SpringSecurity是如何完成登录过后接口完成用户信息验证的?
首先在我们登录过后,服务器会给在session中存入用户的相关信息。不清楚的可以看我上一篇文章SpringSecurity源码解析(一)
这里我们讲一下,用户在登录过后,是如何拿着sessionId就完成访问的。
-
SecurityContextPersistenceFilter,在上一篇文章中,我们看到的第一张图中的拦截器链中有这么一个拦截器。这个类是用来干什么的。就是用来处理我们已经登录过的请求。
-
我们来详细的看一下上图中的第二个方法。
-
这里我们看一下req里面存的用户信息
-
这里我们进入到这个readSecurityContextFromSession的方法里面看一下。这里就是拿到已经存着的用户信息。
- 至此。所有的验证拿用户信息的操作,已经全部完成。接下来给大家补充点内容,还是刚才的那个方法。我们看他的finally里面的内容。可以看到,在所有的拦截器完成之后,他会把存到securityContextHolder中的用户信息。进行一个清除的操作。
小节:这两篇文章适合稍微看过这个框架讲解的同学。如果不清楚框架的一些基本内容,还是稍微有点头大。不过这个可以基本概括一下中心思路就是
用户登录传入账号和密码,security进行封装,然后框架根据用户名在数据库里面查到用户信息。然后通过数据库查出的用户信息和登录传过来的密码的比对,如果相同。则把用户信息存入session中,再接下来的访问中,通过session中拿到用户信息,进行畅通无阻的访问。