Spring Security验证流程剖析及自定义验证方法
2021-06-18 08:05
标签:hold and support class basic key 传递 接口 xtend 实际上 用来做验证的最主要的接口为 其中 有了以上的知识储备后就可以来自定义验证方法了。通过上面可以看出,实际上真正来做验证操作的是一个个的 其中的 现在再将刚创建的 Spring Security验证流程剖析及自定义验证方法 标签:hold and support class basic key 传递 接口 xtend 原文地址:https://www.cnblogs.com/liubin0509/p/9716721.htmlSpring Security
本质上是一连串的Filter
, 然后又以一个独立的Filter
的形式插入到Filter Chain
里,其名为FilterChainProxy
。 如图所示。FilterChainProxy
下面可以有多条Filter Chain
,来针对不同的URL做验证,而Filter Chain
中所拥有的Filter
则会根据定义的服务自动增减。所以无需要显示再定义这些Filter
,除非想要实现自己的逻辑。关键类
Authentication
Authentication
是一个接口,用来表示用户认证信息,在用户登录认证之前相关信息会封装为一个Authentication
具体实现类的对象,在登录认证成功之后又会生成一个信息更全面,包含用户权限等信息的Authentication
对象,然后把它保存在 SecurityContextHolder
所持有的SecurityContext
中,供后续的程序进行调用,如访问权限的鉴定等。AuthenticationManager
AuthenticationManager
,这个接口只有一个方法:public interface AuthenticationManager {
Authentication authenticate(Authentication authentication)
throws AuthenticationException;
}
authenticate()
方法运行后可能会有三种情况:
Authentication
。AuthenticationException
异常。null
。ProviderManager
ProviderManager
是上面的AuthenticationManager
最常见的实现,它不自己处理验证,而是将验证委托给其所配置的AuthenticationProvider
列表,然后会依次调用每一个 AuthenticationProvider
进行认证,这个过程中只要有一个AuthenticationProvider
验证成功,就不会再继续做更多验证,会直接以该认证结果作为ProviderManager
的认证结果。认证过程
Spring Security
将获取到的用户名和密码封装成一个Authentication
接口的实现类,比如常用的UsernamePasswordAuthenticationToken
。Authentication
对象传递给AuthenticationManager
的实现类ProviderManager
进行认证。ProviderManager
依次调用各个AuthenticationProvider
进行认证,认证成功后返回一个封装了用户权限等信息的Authentication
对象。AuthenticationManager
返回的Authentication
对象赋予给当前的SecurityContext
。自定义验证
AuthenticationProvider
,所以如果要自定义验证方法,只需要实现一个自己的AuthenticationProvider
然后再将其添加进ProviderManager
里就行了。自定义AuthenticationProvider
@Component
public class CustomAuthenticationProvider
implements AuthenticationProvider {
@Override
public Authentication authenticate(Authentication authentication)
throws AuthenticationException {
String name = authentication.getName();
String password = authentication.getCredentials().toString();
if (shouldAuthenticateAgainstThirdPartySystem()) {
// use the credentials
// and authenticate against the third-party system
return new UsernamePasswordAuthenticationToken(
name, password, new ArrayList());
} else {
return null;
}
}
@Override
public boolean supports(Class> authentication) {
return authentication.equals(
UsernamePasswordAuthenticationToken.class);
}
}
supports()
方法接受一个authentication
参数,用来判断传进来的authentication
是不是该AuthenticationProvider
能够处理的类型。注册AuthenticationProvider
AuthenticationProvider
在与ProviderManager
里注册,所有操作就完成了。@Configuration
@EnableWebSecurity
@ComponentScan("org.baeldung.security")
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private CustomAuthenticationProvider authProvider;
@Override
protected void configure(
AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(authProvider);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().anyRequest().authenticated()
.and()
.httpBasic();
}
}
上一篇:Java学习流程体系概要
下一篇:线程中断
文章标题:Spring Security验证流程剖析及自定义验证方法
文章链接:http://soscw.com/essay/95403.html