- 1记录一下一些收藏的网页
- 2pip 清华源_-i 清华源
- 3【华为OD】C卷200分真题 100%通过:路口最短时间问题 JS语言代码实现[思路+代码]_> 假定街道是棋盘型的,每格距离相等,车辆通过每格街道需要时间均为 timeperroad;
- 4手把手教你用Python部署自己的VPN_python与strongswan库_pip install strongswan
- 5使用多线程遇到的bug_nginx 多线程 bug
- 6中国软件行业几乎全军覆没
- 7Selenium Edge的无头浏览器模式以及反WebDriver检测
- 8C# 自定义Label实现 指定字符串(关键词)高亮显示(字体、颜色)_c#自定义lable
- 92024年高考作文考人工智能,人工智能写作文能否得高分
- 10基于FPGA的NCO实现_fpga nco
Spring Security认证流程分_springsecurity认证流程
赞
踩
1.认证流程分析
Spring Security中默认的一套登录流程是非常完善并且严谨的。但是项目需求非常多样化, 很多时候,我们可能还需要对Spring Secinity登录流程进行定制,定制的前提是开发者先深刻理解Spring Security登录流程,然后在此基础之上,完成对登录流程的定制。本文将从头梳理 Spring Security登录流程,并通过几个常见的登录定制案例,深刻地理解Spring Security登录流程。
本章涉及的主要知识点有:
- 登录流程分析。
- 配置多个数据源。
- 添加登录验证码。
1.1登录流程分析
要搞清楚Spring Security认证流程,我们得先认识与之相关的三个基本组件(Authentication 对象在前面文章种己经做过介绍,这里不再赘述):AuthenticationManager、ProviderManager以及AuthenticationProvider,同时还要去了解接入认证功能的过滤器
AbstractAuthenticationProcessingFilter,这四个类搞明白了,基本上认证流程也就清楚了,下面我们逐个分析一下。
1.1.1 AuthenticationManager
从名称上可以看出,AuthenticationManager是一个认证管理器,它定义了 Spring Security 过滤器要如何执行认证操作。AuthenticationManager在认证成功后,会返回一个Authentication对象,这个Authentication对象会被设置到SecurityContextHolder中。如果开发者不想用Spring Security提供的一套认证机制,那么也可以自定义认证流程,认证成功后,手动将Authentication 存入 SecurityContextHolder 中。
public interface AuthenticationManager { Authentication authenticate(Authentication var1) throws AuthenticationException;}从 AuthenticationManager 的源码中可以看到,AuthenticationManager 对传入的 Authentication对象进行身份认证,此时传入的Authentication参数只有用户名/密码等简单的属性,如果认证成功,返回的Authentication的属性会得到完全填充,包括用户所具备的角色信息。AuthenticationManager是一个接口,它有着诸多的实现类,开发者也可以自定义 AuthenticationManager的实现类,不过在实际应用中,我们使用最多的是ProviderManager,在 Spring S ecurity 框架中,默认也是使用 ProviderManager。
1.1.2 AuthenticationProvider
Spring Security支持多种不同的认证方式,不同的认证方式对应不同的身份 类型,AuthenticationProvider就是针对不同的身份类型执行具体的身份认证。例如,常见的 DaoAuthenticationProvider 用来支持用户名/密码登录认证,
RememberMeAuthenticationProvider 用来支持“记住我”的认证。
public interface AuthenticationProvider { Authentication authenticate(Authentication var1) throws AuthenticationException; boolean supports(Class<?> var1);}- authenticate方法用来执行具体的身份忧证。
- supports方法用来判断当前AuthenticationProvider是否支持对应的身份类型。
当使用用户名/密码的方式登录时,对应的AuthenticationProvider实现类是 DaoAuthenticationProvider , 而 DaoAuthenticationProvider 继承自
AbstractUserDetailsAuthenticationProvider并且没有重写authenticate方法,所以具体的认证逻辑在AbstractUserDetailsAuthenticationProvider 的 authenticate 方法中。我们就从 AbstractUserDetailsAuthenticationProvider开始看起:
查看代码
- 一开始先声明一个用户缓存对象userCache,默认情况下没有启用缓存对象。
- hideUserNotFoundExce
