Spring Security 源码解析(一)AbstractAuthenticationProcessingFilter

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量911 收藏
点赞数
文章标签: java 设计模式
原文链接:http://www.cnblogs.com/Piers/p/8620523.html
版权

# 前言

 

最近在做 Spring OAuth2 登录,并在登录之后保存 Cookies。具体而言就是 Spring OAuth2 和 Spring Security 集成。Google一下竟然没有发现一种能满足我的要求。最终只有研究源码了。

有时间会画个 UML 图。

 

# 一些基础知识

 

  • Spring Security 验证身份的方式是利用 Filter,再加上 HttpServletRequest 的一些信息进行过滤。
  • 类 Authentication 保存的是身份认证信息。
  • 类 AuthenticationProvider 提供身份认证途径。
  • 类 AuthenticationManager 保存的 AuthenticationProvider 集合,并调用 AuthenticationProvider 进行身份认证。

 

# AbstractAuthenticationProcessingFilter 

 

## 设计模式

 

### 抽象工厂模式

 

AbstractAuthenticationProcessingFilter 是一个抽象类,主要的功能是身份认证。OAuth2ClientAuthenticationProcessingFilter(Spriing OAuth2)、RememberMeAuthenticationFilter(RememberMe)都继承了 AbstractAuthenticationProcessingFilter ,并重写了方法 attemptAuthentication 进行身份认证。

    /**
     * Performs actual authentication. 进行真正的认证。
     * <p>
     * The implementation should do one of the following: 具体实现需要做如下事情:
     * <ol>
     * <li>Return a populated authentication token for the authenticated user, indicating
     * successful authentication</li> 返回一个具体的 Authentication认证对象。
     * <li>Return null, indicating that the authentication process is still in progress.
     * Before returning, the implementation should perform any additional work required to
     * complete the process.</li> 返回 null,表示实现的子类不能处理该身份认证,还需要别的类进行身份认证(往 FilterChain 传递)。
     * <li>Throw an <tt>AuthenticationException</tt> if the authentication process fails</li> 抛出异常 AuthenticationException 表示认证失败。
     * </ol>
     *
     * @param request from which to extract parameters and perform the authentication
     * @param response the response, which may be needed if the implementation has to do a
     * redirect as part of a multi-stage authentication process (such as OpenID).
     *
     * @return the authenticated user token, or null if authentication is incomplete.
     *
     * @throws AuthenticationException if authentication fails.
     */
    public abstract Authentication attemptAuthentication(HttpServletRequest request,
            HttpServletResponse response) throws AuthenticationException, IOException,
            ServletException;

这个方法的目的很明确,就是需要子类提供身份认证的具体实现。子类根据 HttpServletRequest 等信息进行身份认证,并返回 Authentication 对象、 null、异常,分别表示认证成功返回的身份认证信息、需要其他 Filter 继续进行身份认证、认证失败。下面是一个 OAuth2ClientAuthenticationProcessingFilter 对于方法 attemptAuthentication 的实现,具体代码的行为就不解释了。

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException, IOException, ServletException {

        OAuth2AccessToken accessToken;
        try {
            accessToken = restTemplate.getAccessToken();
        } catch (OAuth2Exception e) {
            BadCredentialsException bad = new BadCredentialsException("Could not obtain access token", e);
            publish(new OAuth2AuthenticationFailureEvent(bad));
            throw bad;            
        }
        try {
            OAuth2Authentication result = tokenServices.loadAuthentication(accessToken.getValue());
            if (authenticationDetailsSource!=null) {
                request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE, accessToken.getValue());
                request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE, accessToken.getTokenType());
                result.setDetails(authenticationDetailsSource.buildDetails(request));
            }
            publish(new AuthenticationSuccessEvent(result));
            return result;
        }
        catch (InvalidTokenException e) {
            BadCredentialsException bad = new BadCredentialsException("Could not obtain user details from token", e);
            publish(new OAuth2AuthenticationFailureEvent(bad));
            throw bad;            
        }

    }

 

