Spring Security 实战干货:图解用户是如何登录的
1. 前言
欢迎阅读Spring Security 实战干货系列文章,在集成Spring Security安全框架的时候我们最先处理的可能就是根据我们项目的实际需要来定制注册登录了,尤其是Http登录认证。根据以前的相关文章介绍,Http登录认证由过滤器UsernamePasswordAuthenticationFilter
进行处理。我们只有把这个过滤器搞清楚才能做一些定制化。今天我们就简单分析它的源码和工作流程。
2. UsernamePasswordAuthenticationFilter 源码分析
UsernamePasswordAuthenticationFilter
继承于AbstractAuthenticationProcessingFilter
(另文分析)。它的作用是拦截登录请求并获取账号和密码,然后把账号密码封装到认证凭据UsernamePasswordAuthenticationToken
中,然后把凭据交给特定配置的AuthenticationManager
去作认证。源码分析如下:
public class UsernamePasswordAuthenticationFilter extends
AbstractAuthenticationProcessingFilter {
// 默认取账户名、密码的key
public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
// 可以通过对应的set方法修改
private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
// 默认只支持 POST 请求
private boolean postOnly = true;
// 初始化一个用户密码 认证过滤器 默认的登录uri 是 /login 请求方式是POST
public UsernamePasswordAuthenticationFilter() {
super(new AntPathRequestMatcher("/login", "POST"));
}
// 实现其父类 AbstractAuthenticationProcessingFilter 提供的钩子方法 用去尝试认证
public Authentication attemptAuthentication(HttpServletRequest request,
HttpServletResponse response) throws AuthenticationException {
// 判断请求方式是否是POST
if (postOnly && !request.getMethod().equals("POST")) {
throw new AuthenticationServiceException(
"Authentication method not supported: " + request.getMethod());
}
// 先去 HttpServletRequest 对象中获取账号名、密码
String username = obtainUsername(request);
String password = obtainPassword(request);
if (username == null) {
username = "";
}
if (password == null) {
password = "";
}
username = username.trim();
// 然后把账号名、密码封装到 一个认证Token对象中,这是就是一个通行证,但是这时的状态时不可信的,一旦通过认证就变为可信的
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
username, password);
// 会将 HttpServletRequest 中的一些细节 request.getRemoteAddr() request.getSession 存入的到Token中
setDetails(request, authRequest);
// 然后 使用 父类中的 AuthenticationManager 对Token 进行认证
return this.getAuthenticationManager().authenticate(authRequest);
}
// 获取密码 很重要 如果你想改变获取密码的方式要么在此处重写,要么通过自定义一个前置的过滤器保证能此处能get到
@Nullable
protected String obtainPassword(HttpServletRequest request) {
return request.getParameter(passwordParameter);
}
// 获取账户很重要 如果你想改变获取密码的方式要么在此处重写,要么通过自定义一个前置的过滤器保证能此处能get到
@Nullable
protected String obtainUsername(HttpServletRequest request) {
return request.getParameter(usernameParameter);
}
// 参见上面对应的说明为凭据设置一些请求细节
protected void setDetails(HttpServletRequest request,
UsernamePasswordAuthenticationToken authRequest) {
authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
}
// 设置账户参数的key
public void setUsernameParameter(String usernameParameter) {
Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
this.usernameParameter = usernameParameter;
}
// 设置密码参数的key
public void setPasswordParameter(String passwordParameter) {
Assert.hasText(passwordParameter, "Password parameter must not be empty or null");
this.passwordParameter = passwordParameter;
}
// 认证的请求方式是只支持POST请求
public void setPostOnly(boolean postOnly) {
this.postOnly = postOnly;
}
public final String getUsernameParameter() {
return usernameParameter;
}
public final String getPasswordParameter() {
return passwordParameter;
}
}
为了加强对流程的理解,我特意画了一张图来对这个流程进行清晰的说明:
3. 我们可以定制什么
根据上面的流程,我们理解了UsernamePasswordAuthenticationFilter
工作流程后可以做这些事情:
定制我们的登录请求URI和请求方式。
登录请求参数的格式定制化,比如可以使用JSON格式提交甚至几种并存。
如何将用户名和密码封装入凭据
UsernamePasswordAuthenticationToken
,定制业务场景需要的特殊凭据。
4. 我们会有什么疑问
AuthenticationManager
从哪儿来,它又是什么,它是如何对凭据进行认证的,认证成功的后续细节是什么,认证失败的后续细节是什么。不要走开,持续关注:码农小胖哥 为你揭晓这个答案。
关注公众号:Felordcn 获取更多资讯
最新文章
- 从View向Controller传递复杂类型Json
- golang调用c++的dll库文件
- opengl入门学习
- ORACLE10gRAC数据库迁移至10gRAC
- 【软件编程】乐易贵宾VIP教程 - JS改写+网页操作系列教程
- asp.net发布到IIS中出现错误:处理程序“PageHandlerFactory-Integrated”在其模块列表中有一个错误模块“ManagedPipelineHandler”
- 在JAVA和android中常用的单列模式
- Linux下添加新硬盘,分区及挂载
- Enterprise Library 中加密数据库连接字符串
- A9两款芯片管脚数目
- C++ 约瑟夫环
- C#控制条码打印机 纸张大小,间距,绘制内容(所有条码打印机通用)
- nginx反射理传apache配置 - cookie去哪儿了?
- ural1037 Memory Management
- 新概念英语(1-99)Ow!
- INFO Dispatcher:42 - Unable to find 'struts.multipart.saveDir' property setting. Defaulting to javax.servlet.context.tempdir
- 36、NSTimer使用详解-开启、关闭、移除
- 简单的字母全排列问题—递归法和STL法
- Oracle 12C -- truncate的级联操作
- OpenGL笔记<;4>; 数据传递二
热门文章
- Ubuntu图形界面root登录出现“sorry, that didn&#39;t work please try again”
- Vue学习-组件的基本使用(局部组件)
- SpringBoot项目部署到tomcat
- 线性表的顺序存储和链式存储c语言实现
- 10大HBase常见运维工具整理
- pycharm中导入包失败的解决办法
- 学习 Spring Boot 知识看这一篇就够了
- 标记下 &#39;net 查壳/脱壳/加壳&#39; 工具
- Python3笔记007 - 2.4 数据类型
- Markdown小白教学15分钟速成