溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
小編給大家分享一下Spring Security如何實現用戶名密碼登錄,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!
你在服務端的安全管理使用了 Spring Security,用戶登錄成功之后,Spring Security 幫你把用戶信息保存在 Session 里,但是具體保存在哪里,要是不深究你可能就不知道, 這帶來了一個問題,如果用戶在前端操作修改了當前用戶信息,在不重新登錄的情況下,如何獲取到最新的用戶信息?
無處不在的 Authentication
玩過 Spring Security 的小伙伴都知道,在 Spring Security 中有一個非常重要的對象叫做 Authentication,我們可以在任何地方注入 Authentication 進而獲取到當前登錄用戶信息,Authentication 本身是一個接口,它有很多實現類:
在這眾多的實現類中,我們最常用的就是 UsernamePasswordAuthenticationToken 了,但是當我們打開這個類的源碼后,卻發現這個類平平無奇,他只有兩個屬性、兩個構造方法以及若干個 get/set 方法;當然,他還有更多屬性在它的父類上。
但是從它僅有的這兩個屬性中,我們也能大致看出,這個類就保存了我們登錄用戶的基本信息。那么我們的登錄信息是如何存到這兩個對象中的?這就要來梳理一下登錄流程了。
在 Spring Security 中,認證與授權的相關校驗都是在一系列的過濾器鏈中完成的,在這一系列的過濾器鏈中,和認證相關的過濾器就是 UsernamePasswordAuthenticationFilter::
public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
//默認的用戶名和密碼對應的key
public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
//當前過濾器默認攔截的路徑
private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/login", "POST");
//默認的請求參數名稱規定
private String usernameParameter = "username";
private String passwordParameter = "password";
//默認只能是post請求
private boolean postOnly = true;
public UsernamePasswordAuthenticationFilter() {
//設置默認的攔截路徑
super(DEFAULT_ANT_PATH_REQUEST_MATCHER);
}
public UsernamePasswordAuthenticationFilter(AuthenticationManager authenticationManager) {
//設置默認的攔截路徑,和處理認證的管理器
super(DEFAULT_ANT_PATH_REQUEST_MATCHER, authenticationManager);
}
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
//判斷請求方式
if (this.postOnly && !request.getMethod().equals("POST")) {
throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
} else {
//從請求參數中獲取對應的值
String username = this.obtainUsername(request);
username = username != null ? username : "";
username = username.trim();
String password = this.obtainPassword(request);
password = password != null ? password : "";
//構造用戶名和密碼登錄的認證令牌
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
//設置details---deltails里面默認存放sessionID和remoteaddr
//authRequest 就是構造好的認證令牌
this.setDetails(request, authRequest);
//校驗
//authRequest 就是構造好的認證令牌
return this.getAuthenticationManager().authenticate(authRequest);
}
}
@Nullable
protected String obtainPassword(HttpServletRequest request) {
return request.getParameter(this.passwordParameter);
}
@Nullable
protected String obtainUsername(HttpServletRequest request) {
return request.getParameter(this.usernameParameter);
}
protected void setDetails(HttpServletRequest request, UsernamePasswordAuthenticationToken authRequest) {
authRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));
}
public void setUsernameParameter(String usernameParameter) {
Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
this.usernameParameter = usernameParameter;
}
public void setPasswordParameter(String passwordParameter) {
Assert.hasText(passwordParameter, "Password parameter must not be empty or null");
this.passwordParameter = passwordParameter;
}
public void setPostOnly(boolean postOnly) {
this.postOnly = postOnly;
}
public final String getUsernameParameter() {
return this.usernameParameter;
}
public final String getPasswordParameter() {
return this.passwordParameter;
}
}根據這段源碼我們可以看出:
首先通過 obtainUsername 和 obtainPassword 方法提取出請求里邊的用戶名/密碼出來,提取方式就是 request.getParameter ,這也是為什么 Spring Security 中默認的表單登錄要通過 key/value 的形式傳遞參數,而不能傳遞 JSON 參數,如果像傳遞 JSON 參數,修改這里的邏輯即可