至于方法 attemptAuthentication 是怎么被调用的?身份认证流程很简单,但是身份认证完成之前、完成之后,也需要做很多的操作。大部分操作都是一尘不变的,身份认证之前确认是否要进行身份验证、保存身份认证信息、成功处理、失败处理等。具体流程,在下面的方法中体现。可以看出这就是个工厂,已经确定好身份认证的流程,所以我们需要做的事情就是重写身份认证机制(方法 attemptAuthentication)就可以了。

    /**
     * Invokes the
     * {@link #requiresAuthentication(HttpServletRequest, HttpServletResponse)
     * requiresAuthentication} method to determine whether the request is for
     * authentication and should be handled by this filter. If it is an authentication
     * request, the
     * {@link #attemptAuthentication(HttpServletRequest, HttpServletResponse)
     * attemptAuthentication} will be invoked to perform the authentication. There are
     * then three possible outcomes:
     * <ol>
     * <li>An <tt>Authentication</tt> object is returned. The configured
     * {@link SessionAuthenticationStrategy} will be invoked (to handle any
     * session-related behaviour such as creating a new session to protect against
     * session-fixation attacks) followed by the invocation of
     * {@link #successfulAuthentication(HttpServletRequest, HttpServletResponse, FilterChain, Authentication)}
     * method</li>
     * <li>An <tt>AuthenticationException</tt> occurs during authentication. The
     * {@link #unsuccessfulAuthentication(HttpServletRequest, HttpServletResponse, AuthenticationException)
     * unsuccessfulAuthentication} method will be invoked</li>
     * <li>Null is returned, indicating that the authentication process is incomplete. The
     * method will then return immediately, assuming that the subclass has done any
     * necessary work (such as redirects) to continue the authentication process. The
     * assumption is that a later request will be received by this method where the
     * returned <tt>Authentication</tt> object is not null.
     * </ol>
     */
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;

        // 是否需要身份认证
        if (!requiresAuthentication(request, response)) {
            // 不需要身份认证,传递到 FilterChain 继续过滤
            chain.doFilter(request, response);

            return;
        }

        if (logger.isDebugEnabled()) {
            logger.debug("Request is to process authentication");
        }

        Authentication authResult;

        try {
            // 进行身份认证,该方法需要子类重写
            authResult = attemptAuthentication(request, response);
            if (authResult == null) {
                // return immediately as subclass has indicated that it hasn't completed
                // authentication
                return;
            }
            // 身份认证成功,保存 session
            sessionStrategy.onAuthentication(authResult, request, response);
        }
        // 身份认证代码出错
        catch (InternalAuthenticationServiceException failed) {
            logger.error(
                    "An internal error occurred while trying to authenticate the user.",
                    failed);
            // 身份认证失败一系列事物处理,包括调用 RememberMeServices 等
            unsuccessfulAuthentication(request, response, failed);

            return;
        }
        // 身份认证失败异常
        catch (AuthenticationException failed) {
            // Authentication failed
            // 身份认证失败一系列事物处理,包括调用 RememberMeServices 等
            unsuccessfulAuthentication(request, response, failed);

            return;
        }

        // Authentication success
        // 身份认证成功之后是否需要传递到 FilterChain
        if (continueChainBeforeSuccessfulAuthentication) {
            chain.doFilter(request, response);
        }

        // 身份认证成功一系列事物处理,包括调用 RememberMeServices 等
        successfulAuthentication(request, response, chain, authResult);
    }
}

 

### 策略模式

 

这里还可以看一下方法 doFilter 的内部调用,比如下面这个方法。

    /**
     * Default behaviour for successful authentication.
     * <ol>
     * <li>Sets the successful <tt>Authentication</tt> object on the
     * {@link SecurityContextHolder}</li>
     * <li>Informs the configured <tt>RememberMeServices</tt> of the successful login</li>
     * <li>Fires an {@link InteractiveAuthenticationSuccessEvent} via the configured
     * <tt>ApplicationEventPublisher</tt></li>
     * <li>Delegates additional behaviour to the {@link AuthenticationSuccessHandler}.</li>
     * </ol>
     *
     * Subclasses can override this method to continue the {@link FilterChain} after
     * successful authentication.
     * @param request
     * @param response
     * @param chain
     * @param authResult the object returned from the <tt>attemptAuthentication</tt>
     * method.
     * @throws IOException
     * @throws ServletException
     */
    protected void successfulAuthentication(HttpServletRequest request,
                                            HttpServletResponse response, FilterChain chain, Authentication authResult)
            throws IOException, ServletException {

        if (logger.isDebugEnabled()) {
            logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
                    + authResult);
        }

