Security实战之认证流程

最新推荐文章于 2024-10-17 14:33:38 发布

沐柌

最新推荐文章于 2024-10-17 14:33:38 发布

阅读量586

点赞数 1

分类专栏： SpringSecurity 文章标签： java

本文链接：https://blog.csdn.net/little_sc/article/details/129251776

版权

本文详细介绍了Spring Security的认证流程，包括SecurityContextHolder、SecurityContext、Authentication等基本组件的作用和流程。此外，还深入讨论了form登录模式的扩展，如数据源方式登录、增加验证码校验以及配置多个数据源。最后，文章提到了通过自定义过滤器实现JSON方式的认证，并总结了SecurityFilterChain在认证过程中的重要性。

摘要由CSDN通过智能技术生成

Spring Security实战之认证

本文是基于Security 6版本进行讲解

一、认证流程

1.基本组件

在这里插入图片描述

SecurityContextHolder

Spring Security用来存储身份认证者详细信息的地方。对于SecurityContextHolder，Spring Security不关心它是如何被填充的，即若是它包含一个值，它就被当做当前认证的用户。所以简单来说，我们可以直接设置SecurityContextHolder来表示以认证的用户(当然没人会这么做)。

SecurityContext context = SecurityContextHolder.createEmptyContext(); 
Authentication authentication =
    new TestingAuthenticationToken("username", "password", "ROLE_USER"); 
context.setAuthentication(authentication);

SecurityContextHolder.setContext(context);

SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
String username = authentication.getName();
Object principal = authentication.getPrincipal();
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();

默认情况下，SecurityContextHolder是使用ThreadLocal来存储SecurityContext的，即在同一个线程中，始终可以使用SecurityContext。

SecurityContext

定义与当前执行线程最小的 security 信息。

Authentication

用来存储用户认证信息。主要有两个作用

用户未认证时，用来封装用户提供的认证凭据，然后作为参数传递给AuthenticationManager进行身份认证。
用户已认证时，Authentication就是用来存储用户的认证信息，可以通过SecurityContextHolder.getContext().getAuthentication()获取。

它又包含三部分：

principal：用户的识别。
credentials：通常表示密码，当用户身份认证通过后被清除。
authorities：权限，通常就是角色或范围。

AuthenticationManager

用来定义Spring Security的过滤器如何执行身份认证的API。

public interface AuthenticationManager {
   
    //身份认证方法，认证成功则会返回完全填充的Authentication，简单来说认证成功Authentication中的isAuthenticated会返回true
	Authentication authenticate(Authentication authentication) throws AuthenticationException;

}

ProviderManager

是AuthenticationManager最常用的实现类。ProviderManager内部维护了一个AuthenticationProvider类型的列表，认证时会遍历调用这个列表中的所有AuthenticationProvider，即所有的AuthenticationProvider都有机会表明身份认证结果是成功、失败还是无法判断，并交给下游的AuthenticationProvider做出判断。若所有的AuthenticationProvider都无法验证，则抛出ProviderNotFoundException异常。

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
   

	private static final Log logger = LogFactory.getLog(ProviderManager.class);

	private AuthenticationEventPublisher eventPublisher = new NullEventPublisher();

	private List<AuthenticationProvider> providers = Collections.emptyList();

	protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();

	private AuthenticationManager parent;

	private boolean eraseCredentialsAfterAuthentication = true;

    //认证逻辑
	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
   
        //获取需要进行认证的 Authentication
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		AuthenticationException parentException = null;
		Authentication result = null;
		Authentication parentResult = null;
		int currentPosition = 0;
		int size = this.providers.size();
        //遍历调用providers中的每一个AuthenticationProvider进行认证
		for (AuthenticationProvider provider : getProviders()) {
   
            //判断该AuthenticationProvider是否支持此类型的Authentication进行认证认证
            //不同的方式可以有不同的Authentication，不同的Authentication又对于不同的AuthenticationProvider
			if (!provider.supports(toTest)) {
   
				continue;
			}
			try {
   
                //如果认证成功，就返回填充满的Authentication
				result = provider.authenticate(authentication);
				if (result != null) {
   
					copyDetails(authentication, result);
					break;
				}
			}
		}
        //兜底方案，如果上面都没认证成功，则使用parent进行认证
		if (result == null && this.parent != null) {
   
			// Allow the parent to try.