spring-security 登陆认证之初次探究
首先,希望还对 spring-security框架完全不懂的新手 下载下Git源码。 引入到项目中。这个短文就是边看源码边聊的。也会启动下项目验证自己的推想。
一、登陆认证的登陆配置项
<form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" default-target-url="/index.ht" username-parameter="username" password-parameter="password" login-processing-url="/j_spring_security_check"/> <logout logout-url="/logout.ht"/>
看到这个配置,其实就大略明白了。 这就像配置了一个control/Servlet, userName 参数名字为 ”name“,password 为”password“
然后校验用户密码,通过就跳转的页面为 index.ht 。
spring-security框架维护了一个过滤器链来提供服务, 而<form-login/> 这个登陆配置项其实创建了一个名为UsernamePasswordAuthenticationFilter的过滤器 。
框架提供的这些过滤器,也包括<custom-filter/>配置的过滤器。都是通过假名有严格顺序来执行的。稍后详细介绍自定义过滤器。
UsernamePasswordAuthenticationFilter :
正如我们配置的这些参数,也会有默认配置的 比如
usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY =“j_username”,
passwordParameter=“j_password”
默认接受form请求地址 :j_spring_security_check ,
这些可配置的参数,都会存在默认参数。这些参数的读取是在 Initializing Spring root WebApplicationContext 后,加载并且解析xml配置文件。然后初始化ioc 容器。形成上面所提的过滤器链。
二、简单说一下解析xml 过程
HttpSecurityBeanDefinitionParser.parse() { filterChains.add(createFilterChain(element, pc)); }
createFilterChain方法会调用 AuthenticationConfigBuilder的构造方法 初始化各种filter createFormLoginFilter(sessionStrategy, authenticationManager); 即为登录配置信息xml的解析处理方法:
SecurityNamespaceHandler.parse(Element element, ParserContext pc) //
关键代码:
String name = pc.getDelegate().getLocalName(element);
BeanDefinitionParser parser = parsers.get(name);
通过配置项的名字。以策略模式获取到专用解析器 都实现自BeanDefinitionParser 接口, 通过父类的引用执行子类的具体实现。调用这些子类的parse()方法eg:RememberMeBeanDefinitionParser,LogoutBeanDefinitionParser等、、
<form-login/> 的解析在 FormLoginBeanDefinitionParser, 解析后拿到配置的参数,然后初始化一个filter 。
不知道这个解析方法为啥没有实现BeanDefinitionParser 。 本来不想贴代码的。更想愿意读的人自己下载源码自己看。
三、获取登陆获取账号密码
切面走到这个登陆过滤器的时候 UsernamePasswordAuthenticationFilter.attemptAuthentication() 的方法 会从request中,通过配置的userNameParam ,passwordParam 获取 name password
然后构造一个包装了密码账号的对象: new UsernamePasswordAuthenticationToken(password,username)
然后调用接口 AuthenticationManager.authenticate() (认证管理类中的一个实现类 ProviderManager的认证方法)
四、配置验证密码的认证管理类
配置认证管理类 AuthenticationManager 需要 给它提供了一个 user-service bean 来通过用户名获取用户
这个userDetailProvider bean 需要实现 UserDetailsService接口 提供一个 loadUserByUsername()方法。
配置项:
<security:authentication-manager alias="authenticationManager"> <security:authentication-provider user-service-ref="userDetailProvider"/> </security:authentication-manager>
<bean id="userDetailProvider" class="com.hotent.web.security.provider.UserAuthProvider"/>
然后 从ProviderManager 中的 List<AuthenticationProvider> providers认证策略都 拿出来 进行认证(虚)
AbstractUserDetailsAuthenticationProvider .authenticate()
retrieveUser() // 调用子类DaoAuthenticationProvider的实现方法
DaoAuthenticationProvider.retrieveUser() 会通过我之前配置的userDetailProvider.loadUserByUsername(username),获取用户,
然后preAuthenticationChecks.check(user); 校验用户是否可用、锁定、过期
然后调用additionalAuthenticationChecks()方法验证密码。
五、配置 密码加密方式
接着我登陆不上才发现没有配置密码的加密类型。随便找了 个文档。配了下、居然发现启动不了,妹的。
还好我比较机智,找到了xsd校验文件
顺利找到了正确配置方法,在authentication-provider element下、 有一个password-encoder xs:element
这个element 有个attribute<xs:attributeGroup ref="security:password-encoder.attlist"/>,这个想必就是spring-security所支持的所有加密类型了。那xml 就改成了 这样
最终authenticationManager的配置 如下
<security:authentication-manager alias="authenticationManager"><!-- 鉴定管理类 --> <security:authentication-provider user-service-ref="userDetailProvider"> <security:password-encoder hash="sha-256"/> </security:authentication-provider> </security:authentication-manager>
其实很少有人这么傻着从校验文件 去查属性的。 除了像我这种机智到二的人。 其实官方文档说的很清楚,而且xml也会有提示。但是我抱着探究的态度还是直接看xsd。
这样密码加密校验就通过。
接着将成功登陆用户,和用户信息发布出一个事件
applicationEventPublisher.publishEvent(new AuthenticationSuccessEvent(authentication));
///
六、登陆的扩展
很多时候,我们希望做更多的扩展、比如加一些U盾之类的口令啦、短信校验啦。验证码啦。 那么要实现、可以加些自定义的过滤器,也可以重写一些方法,等等、初次探究,我现在还不够清楚。 不过这些都略有些麻烦。
其实如果你自己去校验用户。然后将用户登录信息放入SecurityContext 里面 也就可以随心所欲了。
如下图 验证账号密码、验证码 的截图略过 !直接是验证密码后的操作。
关键代码
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, encrptPassword); authRequest.setDetails(new WebAuthenticationDetails(request)); SecurityContext securityContext = SecurityContextHolder.getContext(); Authentication auth = authenticationManager.authenticate(authRequest); securityContext.setAuthentication(auth); sessionStrategy.onAuthentication(auth, request, response);
注入要使用的类
@Resource(name = "authenticationManager") private AuthenticationManager authenticationManager = null; @Resource UserDetailsService userDetailsService; @Resource private SessionAuthenticationStrategy sessionStrategy= new NullAuthenticatedSessionStrategy();
注入的authenticationManager 其实就是之前写到的 ProviderManager
我们直接使用用户名,密码(加密后) 构建了UsernamePasswordAuthenticationToken(为存放密码账号信息的一个令牌) 是Authentication接口的一个实例。然后把构建好的 authentication 发送给authenticationManager 进行校验 。
authenticationManager 成功校验后,返回一个完全的 Authentication 实例。
SecurityContextHolder.getContext().setAuthentication(...)
Spring Security 并不知道你怎么把Authentication 对象 放到了SecurityContextHolder 里面,唯一关键点就是 “SecurityContextHolder 已经包含了一个 Authentication 标识了一个主体”。 这样就能满足AbstractSecurityInterceptor 之前的验证一个用户需要。
所以、这个authentication放入SecurityContextHolder的过程可以有很多种方式、一个过滤器、一个control方法、就能达到目的,自然就实现了登陆。
有空继续