獲取到請求里傳遞來的用戶名/密碼之后,接下來就構造一個 UsernamePasswordAuthenticationToken 對象,傳入 username 和 password,username 對應了 UsernamePasswordAuthenticationToken 中的 principal 屬性,而 password 則對應了它的 credentials 屬性。
public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {
private static final long serialVersionUID = 550L;
private final Object principal;
private Object credentials;
public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
super((Collection)null);
this.principal = principal;
this.credentials = credentials;
this.setAuthenticated(false);
}
public UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
super(authorities);
this.principal = principal;
this.credentials = credentials;
super.setAuthenticated(true);
}
public Object getCredentials() {
return this.credentials;
}
public Object getPrincipal() {
return this.principal;
}
public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
Assert.isTrue(!isAuthenticated, "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
super.setAuthenticated(false);
}
public void eraseCredentials() {
super.eraseCredentials();
this.credentials = null;
}
}接下來 setDetails 方法給 details 屬性賦值,UsernamePasswordAuthenticationToken 本身是沒有 details 屬性的,這個屬性在它的父類 AbstractAuthenticationToken 中。details 是一個對象,這個對象里邊放的是 WebAuthenticationDetails 實例,該實例主要描述了兩個信息,請求的 remoteAddress 以及請求的 sessionId。
最后一步,就是調用 authenticate 方法去做校驗了。
好了,從這段源碼中,大家可以看出來請求的各種信息基本上都找到了自己的位置,找到了位置,這就方便我們未來去獲取了。
接下來我們再來看請求的具體校驗操作。
在前面的 attemptAuthentication 方法中,該方法的最后一步開始做校驗,校驗操作首先要獲取到一個 AuthenticationManager,這里拿到的是 ProviderManager ,所以接下來我們就進入到 ProviderManager 的 authenticate 方法中,當然這個方法也比較長,我這里僅僅摘列出來幾個重要的地方:
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
//獲取到主體(用戶名)和憑證(密碼)組成的一個令牌對象的class類對象
Class<? extends Authentication> toTest = authentication.getClass();
AuthenticationException lastException = null;
AuthenticationException parentException = null;
Authentication result = null;
Authentication parentResult = null;
int currentPosition = 0;
//獲取所有可用來校驗令牌對象的provider數量
int size = this.providers.size();
//獲取迭代器
Iterator var9 = this.getProviders().iterator();
//遍歷所有provider
while(var9.hasNext()) {
AuthenticationProvider provider = (AuthenticationProvider)var9.next();
//判斷當前provider是否支持當前令牌對象的校驗
if (provider.supports(toTest)) {
if (logger.isTraceEnabled()) {
Log var10000 = logger;
String var10002 = provider.getClass().getSimpleName();
++currentPosition;
var10000.trace(LogMessage.format("Authenticating request with %s (%d/%d)", var10002, currentPosition, size));
}
try {
//如果支持就進行認證校驗處理
result = provider.authenticate(authentication);
//校驗成功返回一個新的authentication
//將原先的主體由用戶名換成了userdetails對象
if (result != null) {
//拷貝details到新的令牌對象
this.copyDetails(authentication, result);
break;
}
} catch (InternalAuthenticationServiceException | AccountStatusException var14) {
this.prepareException(var14, authentication);
throw var14;
} catch (AuthenticationException var15) {
lastException = var15;
}
}
}
//認證失敗但是 provider 的 parent不為null
if (result == null && this.parent != null) {
try {
//調用 provider 的 parent進行驗證--parent就是providerManager
parentResult = this.parent.authenticate(authentication);
result = parentResult;
} catch (ProviderNotFoundException var12) {
