SpringSecurity认证原理分析
前几天介绍了
可能大家对SpringSecurity概念和使用已经有了基础认识,可是对SpringSecurity原理还不太清楚,那么今天就来介绍一下SpringSecurity认证原理今日内容介绍,大约花费15分钟
1. 认证原理分析
在使用SpringSecurity框架,该框架会默认自动地替我们将系统中的资源进行保护,每次访问资源的时候都必须经过一层身份的校验,如果通过了则重定向到我们输入的url中,否则访问是要被拒绝的。那么SpringSecurity框架是如何实现的呢? Spring Security功能的实现主要是由一系列过滤器相互配合完成。也称之为过滤器链,所以我们从Filter来入手,逐步深入Spring Security原理, 当初始化Spring Security时,会创建一个名为 SpringSecurityFilterChain的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter,因此外部的请求会经过该类
下图是Spring Security过虑器链结构图:
FilterChainProxy是一个代理,真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter,同时 这些Filter作为Bean被Spring管理,它们是Spring Security核心,各有各的职责,但他们并不直接处理用户的认 证,也不直接处理用户的授权,而是把它们交给了认证管理器 (AuthenticationManager)和决策管理器 (AccessDecisionManager)进行处理。
下面介绍过滤器链中主要的几个过滤器及其作用:
-
SecurityContextPersistenceFilter: 这个Filter是整个拦截过程的入口和出口(也就是第一个和最后一个拦截 器),会在请求开始时从配置好的 SecurityContextRepository 中获取SecurityContext,然后把它设置给 SecurityContextHolder。在请求完成后将SecurityContextHolder 持有的 SecurityContext 再保存到配置好 的SecurityContextRepository,同时清除 securityContextHolder 所持有的 SecurityContext; -
UsernamePasswordAuthenticationFilter:用于处理来自表单提交的认证。该表单必须提供对应的用户名和密 码,其内部还有登录成功或失败后进行处理的 AuthenticationSuccessHandler 和 AuthenticationFailureHandler,这些都可以根据需求做相关改变; -
FilterSecurityInterceptor: 是用于保护web资源的,使用AccessDecisionManager对当前用户进行授权访问; -
ExceptionTranslationFilter: 能够捕获来自 FilterChain 所有的异常,并进行处理。但是它只会处理两类异常: AuthenticationException 和 AccessDeniedException,其它的异常它会继续抛出。
2. 认证流程分析
上面已经介绍了SpringSecurity是由一系列过滤器相互配合完成,认证流程如下:
如图所示,用户登录使用用户密码登录认证方式的(其他认证方式也可以)。UsernamePasswordAuthenticationFilter会使用用户名和密码创建一个UsernamePasswordAuthenticationToken作为登录凭证,从而获取Authentication对象,Authentication代码身份验证主体,贯穿用户认证流程始终
3.UsernamePasswordAuthenticationFilter
3.1. UsernamePasswordAuthenticationFilter的UML 类图
对过滤器不太了解的可以看一下之前介绍文章Filter介绍
在UsernamePasswordAuthenticationFilter继承了抽象类AbstractAuthenticationProcessingFilter。
我们大家知道过滤器中重要方法就是过滤器拦截方法 doFilter()那么UsernamePasswordAuthenticationFilter在哪里?
实际上是在抽象类AbstractAuthenticationProcessingFilter中
在AbstractAuthenticationProcessingFilter类的 doFilter()中我们发现其调用了一个重要方法attemptAuthentication()
查看attemptAuthentication()方法
发现AbstractAuthenticationProcessingFilter类中attemptAuthentication()方法是抽象方法
思考:attemptAuthentication()抽象方法在哪里实现?
肯定是在抽象类的子类中实现
思考:谁是AbstractAuthenticationProcessingFilter抽象类的子类?
就是UsernamePasswordAuthenticationFilter
3.2. attemptAuthentication方法分析
从上面分析我们可以发现 ,在UsernamePasswordAuthenticationFilter过滤器中最终被过滤器调用的方法是attemptAuthentication,其源码分析如下:
public Authentication attemptAuthentication(HttpServletRequest request,
HttpServletResponse response) throws AuthenticationException {
//请求方式必须是POST请求
if (postOnly && !request.getMethod().equals("POST")) {
throw new AuthenticationServiceException(
"Authentication method not supported: " + request.getMethod());
}
//获取用户名
String username = obtainUsername(request);
//获取密码
String password = obtainPassword(request);
if (username == null) {
username = "";
}
if (password == null) {
password = "";
}
username = username.trim();
//组装认证的TOKEN对象
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
username, password);
// Allow subclasses to set the "details" property
setDetails(request, authRequest);
//内部的认证管理器对Token对象进行认证
return this.getAuthenticationManager().authenticate(authRequest);
}
3.3. 查看 String username = obtainUsername(request)
@Nullable
protected String obtainUsername(HttpServletRequest request) {
return request.getParameter(usernameParameter);
}
上面是请求响应的基础,不太了解的小伙伴可以去看一下之前介绍文章深入理解Servlet中的请求与响应对象
思考:从上面代码我们可以发现什么?
发现获取用户名是使用form表单接收数据的思考:默认获取参数是form表单,那么如果是前后端分离后还可以这样接收参数?
