操作就完成了。
@Configuration@EnableWebSecurity@ComponentScan("org.baeldung.security")public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAuthenticationProvider authProvider; @Override protected void configure( AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(authProvider); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated() .and() .httpBasic(); }}總結
以上所述是小編給大家介紹的Spring Security驗證流程剖析及自定義驗證方法,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對武林網網站的支持!