# 前言

最近在做 Spring OAuth2 登录,并在登录之后保存 Cookies。具体而言就是 Spring OAuth2 和 Spring Security 集成。Google一下竟然没有发现一种能满足我的要求。最终只有研究源码了。

有时间会画个 UML 图。

# 一些基础知识

  • Spring Security 验证身份的方式是利用 Filter,再加上 HttpServletRequest 的一些信息进行过滤。
  • 类 Authentication 保存的是身份认证信息。
  • 类 AuthenticationProvider 提供身份认证途径。
  • 类 AuthenticationManager 保存的 AuthenticationProvider 集合,并调用 AuthenticationProvider 进行身份认证。

# AbstractAuthenticationProcessingFilter

## 设计模式

### 抽象工厂模式

AbstractAuthenticationProcessingFilter 是一个抽象类,主要的功能是身份认证。OAuth2ClientAuthenticationProcessingFilter(Spriing OAuth2)、RememberMeAuthenticationFilter(RememberMe)都继承了 AbstractAuthenticationProcessingFilter ,并重写了方法 attemptAuthentication 进行身份认证。

    /**

     * Performs actual authentication. 进行真正的认证。

     * <p>

     * The implementation should do one of the following: 具体实现需要做如下事情:

     * <ol>

     * <li>Return a populated authentication token for the authenticated user, indicating

     * successful authentication</li> 返回一个具体的 Authentication认证对象。

     * <li>Return null, indicating that the authentication process is still in progress.

     * Before returning, the implementation should perform any additional work required to

     * complete the process.</li> 返回 null,表示实现的子类不能处理该身份认证,还需要别的类进行身份认证(往 FilterChain 传递)。

     * <li>Throw an <tt>AuthenticationException</tt> if the authentication process fails</li> 抛出异常 AuthenticationException 表示认证失败。

     * </ol>

     *

     * @param request from which to extract parameters and perform the authentication

     * @param response the response, which may be needed if the implementation has to do a

     * redirect as part of a multi-stage authentication process (such as OpenID).

     *

     * @return the authenticated user token, or null if authentication is incomplete.

     *

     * @throws AuthenticationException if authentication fails.

     */

    public abstract Authentication attemptAuthentication(HttpServletRequest request,

            HttpServletResponse response) throws AuthenticationException, IOException,

            ServletException;

这个方法的目的很明确,就是需要子类提供身份认证的具体实现。子类根据 HttpServletRequest 等信息进行身份认证,并返回 Authentication 对象、 null、异常,分别表示认证成功返回的身份认证信息、需要其他 Filter 继续进行身份认证、认证失败。下面是一个 OAuth2ClientAuthenticationProcessingFilter 对于方法 attemptAuthentication 的实现,具体代码的行为就不解释了。

    @Override

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)

            throws AuthenticationException, IOException, ServletException {

        OAuth2AccessToken accessToken;

        try {

            accessToken = restTemplate.getAccessToken();

        } catch (OAuth2Exception e) {

            BadCredentialsException bad = new BadCredentialsException("Could not obtain access token", e);

            publish(new OAuth2AuthenticationFailureEvent(bad));

            throw bad;

        }

        try {

            OAuth2Authentication result = tokenServices.loadAuthentication(accessToken.getValue());

            if (authenticationDetailsSource!=null) {

                request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_VALUE, accessToken.getValue());

                request.setAttribute(OAuth2AuthenticationDetails.ACCESS_TOKEN_TYPE, accessToken.getTokenType());

                result.setDetails(authenticationDetailsSource.buildDetails(request));

            }

            publish(new AuthenticationSuccessEvent(result));

            return result;

        }

        catch (InvalidTokenException e) {

            BadCredentialsException bad = new BadCredentialsException("Could not obtain user details from token", e);

            publish(new OAuth2AuthenticationFailureEvent(bad));

            throw bad;