        // 认证成功设置身份认证信息
        SecurityContextHolder.getContext().setAuthentication(authResult);

        // RememberMeServices 设置成功登录信息,如 Cookie 等
        rememberMeServices.loginSuccess(request, response, authResult);

        // 认证成功发送事件
        // Fire event
        if (this.eventPublisher != null) {
            eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
                    authResult, this.getClass()));
        }

        // 认证成功处理器
        successHandler.onAuthenticationSuccess(request, response, authResult);
    }

Spring Security 还是很贴心的把这个方法的修饰符设定成了 protected,以满足我们重写身份认证成功之后的机制,虽然大多数情况下并不需要。不需要的原因是认证成功之后的流程基本最多也就是这样,如果想改变一些行为,可以直接传递给 AbstractAuthenticationProcessingFilter 一些具体实现即可,如 AuthenticationSuccessHandler(认证成功处理器)。根据在这个处理器内可以进行身份修改、返回结果修改等行为。下面是该对象的定义。

    private AuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();

各种各样的 AuthenticationSuccessHandler 可以提供多种多样的认证成功行为,这是一种策略模式。

 

# 后记

 

Spring Security 采取了多种设计模式,这是 Spring 家族代码的一贯特性。让人比较着急的是,Spring Security 虽然可以做到开箱即用,但是想要自定义代码的话,必须要熟悉 Spring Security 代码。比如如何使用 RememberMeServices。RememberMeService 有三个方法,登录成功操作、登录失败操作、自动登录操作。你可以重写这些方法,但你如果不看源码,你无法得知这些方法会在什么时候调用、在哪个 Filter 中调用、需要做什么配置。

 

