当前位置:   article > 正文

SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法

authenticationentrypoint

1、AuthenticationEntryPoint接口

1.1、简介

  被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下:

public interface AuthenticationEntryPoint {

	void commence(HttpServletRequest request, HttpServletResponse response,
		AuthenticationException authException) throws IOException, ServletException;
	}
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

  在AuthenticationEntryPoint 接口中,只有一个commence()方法,用来开启认证方案。其中,request是遇到了认证异常的用户请求,response 是将要返回给用户的响应,authException 请求过程中遇见的认证异常。

  AuthenticationEntryPoint 实现类,可以修改响应头属性信息或开启新的认证流程。

1.2、类层级结构

在这里插入图片描述

  • HttpStatusEntryPoint 设置特定的响应状态字,并非触发一个真正的认证流程。
  • Http403ForbiddenEntryPoint 设置响应状态字为403,。通常在一个预验证过程,已经得出需要拒绝用户请求的情况下,被用于拒绝用户请求。一般会在AbstractPreAuthenticatedProcessingFilter认证过程中(认证失败时),被调用。
  • LoginUrlAuthenticationEntryPoint 基于登录页面的认证方案入口,通过配置获取loginFormUrl(对应登录地址),当出现认证异常时,会跳转到loginFormUrl对应的登录界面。对应UsernamePasswordAuthenticationFilter过滤器类。
  • BasicAuthenticationEntryPoint 对应标准Http Basic认证流程的触发动作,向响应写入状态字401和头部WWW-Authenticate:"Basic realm="xxx"触发标准Http Basic认证流程。对应BasicAuthenticationFilter过滤器。
  • DigestAuthenticationEntryPoint 对应标准Http Digest认证流程的触发动作,向响应写入状态字401和头部WWW-Authenticate:"Digest realm="xxx"触发标准Http Digest认证流程。一般在SecurityEnforcementFilter中使用,对应DigestAuthenticationFilter认证过滤器。
  • DelegatingAuthenticationEntryPoint 代理类,它最终将认证任务委托给所代理的多个AuthenticationEntryPoint对象(entryPoints属性中存储),然后再设置其中一个AuthenticationEntryPoint对象作为默认值(在defaultEntryPoint中存储)。
  • OAuth2AuthenticationEntryPoint 该类是SpringSecurity Oauth2提供的一个实现类。通常可以在Spring Security配置时进行配置。

2、LoginUrlAuthenticationEntryPoint 使用场景

2.1、初始化

  当我们使用SpringSecurity时,通过重写WebSecurityConfigurerAdapter类中的configure(HttpSecurity http)方法实现一些自定义的配置。其中,loginPage()配置是用来配置自定义登录页面的,这个时候就会初始化LoginUrlAuthenticationEntryPoint 对象,即使不自定义登录页面(默认会使用“/login”登录页),也会初始化LoginUrlAuthenticationEntryPoint 对象。

 &esmp;如果使用默认登录页时,在AbstractAuthenticationFilterConfigurer配置类的构造函数中会调用setLoginPage()方法初始化默认登录页,如下所示:

protected AbstractAuthenticationFilterConfigurer() {
	setLoginPage("/login");
}
  • 1
  • 2
  • 3

 &esmp;如果自定义登录页时,则在loginPage()方法中调用setLoginPage()初始化登录页,如下所示:

protected T loginPage(String loginPage) {
	setLoginPage(loginPage);
	updateAuthenticationDefaults();
	this.customLoginPage = true;
	return getSelf();
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

  setLoginPage()方法,默认设置了登录页地址,同时还会初始化一个LoginUrlAuthenticationEntryPoint对象作为认证异常时的认证流程入口,即认证失败时,会从新跳转到该地址进行重写认证。

private void setLoginPage(String loginPage) {
	this.loginPage = loginPage;
	this.authenticationEntryPoint = new LoginUrlAuthenticationEntryPoint(loginPage);
}
  • 1
  • 2
  • 3
  • 4

  通过上述初始化过程,AbstractAuthenticationFilterConfigurer对象的authenticationEntryPoint属性值,默认就设置成了LoginUrlAuthenticationEntryPoint对象。