} catch (AuthenticationException var13) {
parentException = var13;
lastException = var13;
}
}
//認證成功
if (result != null) {
//擦除憑證---密碼
if (this.eraseCredentialsAfterAuthentication && result instanceof CredentialsContainer) {
((CredentialsContainer)result).eraseCredentials();
}
//發布認證成功的結果
if (parentResult == null) {
this.eventPublisher.publishAuthenticationSuccess(result);
}
//返回新生產的令牌對象
return result;
} else {
//認證失敗
if (lastException == null) {
lastException = new ProviderNotFoundException(this.messages.getMessage("ProviderManager.providerNotFound", new Object[]{toTest.getName()}, "No AuthenticationProvider found for {0}"));
}
if (parentException == null) {
this.prepareException((AuthenticationException)lastException, authentication);
}
throw lastException;
}
}這個方法就比較魔幻了,因為幾乎關于認證的重要邏輯都將在這里完成:
首先獲取 authentication 的 Class,判斷當前 provider 是否支持該 authentication。
如果支持,則調用 provider 的 authenticate方法開始做校驗,校驗完成后,會返回一個新的Authentication。一會來和大家捋這個方法的具體邏輯
這里的 provider 可能有多個,如果 provider 的 authenticate 方法沒能正常返回一個Authentication,則調用 provider 的 parent 的 authenticate 方法繼續校驗。
copyDetails 方法則用來把舊的 Token 的 details 屬性拷貝到新的 Token 中來。
接下來會調用 eraseCredentials 方法擦除憑證信息,也就是你的密碼,這個擦除方法比較簡單,就是將 Token 中的credentials 屬性置空
最后通過 publishAuthenticationSuccess 方法將登錄成功的事件廣播出去。
大致的流程,就是上面這樣,在 for 循環中,第一次拿到的 provider 是一個 AnonymousAuthenticationProvider,這個 provider 壓根就不支持 UsernamePasswordAuthenticationToken,也就是會直接在 provider.supports 方法中返回 false,結束 for 循環,然后會進入到下一個 if 中,直接調用 parent 的 authenticate 方法進行校驗。
而 parent 就是 ProviderManager,所以會再次回到這個 authenticate 方法中。再次回到 authenticate 方法中,provider 也變成了 DaoAuthenticationProvider,這個 provider 是支持 UsernamePasswordAuthenticationToken 的,所以會順利進入到該類的 authenticate 方法去執行,而 DaoAuthenticationProvider 繼承自 AbstractUserDetailsAuthenticationProvider 并且沒有重寫 authenticate 方法,所以 我們最終來到 AbstractUserDetailsAuthenticationProvider#authenticate 方法中:
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
: authentication.getName();
user = retrieveUser(username,(UsernamePasswordAuthenticationToken) authentication);
preAuthenticationChecks.check(user);
additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken) authentication);
postAuthenticationChecks.check(user);
//如果用戶沒有使用過,將其放進緩存中
if (!cacheWasUsed) {
this.userCache.putUserInCache(user);
}
Object principalToReturn = user;
if (forcePrincipalAsString) {
principalToReturn = user.getUsername();
}
return createSuccessAuthentication(principalToReturn, authentication, user);
}首先從 Authentication 提取出登錄用戶名。
然后通過拿著 username 去調用 retrieveUser 方法去獲取當前用戶對象,這一步會調用我們自己在登錄時候的寫的 loadUserByUsername 方法,所以這里返回的 user 其實就是你的登錄對象
接下來調用 preAuthenticationChecks.check 方法去檢驗 user 中的各個賬戶狀態屬性是否正常,例如賬戶是否被禁用、賬戶是否被鎖定、賬戶是否過期等等
additionalAuthenticationChecks 方法則是做密碼比對的,好多小伙伴好奇 Spring Security 的密碼加密之后,是如何進行比較的,看這里就懂了。
最后在 postAuthenticationChecks.check 方法中檢查密碼是否過期。
判斷用戶是否在緩存中存在,如果不存在,就放入緩存中
接下來有一個 forcePrincipalAsString 屬性,這個是是否強制將 Authentication 中的 principal 屬性設置為字符串,這個屬性我們一開始在 UsernamePasswordAuthenticationFilter 類中其實就是設置為字符串的(即 username),但是默認情況下,當用戶登錄成功之后, 這個屬性的值就變成當前用戶這個對象了。之所以會這樣,就是因為 forcePrincipalAsString 默認為 false,不過這塊其實不用改,就用 false,這樣在后期獲取當前用戶信息的時候反而方便很多。
最后,通過 createSuccessAuthentication 方法構建一個新的 UsernamePasswordAuthenticationToken,此時認證主體就由用戶名變為了userDetails對象
好了,那么登錄的校驗流程現在就基本和大家捋了一遍了。那么接下來還有一個問題,登錄的用戶信息我們去哪里查找?