转载于:https://www.cnblogs.com/Piers/p/8620523.html

weixin_33881041
关注
SpringSecurity(十一) 登录流程分析(下)
陈橙橙
03-16 1495
前言 上一篇我们对SpringSecurity登录流程几个重要组件进行了简单的分析,最后遗留下来了一点,这里我们将继续上篇内容讨论。有兴趣的朋友可以看看本专栏的文章。还请不吝赐教。 AbstractAuthenticationProcessingFilter 作为SpringSecurity过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份你认证,我们来用图看看它的工作流程: 上图显示的流程是一个通用的架构。 AbstractAut
SpringSecurity AbstractAuthenticationProcessingFilter
Claroja
03-22 797
1.AbstractAuthenticationProcessingFilter从HttpServletRequest中创建Authentication Authentication的类型根据AbstractAuthenticationProcessingFilter的子类决定,比如: 1)UsernamePasswordAuthenticationFilter 创建一个UsernamePasswordAuthenticationToken 所以如果遇到不能认证的Token就会抛出异常 2.Authent.
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1332
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
Spring Security API: AbstractAuthenticationProcessingFilter
dengdeying的博客
12-22 915
文章目录AbstractAuthenticationProcessingFilterDeclaredClass Jdoc认证过程认证成功认证失败事件发布Session认证Method doFilterDeclaredMethod JdocMethod CodeMethod requiresAuthenticationDeclaredMethod JdocMethod CodeMethod atte...
Spring SecurityAbstractAuthenticationProcessingFilter 源码解析
weixin_38982591的博客
05-27 5692
SpringSecuritySpring Web项目提供支持,AbstractAuthenticationProcessingFilte 作为验证请求入口的。 AbstractAuthenticationProcessingFilter 继承自 GenericFilterBean,而 GenericFilterBean 是 spring 框架中的过滤器类,实现了接口 javax.servlet.Filter。 public abstract class AbstractAuthentication.
spring security oauth2——AbstractAuthenticationProcessingFilter
疯子也是猖狂
01-13 771
AbstractAuthenticationProcessingFilter的作用 abstractAuthenticationProcessingFilter的职责也就非常明确——处理所有HTTP Request和Response对象,并将其封装成AuthenticationMananger可以处理的Authentication。并且在身份验证成功或失败之后将对应的行为转换为HTTP的Response。同时还要处理一些Web特有的资源比如Session和Cookie。总结成一句话,就是替Authent
AbstractAuthenticationProcessingFilter
热门推荐
凌晨12点,说出你的知心话
12-02 1万+
public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean implements ApplicationEventPublisherAware, MessageSourceAware { public void doFilter(ServletRequest req, Servl...
SpringSecurity源码解读(三) AbstractAuthenticationProcessFilter和UsernamePasswordAuthenticationFilter补全
feijingguan的博客
08-11 1830
前言: 1、第一眼看内部类是萌比的,因为内部类的匹配规则有点让人看傻眼。因为defaultFilterProcessUrl的来源是不清楚的。后来才知道,要结合实现类来看,才清楚的。那么也就是说,当我们自己写实现类的时候,需要注意,要给defaultFilterProcessUrl一个默认值. 2、上面的资料并没有给出AbstractAuthenticationProcessFilter的构造器
Spring Security源码解析(一)
qq_40577332的博客
05-30 3369
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
Spring Security源码解析一:UsernamePasswordAuthenticationFilter之登录流程
www_xuhss_com的博客
01-20 2272
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一.前言 spring security安全框架作为spring系列组件中的一个,被广泛的运用在各项目中,那么spring security在程序中的工作流程是个什么样的呢,它是如何进行一系列的鉴权和认证呢,下面让我们走进源码,从源码的角度来从头走一遍spr
SpringSecurity源码
05-29
在学习SpringSecurity源码时,建议从以下几个方面入手: 1. **源码结构分析**:了解主要组件的类结构和它们之间的关系,如`Authentication`、`Authorization`、`FilterChainProxy`等。 2. **关键类的实现**:深入...
spring security 源码
05-28
Spring Security 是一个强大的安全框架,用于为Java应用提供身份验证和授权服务。它是一个高度可配置的库,可以轻松地集成到Spring MVC、Spring Boot和其他Spring项目中。本篇文章将深入探讨Spring Security的核心...
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8076
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
Spring Security 6.x 系列【12】源码篇之会话管理流程解析
记录知识、锤炼自我
04-06 886
在之前我们了解了关于Session会话管理的相关知识,接下来我们分析下其源码及整个处理流程,以便在业务开发中能融会贯通的使用该功能。
SpringSecurity系列 - 07 认证入口:AbstractAuthenticationProcessingFilter 过滤器
你今天真好看呀
09-14 2299
UsernamePasswordAuthenticationFilter 过滤器:SpringSecurity 中默认的是表单登录格式,即用户在表单中输入用户名和密码进行登录,登录参数的提取在 UsernamePasswordAuthenticationFilter 过滤器中完成,UsernamePasswordAuthenticationFilterAbstractAuthenticationProcessingFilter 针对使用用户名和密码进行身份认证而定制化的一个过滤器。
Spring Security小教程 Vol 3. 身份验证的入口-AbstractAuthenticationProcessingFilter
weixin_34352005的博客
03-25 3071
前言 结合上一期我们介绍的AuthenticationManager为入口的身份验证的核心模块,我们这次讨论的是为了使SpringSecuritySpring Web项目提供支持,作为验证请求入口的。 第三期 Authentication核心简介 本期的任务清单 AbstractAuthenticationProcessingFilter的依赖组件; AbstractAuthenticatio...
Spring Security继承AbstractAuthenticationProcessingFilter验证成功后自动跳转地址“/”
rua
08-09 1067
Spring Security版本:5.5.1 最近学Spring Security发现自己实现的通过继承AbstractAuthenticationProcessingFilter类在验证成功后,总是自动跳转“/”地址 查看源码Authentication authenticationResult = this.attemptAuthentication(request, response); if (authenticationResult == null) { return; } thi
源码解析AbstractAuthenticationProcessingFilter
K10I
08-17 557
源码解析AbstractAuthenticationProcessingFilter
springsecurity源码解析
09-15
Spring Security 是一个功能强大且广泛使用的安全框架,用于保护 Java 应用程序的身份验证和授权。它提供了一套全面的安全解决方案,包括认证、授权、攻击防护等功能。 Spring Security源码是开源的,可以从官方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值