  在后续初始化基于表单认证的配置类FormLoginConfigurer时,会注册authenticationEntryPoint对象到SpringSecurity处理流程中:首先,在FormLoginConfigurer类的init(H http)方法中,调用父类的AbstractAuthenticationFilterConfigurer的init(B http)的方法,然后又调用了registerDefaultAuthenticationEntryPoint()方法,这个时候如果异常处理器配置存在,就会为其中的defaultEntryPointMappings属性设置对应的AuthenticationEntryPoint对象,其中defaultEntryPointMappings对象是LinkedHashMap<RequestMatcher, AuthenticationEntryPoint>类型,自此ExceptionHandlingConfigurer配置类的defaultEntryPointMappings属性就完成了初始化。

  在后续初始化ExceptionHandlingConfigurer配置类时,首先会执行configure(H http)方法进行初始化,在该方法中又通过getAuthenticationEntryPoint()获取对应的AuthenticationEntryPoint对象,实现如下:

AuthenticationEntryPoint getAuthenticationEntryPoint(H http) {
	AuthenticationEntryPoint entryPoint = this.authenticationEntryPoint;
	if (entryPoint == null) {
		entryPoint = createDefaultEntryPoint(http);
	}
	return entryPoint;
}

private AuthenticationEntryPoint createDefaultEntryPoint(H http) {
	if (this.defaultEntryPointMappings.isEmpty()) {
		return new Http403ForbiddenEntryPoint();
	}
	if (this.defaultEntryPointMappings.size() == 1) {
		return this.defaultEntryPointMappings.values().iterator().next();
	}
	DelegatingAuthenticationEntryPoint entryPoint = new DelegatingAuthenticationEntryPoint(
			this.defaultEntryPointMappings);
	entryPoint.setDefaultEntryPoint(this.defaultEntryPointMappings.values().iterator()
			.next());
	return entryPoint;
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21

 &esmp;在getAuthenticationEntryPoint()方法中,首先判断authenticationEntryPoint属性是否有值(一般是用户为异常处理器配置自定义的AuthenticationEntryPoint 对象),如果默认时,该属性为null,所以通过createDefaultEntryPoint()创建默认对象,这时,如果配置了多个AuthenticationEntryPoint 对象(即defaultEntryPointMappings.size() > 1时),如果我们使用了SpringSecurity·配置时,默认只配置了LoginUrlAuthenticationEntryPoint对象,这时就返回了LoginUrlAuthenticationEntryPoint对象,否则就通过DelegatingAuthenticationEntryPoint 对象进行代理,后续再使用时再判断符合条件的AuthenticationEntryPoint对象(如果引入SpringSecurity Oauth2时,默认会加载两个AuthenticationEntryPoint对象)。

 &emspp;获取到了AuthenticationEntryPoint对象后,又回到了configure(H http)方法,这个时候,在创建异常处理过滤器时,就会把该对象赋值到ExceptionTranslationFilter对象的属性中,代码如下:

@Override
public void configure(H http) {
	AuthenticationEntryPoint entryPoint = getAuthenticationEntryPoint(http);
	ExceptionTranslationFilter exceptionTranslationFilter = new ExceptionTranslationFilter(
			entryPoint, getRequestCache(http));
	AccessDeniedHandler deniedHandler = getAccessDeniedHandler(http);
	exceptionTranslationFilter.setAccessDeniedHandler(deniedHandler);
	exceptionTranslationFilter = postProcess(exceptionTranslationFilter);
	http.addFilter(exceptionTranslationFilter);
}

//ExceptionTranslationFilter类
public ExceptionTranslationFilter(AuthenticationEntryPoint authenticationEntryPoint,
	RequestCache requestCache) {
	Assert.notNull(authenticationEntryPoint,
			"authenticationEntryPoint cannot be null");
	Assert.notNull(requestCache, "requestCache cannot be null");
	this.authenticationEntryPoint = authenticationEntryPoint;
	this.requestCache = requestCache;
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20

  通过前面的配置,我们知道,在初始化阶段,已经完成了为异常处理的过滤器ExceptionTranslationFilter的authenticationEntryPoint 属性设置了异常处理的入口端点。