        }

    }

至于方法 attemptAuthentication 是怎么被调用的?身份认证流程很简单,但是身份认证完成之前、完成之后,也需要做很多的操作。大部分操作都是一尘不变的,身份认证之前确认是否要进行身份验证、保存身份认证信息、成功处理、失败处理等。具体流程,在下面的方法中体现。可以看出这就是个工厂,已经确定好身份认证的流程,所以我们需要做的事情就是重写身份认证机制(方法 attemptAuthentication)就可以了。

    /**

     * Invokes the

     * {@link #requiresAuthentication(HttpServletRequest, HttpServletResponse)

     * requiresAuthentication} method to determine whether the request is for

     * authentication and should be handled by this filter. If it is an authentication

     * request, the

     * {@link #attemptAuthentication(HttpServletRequest, HttpServletResponse)

     * attemptAuthentication} will be invoked to perform the authentication. There are

     * then three possible outcomes:

     * <ol>

     * <li>An <tt>Authentication</tt> object is returned. The configured

     * {@link SessionAuthenticationStrategy} will be invoked (to handle any

     * session-related behaviour such as creating a new session to protect against

     * session-fixation attacks) followed by the invocation of

     * {@link #successfulAuthentication(HttpServletRequest, HttpServletResponse, FilterChain, Authentication)}

     * method</li>

     * <li>An <tt>AuthenticationException</tt> occurs during authentication. The

     * {@link #unsuccessfulAuthentication(HttpServletRequest, HttpServletResponse, AuthenticationException)

     * unsuccessfulAuthentication} method will be invoked</li>

     * <li>Null is returned, indicating that the authentication process is incomplete. The

     * method will then return immediately, assuming that the subclass has done any

     * necessary work (such as redirects) to continue the authentication process. The

     * assumption is that a later request will be received by this method where the

     * returned <tt>Authentication</tt> object is not null.

     * </ol>

     */

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;

        HttpServletResponse response = (HttpServletResponse) res;

        // 是否需要身份认证

        if (!requiresAuthentication(request, response)) {

            // 不需要身份认证,传递到 FilterChain 继续过滤

            chain.doFilter(request, response);

            return;

        }

        if (logger.isDebugEnabled()) {

            logger.debug("Request is to process authentication");

        }

        Authentication authResult;

        try {

            // 进行身份认证,该方法需要子类重写

            authResult = attemptAuthentication(request, response);

            if (authResult == null) {

                // return immediately as subclass has indicated that it hasn't completed

                // authentication

                return;

            }

            // 身份认证成功,保存 session

            sessionStrategy.onAuthentication(authResult, request, response);

        }

        // 身份认证代码出错

        catch (InternalAuthenticationServiceException failed) {

            logger.error(

                    "An internal error occurred while trying to authenticate the user.",

                    failed);

            // 身份认证失败一系列事物处理,包括调用 RememberMeServices 等

            unsuccessfulAuthentication(request, response, failed);

            return;

        }

        // 身份认证失败异常

        catch (AuthenticationException failed) {

            // Authentication failed

            // 身份认证失败一系列事物处理,包括调用 RememberMeServices 等

            unsuccessfulAuthentication(request, response, failed);

            return;

        }

        // Authentication success

        // 身份认证成功之后是否需要传递到 FilterChain

        if (continueChainBeforeSuccessfulAuthentication) {

            chain.doFilter(request, response);

        }

        // 身份认证成功一系列事物处理,包括调用 RememberMeServices 等

        successfulAuthentication(request, response, chain, authResult);

    }

}

### 策略模式

这里还可以看一下方法 doFilter 的内部调用,比如下面这个方法。

    /**

     * Default behaviour for successful authentication.

     * <ol>

     * <li>Sets the successful <tt>Authentication</tt> object on the

     * {@link SecurityContextHolder}</li>

     * <li>Informs the configured <tt>RememberMeServices</tt> of the successful login</li>

     * <li>Fires an {@link InteractiveAuthenticationSuccessEvent} via the configured

     * <tt>ApplicationEventPublisher</tt></li>

     * <li>Delegates additional behaviour to the {@link AuthenticationSuccessHandler}.</li>

     * </ol>

     *

     * Subclasses can override this method to continue the {@link FilterChain} after

     * successful authentication.

