spring-security使用-更友好的方式扩展登录AuthenticationProvider(三)

合集 - spring-security源码阅读(28)

1.Spring-Security系列导航2021-11-152.spring-security使用-登录(一)2020-12-103.spring-security使用-自定义数据源(二)2020-12-22

4.spring-security使用-更友好的方式扩展登录AuthenticationProvider(三)2021-01-04

5.spring-security使用-获得当前用户信息(四)2021-01-056.spring-security使用-同一个账号只允许登录一次(五)2021-01-067.spring-security使用-session共享(六)2021-01-078.spring-security使用-安全防护HttpFirewall(七)2021-01-299.spring-security使用-权限控制(八)2021-11-0310.spring-security源码-初始化(九)2021-11-0411.spring-security源码-如何初始化SecurityFilterChain到Servlet2024-03-1012.spring-security源码-FilterChainProxy2024-03-1013.spring-security源码-Filter之WebAsyncManagerIntegrationFilter(十)2021-11-0914.Spring-security源码-Filter之SecurityContextPersistenceFilter(十一)2021-11-0915.Spring-security源码-Filter之HeaderWriterFilter(十二)2021-11-1016.Spring-security源码-Filter之LogoutFilter(十三)2021-11-1017.Spring-security源码-Filter之UsernamePasswordAuthenticationFilter(十四)2021-11-1018.Spring-security源码-Filter之ConcurrentSessionFilter(十五)2021-11-1019.Spring-security源码-Filter之SessionManagementFilter(十六)2021-11-1120.Spring-security源码-Filter之RememberMeAuthenticationFilter(十七)2021-11-1121.Spring-security源码-Filter之ExceptionTranslationFilter(十八)2021-11-1222.Spring-security源码-Filter之FilterSecurityInterceptor(十九)2021-11-1323.Spring-security源码-注解权限原理(二十)2021-11-1324.Spring-security源码-注解权限原理之MethodSecurityInterceptor(二十一)2021-11-1525.Spring-Security基于源码扩展-一套系统多套登录逻辑(二十二)2021-11-1526.Spring-Security基于源码扩展-自定义登录(二十三)2021-11-1527.Spring-Security基于源码扩展-自定义认证失败返回(二十四)2021-11-1528.Spring-Security基于源码扩展-自定义授权注解(二十五)2021-11-15

收起

文章主目录

• 说明
• 接口定义
• 使用AuthenticationProvider自定义登录逻辑
• 原理 

回到顶部

说明

在 spring-security使用-登录(一) 我们使用的是重写了Spring-security的filter的方式来进行自定义,但是这样的弊端,就是侵入太大。直接把spring-security的filter给替换掉了，

通过AuthenticationProvider的方式是在spring-security的filter内部留的扩展点进行扩展自定义登录逻辑

回到顶部

接口定义

AuthenticationProvider

public interface AuthenticationProvider {
    /**
     * 验证用户身份
     * @param var1
     * @return
     * @throws AuthenticationException
     */
    Authentication authenticate(Authentication var1) throws AuthenticationException;

    /**
     * supports 则用来判断当前的 AuthenticationProvider 是否支持对应的 Authentication。
     * @param var1
     * @return
     */
    boolean supports(Class<?> var1);
}

Authentication

封装用户身份信息

public interface Authentication extends Principal, Serializable {
    //用来获取用户的权限。
    Collection<? extends GrantedAuthority> getAuthorities();
    //方法用来获取用户凭证，一般来说就是密码。
    Object getCredentials();
    //方法用来获取用户携带的详细信息，可能是当前请求之类的东西。
    Object getDetails();
    //方法用来获取当前用户，可能是一个用户名，也可能是一个用户对象。
    Object getPrincipal();
    //当前用户是否认证成功。
    boolean isAuthenticated();

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

类图

 

 

 

