1.spring security基本原理
SpringSecurity 最核心的东西----过滤器链,即一组Filter
所有发送的请求都会经过Filter链,同样响应也会经过Filter链,在系统启动的时候springboot会自动的把他们配置进去;
2. 自定义用户认证逻辑
通过UserDetailsService处理用户信息获取的逻辑;通过UserDetails处理用户校验逻辑;通过PasswordEncoder处理密码加密解密逻辑;
3.开发基于表单的认证
针对不同的请求做出不同的处理:
接到请求时---->判断是不是需要身份认证—需要—>跳转到自定义的controller上-----在方法内判断----->是不是html请求—是--->返回登录页面—否--->返回401状态码和错误信息
登录
认证处理流程:
认证结果如何在多个请求中共享:
SecurityContextPersistenceFilter:他在过滤器链的最前面,他有两个作用:
1)当请求进来时,检查session中是否有SecurityContext(认证信息),如果有,就将器拿出放到线程里
2)在响应时,如果线程中有SecurityContext,就拿出来放到session中去。
4. 生成验证码
步骤:1——根据随机数生成图片
2——将随机数存到session中
3——将生成的图片写到接口的响应中
@RestController
public class ValidateCodeController {
private static final String SESSION_KEY = "SESSION_KEY_IMAGE_CODE";
private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();
@GetMapping("/code/image")
public void createCode(HttpServletRequest request, HttpServletResponse response) throws IOException {
//创建图形验证码
ImageCode code = createImageCode(request);
//存到session中
sessionStrategy.setAttribute(new ServletWebRequest(request), SESSION_KEY, code);
ImageIO.write(code.getImage(), "JPEG", response.getOutputStream());
}
private ImageCode createImageCode(HttpServletRequest request) {
int width = 67;
int height = 23;
BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);
Graphics g = image.getGraphics();
Random random = new Random();
g.setColor(getRandColor(200, 250));
g.fillRect(0, 0, width, height);
g.setFont(new Font("Times New Roman", Font.ITALIC, 20));
g.setColor(getRandColor(160, 200));
for (int i = 0; i < 155; i++) {
int x = random.nextInt(width);
int y = random.nextInt(height);
int xl = random.nextInt(12);
int yl = random.nextInt(12);
g.drawLine(x, y, x + xl, y + yl);
}
String sRand = "";
for (int i = 0; i < 4; i++) {
String rand = String.valueOf(random.nextInt(10));
sRand += rand;
g.setColor(new Color(20 + random.nextInt(110), 20 + random.nextInt(110), 20 + random.nextInt(110)));
g.drawString(rand, 13 * i + 6, 16);
}
g.dispose();
return new ImageCode(image, sRand, 60);
}
/**
* 生成随机背景条纹
*/
private Color getRandColor(int fc, int bc) {
Random random = new Random();
if (fc > 255) {
fc = 255;
}
if (bc > 255) {
bc = 255;
}
int r = fc + random.nextInt(bc - fc);
int g = fc + random.nextInt(bc - fc);
int b = fc + random.nextInt(bc - fc);
return new Color(r, g, b);
}
}
图形验证码并不是spring security会验证的东西,因此需要自动过滤器进行验证,可以放在usernamePasswordAuthenticationFilter之前。
1)验证码基本参数配置在不同地方会有不同效果,会覆盖一些配置
2)拦截的接口可配置
3)验证码的生成逻辑可配置
5. springsecurity中rememberMe的原理
过滤器中的位置
6.知识点:
@Autowired
private Map<String, ValidateCodeGenerator> validateCodeGenerators;
在spring中,依赖查找—在spring启动的时候会查找所有的ValidateCodeGenerator接口的实现类。将其封装在map中,以注入的bean的名字为key,相应的实现类为value。