答案是不可以,因为前后端分离后一般就是使用axios发送请求,请求参数是json流,request.getParameter()就接收不到数据,所以如果前后端分离后,需要自定义认证过滤器
4.认证管理器认证用户合法信息
在UsernamePasswordAuthenticationFilter过滤器的attemptAuthentication方法最后一行代码是内部的认证管理器对Token对象进行认证
//内部的认证管理器对Token对象进行认证
return this.getAuthenticationManager().authenticate(authRequest);
通过上图发现 this.getAuthenticationManager(),实际上就是AuthenticationManager接口
思考:AuthenticationManager是接口,那么肯定有实现类,这里调用的实现类是谁?
查看实现类方式
-
-
选中 this.getAuthenticationManager(),点击右键
-
-
点击Evaluate 查看结果发现调用方法是ProviderManager类中的 authenticate方法 
5. 多种认证方式的ProviderManager
ProviderManager实现了AuthenticationManager的登录验证核心类,主要代码如下
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
Class<? extends Authentication> toTest = authentication.getClass();
AuthenticationException lastException = null;
AuthenticationException parentException = null;
Authentication result = null;
Authentication parentResult = null;
boolean debug = logger.isDebugEnabled();
// 迭代认证提供者,不同认证方式有不同提供者,如:用户名密码认证提供者,手机短信认证提供者
for (AuthenticationProvider provider : getProviders()) {
// 选取当前认证方式对应的提供者
if (!provider.supports(toTest)) {
continue;
}
if (debug) {
logger.debug("Authentication attempt using "
+ provider.getClass().getName());
}
try {
// 进行认证操作
// AbstractUserDetailsAuthenticationProvider》DaoAuthenticationProvider
result = provider.authenticate(authentication);
if (result != null) {
copyDetails(authentication, result);
break;
}
}
//......代码省略
}
请注意查看我的中文注释
6.AuthenticationProvider
认证是由 AuthenticationManager 来管理的,真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider,每一种登录认证方式都可以尝试对登录认证主体进行认证。只要有一种方式被认证成功,Authentication对象就成为被认可的主体,Spring Security 默认会使用 DaoAuthenticationProvider
public interface AuthenticationProvider {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
boolean supports(Class<?> authentication);
}
AuthenticationProvider的接口实现有多种,如图所示
-
RememberMeAuthenticationProvider定义了“记住我”功能的登录验证逻辑 -
DaoAuthenticationProvider加载数据库用户信息,进行用户密码的登录验证,默认实现类
7.DaoAuthenticationProvider
DaoAuthenticationProvider使用数据库加载用户信息 ,源码如下图
我们发现DaoAuthenticationProvider继承了AbstractUserDetailsAuthenticationProvider;AbstractUserDetailsAuthenticationProvider是一个抽象类,是 AuthenticationProvider 的核心实现类,实现了DaoAuthenticationProvider类中的authenticate方法,代码如下:
7.1. AbstractUserDetailsAuthenticationProvider
AbstractUserDetailsAuthenticationProvide的Authentication方法源码
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
//如果authentication不是UsernamePasswordAuthenticationToken类型,则抛出异常
Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
() -> this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports",
"Only UsernamePasswordAuthenticationToken is supported"));
// 获取用户名
String username = determineUsername(authentication);
boolean cacheWasUsed = true;
//从缓存中获取UserDetails
UserDetails user = this.userCache.getUserFromCache(username);
//当缓存中没有UserDetails,则从子类DaoAuthenticationProvider中获取
if (user == null) {
cacheWasUsed = false;
try {
//子类DaoAuthenticationProvider中实现获取用户信息,
// 就是调用对应UserDetailsService#loadUserByUsername
user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
}
catch (UsernameNotFoundException ex) {
...
}
...
}
try {
//前置检查。DefaultPreAuthenticationChecks 检测帐户是否锁定,是否可用,是否过期
this.preAuthenticationChecks.check(user);
// 检查密码是否正确
additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
}
catch (AuthenticationException ex) {
// 异常则是重新认证
if (!cacheWasUsed) {
throw ex;
}
cacheWasUsed = false;
// 调用 loadUserByUsername 查询登录用户信息
user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
this.preAuthenticationChecks.check(user);
additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
}
//后检查。由DefaultPostAuthenticationChecks实现(检测密码是否过期)
this.postAuthenticationChecks.check(user);
if (!cacheWasUsed) {//是否放到缓存中
this.userCache.putUserInCache(user);
}
Object principalToReturn = user;
if (this.forcePrincipalAsString) {
principalToReturn = user.getUsername();
}
//将认证成功用户信息封装成 UsernamePasswordAuthenticationToken 对象并返回
return createSuccessAuthentication(principalToReturn, authentication, user);
}
7.2.DaoAuthenticationProvider从数据库获取用户信息
DaoAuthenticationProvider类中的retrieveUser方法
当我们需要使用数据库方式加载用户信息的时候,就需要实现UserDetailsService接口,重写loadUserByUsername方法
密码匹配
获取用户详情服务后,会通过PasswordEncode类型bean对象与传入的明文密码进行匹配;
认证通过后会将Authentication对象将用户的权限等相关信息进行填充,代码如下:
认证成功后,回调认证成功的方法:successfulAuthentication方法:
在该方法内会将认证成功的携带权限信息的对象Authentication存放到安全上下文SecurityContext下:
如果认证失败,则回调认证失败处理器:
如果您觉得本文不错,欢迎关注,点赞,收藏支持,您的关注是我坚持的动力!
转载请注明出处,感谢支持!如果本文对您有用,欢迎转发分享!
原文始发于微信公众号(springboot葵花宝典):SpringSecurity认证原理分析
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/275529.html