UsernamePasswordAuthenticationFilter 用的就是UserNamePasswordAuthenticationToken

回到顶部

使用AuthenticationProvider自定义登录逻辑

1.增加自定义provider继承DaoAuthenticationProvider 

public class CodeAuthenticationProvider extends DaoAuthenticationProvider {
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication)   {
        HttpServletRequest req = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        String code = req.getParameter("code");
        String verify_code = (String) req.getSession().getAttribute("verify_code");
        if (code == null || verify_code == null || !code.equals(verify_code)) {
            throw new AuthenticationServiceException("验证码错误");
        }
        super.additionalAuthenticationChecks(userDetails, authentication);
    }
}

2.在public class SecurityConfig extends WebSecurityConfigurerAdapter 类增加以下

 /**
     * 对密码进行加密的实例
     * @return
     */
    @Bean
    PasswordEncoder passwordEncoder() {
        /**
         * 不加密所以使用NoOpPasswordEncoder
         * 更多可以参考PasswordEncoder 的默认实现官方推荐使用: BCryptPasswordEncoder，BCryptPasswordEncoder
         */
        return NoOpPasswordEncoder.getInstance();
    }
    /**
     * 自定义provider
     * @return
     */
   public CodeAuthenticationProvider codeAuthenticationProvider() {
        CodeAuthenticationProvider myAuthenticationProvider = new CodeAuthenticationProvider();
        //设置passorderEncoder
        myAuthenticationProvider.setPasswordEncoder(passwordEncoder());
        //设置UserDetailsService 可以参考第一篇登录使用例子自定义userDetailServices
        myAuthenticationProvider.setUserDetailsService(userService);
        return myAuthenticationProvider;
    }

    /**
     * 重写父类自定义AuthenticationManager 将provider注入进去
     * 当然我们也可以考虑不重写 在父类的manager里面注入provider
     * @return
     * @throws Exception
     */
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        ProviderManager manager = new ProviderManager(Arrays.asList(codeAuthenticationProvider()));
        return manager;
    }

回到顶部

原理 

spring-security使用-登录(一) 我们替换了默认的UsernamePasswordAuthenticationFilter

1.根据看这个类UsernamePasswordAuthenticationFilter我们可以看出他的父类实现了Servilet Fitler,所以spring-security是基于Filter的

org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#doFilter 父类实现

  public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
                 //省略部分代码......
                //调用子类的实现 也就是 UsernamePasswordAuthenticationFilter
                authResult = this.attemptAuthentication(request, response);
                if (authResult == null) {
                    return;
                }
        }
    }

2.看子类实现

org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication

 public org.springframework.security.core.Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        //注意这里不支持post请求，如果我们要让支持post请求，就要重写filter吧这里去掉
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            //获得登录用户名
            String username = this.obtainUsername(request);
            //用的登录密码
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            //通过UsernamePasswordAuthenticationToken 封装
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            //委托给AuthenticationManager 执行 我们上面重写用的是ProviderManager
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

3.providerManger实现

org.springframework.security.authentication.ProviderManager#authenticate

    public org.springframework.security.core.Authentication authenticate(org.springframework.security.core.Authentication authentication) throws AuthenticationException {
        //获得Authentication的类型
        Class<? extends org.springframework.security.core.Authentication> toTest = authentication.getClass();
        AuthenticationException lastException = null;
        AuthenticationException parentException = null;
        org.springframework.security.core.Authentication result = null;
        org.springframework.security.core.Authentication parentResult = null;
        boolean debug = logger.isDebugEnabled();
        //获得所有的Providers 就是我们定义的CodeAuthenticationProvider
        Iterator var8 = this.getProviders().iterator();
        while(var8.hasNext()) {
            //迭代器迭代获取
            AuthenticationProvider provider = (AuthenticationProvider)var8.next();
            //判断是否能处理
            if (provider.supports(toTest)) {
                if (debug) {
                    logger.debug("Authentication attempt using " + provider.getClass().getName());
                }

                try {
                    //调用provider的authenticate 执行身份认证
                    result = provider.authenticate(authentication);
                    if (result != null) {
                        this.copyDetails(authentication, result);
                        break;
                    }
                } catch (InternalAuthenticationServiceException | AccountStatusException var13) {
                    this.prepareException(var13, authentication);
                    throw var13;
                } catch (AuthenticationException var14) {
                    lastException = var14;
                }
            }
        }
      //省略部分代码.......
    }