     * @param request

     * @param response

     * @param chain

     * @param authResult the object returned from the <tt>attemptAuthentication</tt>

     * method.

     * @throws IOException

     * @throws ServletException

     */

    protected void successfulAuthentication(HttpServletRequest request,

                                            HttpServletResponse response, FilterChain chain, Authentication authResult)

            throws IOException, ServletException {

        if (logger.isDebugEnabled()) {

            logger.debug("Authentication success. Updating SecurityContextHolder to contain: "

                    + authResult);

        }

        // 认证成功设置身份认证信息

        SecurityContextHolder.getContext().setAuthentication(authResult);

        // RememberMeServices 设置成功登录信息,如 Cookie 等

        rememberMeServices.loginSuccess(request, response, authResult);

        // 认证成功发送事件

        // Fire event

        if (this.eventPublisher != null) {

            eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(

                    authResult, this.getClass()));

        }

        // 认证成功处理器

        successHandler.onAuthenticationSuccess(request, response, authResult);

    }

Spring Security 还是很贴心的把这个方法的修饰符设定成了 protected,以满足我们重写身份认证成功之后的机制,虽然大多数情况下并不需要。不需要的原因是认证成功之后的流程基本最多也就是这样,如果想改变一些行为,可以直接传递给 AbstractAuthenticationProcessingFilter 一些具体实现即可,如 AuthenticationSuccessHandler(认证成功处理器)。根据在这个处理器内可以进行身份修改、返回结果修改等行为。下面是该对象的定义。

    private AuthenticationSuccessHandler successHandler = new SavedRequestAwareAuthenticationSuccessHandler();

各种各样的 AuthenticationSuccessHandler 可以提供多种多样的认证成功行为,这是一种策略模式。

# 后记

Spring Security 采取了多种设计模式,这是 Spring 家族代码的一贯特性。让人比较着急的是,Spring Security 虽然可以做到开箱即用,但是想要自定义代码的话,必须要熟悉 Spring Security 代码。比如如何使用 RememberMeServices。RememberMeService 有三个方法,登录成功操作、登录失败操作、自动登录操作。你可以重写这些方法,但你如果不看源码,你无法得知这些方法会在什么时候调用、在哪个 Filter 中调用、需要做什么配置。

Spring Security 源码解析(一)AbstractAuthenticationProcessingFilter的更多相关文章

  1. Spring Security源码解析一:UsernamePasswordAuthenticationFilter之登录流程

    一.前言 spring security安全框架作为spring系列组件中的一个,被广泛的运用在各项目中,那么spring security在程序中的工作流程是个什么样的呢,它是如何进行一系列的鉴权和 ...

  2. Spring Security 源码解析(一)

    上篇 Spring Security基本配置已讲述了Spring Security最简单的配置,本篇将开始分析其基本原理 在上篇中可以看到,在访问 http://localhost:18081/use ...

  3. spring事务源码解析

    前言 在spring jdbcTemplate 事务,各种诡异,包你醍醐灌顶!最后遗留了一个问题:spring是怎么样保证事务一致性的? 当然,spring事务内容挺多的,如果都要讲的话要花很长时间, ...

  4. Spring Security 源码分析(四):Spring Social实现微信社交登录

    社交登录又称作社会化登录(Social Login),是指网站的用户可以使用腾讯QQ.人人网.开心网.新浪微博.搜狐微博.腾讯微博.淘宝.豆瓣.MSN.Google等社会化媒体账号登录该网站. 前言 ...

  5. Spring IoC源码解析之invokeBeanFactoryPostProcessors

    一.Bean工厂的后置处理器 Bean工厂的后置处理器:BeanFactoryPostProcessor(触发时机:bean定义注册之后bean实例化之前)和BeanDefinitionRegistr ...