要去找登錄的用戶信息,我們得先來解決一個問題,就是上面我們說了這么多,這一切是從哪里開始被觸發的?
我們來到 UsernamePasswordAuthenticationFilter 的父類 AbstractAuthenticationProcessingFilter 中,這個類我們經常會見到,因為很多時候當我們想要在 Spring Security 自定義一個登錄驗證碼或者將登錄參數改為 JSON 的時候,我們都需自定義過濾器繼承自 AbstractAuthenticationProcessingFilter ,毫無疑問,UsernamePasswordAuthenticationFilter#attemptAuthentication 方法就是在 AbstractAuthenticationProcessingFilter 類的 doFilter 方法中被觸發的:
private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
//不需要認證就直接放行
if (!this.requiresAuthentication(request, response)) {
chain.doFilter(request, response);
} else {
try {
//獲取認證的結果---null或者新生產的令牌對象
Authentication authenticationResult = this.attemptAuthentication(request, response);
//認證失敗
if (authenticationResult == null) {
return;
}
this.sessionStrategy.onAuthentication(authenticationResult, request, response);
if (this.continueChainBeforeSuccessfulAuthentication) {
chain.doFilter(request, response);
}
this.successfulAuthentication(request, response, chain, authenticationResult);
} catch (InternalAuthenticationServiceException var5) {
this.logger.error("An internal error occurred while trying to authenticate the user.", var5);
this.unsuccessfulAuthentication(request, response, var5);
} catch (AuthenticationException var6) {
this.unsuccessfulAuthentication(request, response, var6);
}
}
}從上面的代碼中,我們可以看到,當 attemptAuthentication 方法被調用時,實際上就是觸發了 UsernamePasswordAuthenticationFilter#attemptAuthentication 方法,當登錄拋出異常的時候,unsuccessfulAuthentication 方法會被調用,而當登錄成功的時候,successfulAuthentication 方法則會被調用,那我們就來看一看 successfulAuthentication 方法:
protected void successfulAuthentication(HttpServletRequest request,
HttpServletResponse response, FilterChain chain, Authentication authResult)
throws IOException, ServletException {
//將新生產的令牌對象放入spring security的上下文環境中
SecurityContextHolder.getContext().setAuthentication(authResult);
rememberMeServices.loginSuccess(request, response, authResult);
// Fire event
if (this.eventPublisher != null) {
eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
authResult, this.getClass()));
}
successHandler.onAuthenticationSuccess(request, response, authResult);
}在這里有一段很重要的代碼,就是 SecurityContextHolder.getContext().setAuthentication(authResult); ,登錄成功的用戶信息被保存在這里,也就是說,在任何地方,如果我們想獲取用戶登錄信息,都可以從 SecurityContextHolder.getContext() 中獲取到,想修改,也可以在這里修改。
最后大家還看到有一個 successHandler.onAuthenticationSuccess,這就是我們在 SecurityConfig 中配置登錄成功回調方法,就是在這里被觸發的
當認證失敗時,會調用登錄失敗處理器,并清空上下文環境中的對象
protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
SecurityContextHolder.clearContext();
this.logger.trace("Failed to process authentication request", failed);
this.logger.trace("Cleared SecurityContextHolder");
this.logger.trace("Handling authentication failure");
this.rememberMeServices.loginFail(request, response);
this.failureHandler.onAuthenticationFailure(request, response, failed);
}以上是“Spring Security如何實現用戶名密碼登錄”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