2.2、使用

  在《未认证的请求是如何重定向到登录地址的》中,我们知道,最终就是通过LoginUrlAuthenticationEntryPoint对象的commence()方法实现了跳转到登录页的功能。我们这里再简单梳理一下其中的逻辑:首先,未认证的地址(需要认证时)经过FilterSecurityInterceptor过滤器的beforeInvocation()方法时,因为没有认证信息,所以抛出了AccessDeniedException 异常,该异常被ExceptionTranslationFilter捕获,然后调用handleSpringSecurityException()处理异常,又调用sendStartAuthentication()方法开启新的认证流程,这个时候就会通过调用LoginUrlAuthenticationEntryPoint的commence()方法实现。

  为什么这里使用的是LoginUrlAuthenticationEntryPoint对象,而不是其他AuthenticationEntryPoint对象呢,这个和我们配置的SpringSecurity是有关系的,而且和我们选择的认证方案也是相关的,在前面的初始化过程中,已经分析了,这里不再重复。

  在LoginUrlAuthenticationEntryPoint的commence()方法中,又提供了forward和redirect两种跳转方式,具体实现如下:

public void commence(HttpServletRequest request, HttpServletResponse response,
	AuthenticationException authException) throws IOException, ServletException {

	String redirectUrl = null;

	if (useForward) {
		if (forceHttps && "http".equals(request.getScheme())) {
			redirectUrl = buildHttpsRedirectUrlForRequest(request);
		}
		if (redirectUrl == null) {
			String loginForm = determineUrlToUseForThisRequest(request, response,
					authException);
			if (logger.isDebugEnabled()) {
				logger.debug("Server side forward to: " + loginForm);
			}
			RequestDispatcher dispatcher = request.getRequestDispatcher(loginForm);
			dispatcher.forward(request, response);
			return;
		}
	}else {
		redirectUrl = buildRedirectUrlToLoginPage(request, response, authException);
	}
	redirectStrategy.sendRedirect(request, response, redirectUrl);
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24

  在commence()方法中,如果useForward=true,则使用forward方式进行跳转,通过调用RequestDispatcher 的forward()方式实现请求的转发;当使用redirect方式时,通过调用redirectStrategy的sendRedirect()方法实现转发,其中redirectStrategy对象默认是DefaultRedirectStrategy对象。

  两种跳转方式,都通过determineUrlToUseForThisRequest()方法,获取要跳转的地址,该地址就是用户自定义或系统默认的登录页地址。

3、DelegatingAuthenticationEntryPoint 使用场景

  其实,在实际项目中,DelegatingAuthenticationEntryPoint 用的还是比较多的,不过这个对开发人员来说是透明的,在前面分析初始化过程中时,其中ExceptionHandlingConfigurer配置类创建默认AuthenticationEntryPoint对象时,会根据defaultEntryPointMappings的元素个数来判断是否创建DelegatingAuthenticationEntryPoint 对象,当个数大于两个时,就会创建DelegatingAuthenticationEntryPoint 对象,同时会把defaultEntryPointMappings中的第一个作为默认的AuthenticationEntryPoint对象。

  DelegatingAuthenticationEntryPoint和LoginUrlAuthenticationEntryPoint 处理过程是比较类似的,当defaultEntryPointMappings元素大于1时,就会使用DelegatingAuthenticationEntryPoint作为代理,然后把真正使用具体AuthenticationEntryPoint对象的工作在DelegatingAuthenticationEntryPoint代理对象的commence()方法中进行。首先,进入DelegatingAuthenticationEntryPoint代理对象的commence()方法还是在ExceptionTranslationFilter异常处理过滤器链的sendStartAuthentication()方法中,实现如下:
在这里插入图片描述
  在DelegatingAuthenticationEntryPoint代理对象的commence()方法中,通过entryPoints(其实就是前面提到的defaultEntryPointMappings属性)键值对中的key值来判断符合当前请求的RequestMatcher对象,然后再根据RequestMatcher对象从entryPoints获取对应的AuthenticationEntryPoint对象,如下所示:
在这里插入图片描述

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小丑西瓜9/article/detail/84098
推荐阅读
相关标签
  

闽ICP备14008679号