  6. Spring IoC源码解析之getBean

    一.实例化所有的非懒加载的单实例Bean 从org.springframework.context.support.AbstractApplicationContext#refresh方法开发,进入到 ...

  7. Spring系列(五):Spring AOP源码解析

    一.@EnableAspectJAutoProxy注解 在主配置类中添加@EnableAspectJAutoProxy注解,开启aop支持,那么@EnableAspectJAutoProxy到底做了什 ...

  8. Spring系列(六):Spring事务源码解析

    一.事务概述 1.1 什么是事务 事务是一组原子性的SQL查询,或者说是一个独立的工作单元.要么全部执行,要么全部不执行. 1.2 事务的特性(ACID) ①原子性(atomicity) 一个事务必须 ...

  9. Spring系列(三):Spring IoC源码解析

    一.Spring容器类继承图 二.容器前期准备 IoC源码解析入口: /** * @desc: ioc原理解析 启动 * @author: toby * @date: 2019/7/22 22:20 ...

随机推荐

  1. 《android开发艺术探索》读书笔记(一)--Activity的生命周期和启动模式

    No1: 如果新Activity采用了透明主题,那么当前Activity不会回调onStop: No2: 新Activity启动之前,栈顶的Activity需要先onPause后,新Activity才 ...

  2. PAT1118. Birds in Forest (并查集)

    思路:并查集一套带走. AC代码 #include <stdio.h> #include <string.h> #include <algorithm> using ...

  3. HTTP协议报文结构及示例

    HTTP基本架构 下面我们用一张简单的流程图来展示HTTP协议基本架构,以便大家先有个基本的了解. 9.png Web Client可以是浏览器.搜索引擎.机器人等等一切基于HTTP协议发起http请 ...

  4. JavaScript设计模式之策略模式

    所谓"条条道路通罗马",在现实中,为达到某种目的往往不是只有一种方法.比如挣钱养家:可以做点小生意,可以打分工,甚至还可以是偷.抢.赌等等各种手段.在程序语言设计中,也会遇到这种类 ...

  5. nignx笔记1

    上图是单版的架构,理论一个tomcat并发就200到300,经过优化后的最多500,这很明显容量低,而且出现单点故障后应用服务就不可以访问了,比如tomcat,这样明显对于多并发是不行的. 那么如果我 ...

  6. VxWorks6.6 pcPentium BSP 使用说明(一):基本概念

    "VxWorks6.6 BSP 使用说明"将发布pcPentium和idp945两个系列的BSP的使用说明.每个系列约5篇文章.之后还将发布由这两个官方提供的BSP的实战移植方法. ...

  7. (八)java垃圾回收和收尾

    垃圾回收机制:当一个对象不再被引用时,或者说当一个对象的引用不存在时,我们就认为该对象不再被需要,它所占用的内存就会被释放掉.     垃圾回收只是在程序执行过程中偶尔发生,java不同的运行时刻会产 ...

  8. .Net 4.X 提前用上 .Net Core 的配置模式以及热重载配置

    1. 前言 在提倡微服务及 Serverless 越来越普及的当下,在 .Net Core 之前,.Net 应用的配置模式往往依赖于一个名为 web.config 的 XML 文件,耦合性高,而可扩展 ...

  9. 版本控制工具--svn和git的使用(二) -----SVN的操作

    SVN的使用 开头: 对于svn的详解,我不是很熟,只是用过svn的客户端,没使用过服务端,在这里我只是简单说一下在svn的客户端怎么拉取代码,提交代码和修改冲突等等.svn的客户端我在Mac中用的s ...

  10. 觉得OpenStack的网络复杂?其实你家里就有同样一个网络

    当你想了解OpenStack的Neutron网络,打开下面这张图的时候,心里一定是崩溃的,看起来这些模块连在一起很复杂,但其实和你家里的网络很像,看不出来?看我来慢慢解析. 其实这个网络的样子更像是我 ...