AuthenticationProvider

  • 默认实现:DaoAuthenticationProvider

授权方式提供者,判断授权有效性,用户有效性,在判断用户是否有效性,它依赖于UserDetailsService实例,开发人员可以自定义UserDetailsService的实现。

  1. additionalAuthenticationChecks方法校验密码有效性
  2. retrieveUser方法根据用户名获取用户
  3. createSuccessAuthentication完成授权持久化
@Component

@Slf4j

public class LindAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {

  @Autowired

  UserDetailsService userDetailsService;

  @Autowired

  private PasswordEncoder passwordEncoder;

  /**

   * 校验密码有效性.

   *

   * @param userDetails    .

   * @param authentication .

   * @throws AuthenticationException .

   */

  @Override

  protected void additionalAuthenticationChecks(

      UserDetails userDetails, UsernamePasswordAuthenticationToken authentication)

      throws AuthenticationException {

    if (authentication.getCredentials() == null) {

      logger.debug("Authentication failed: no credentials provided");

      throw new BadCredentialsException(messages.getMessage(

          "AbstractUserDetailsAuthenticationProvider.badCredentials",

          "Bad credentials"));

    }

    String presentedPassword = authentication.getCredentials().toString();

    if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {

      logger.debug("Authentication failed: password does not match stored value");

      throw new BadCredentialsException(messages.getMessage(

          "AbstractUserDetailsAuthenticationProvider.badCredentials",

          "Bad credentials"));

    }

  }

  /**

   * 获取用户.

   *

   * @param username       .

   * @param authentication .

   * @return

   * @throws AuthenticationException .

   */

  @Override

  protected UserDetails retrieveUser(

      String username, UsernamePasswordAuthenticationToken authentication)

      throws AuthenticationException {

    UserDetails loadedUser = userDetailsService.loadUserByUsername(username);

    if (loadedUser == null) {

      throw new InternalAuthenticationServiceException(

          "UserDetailsService returned null, which is an interface contract violation");

    }

    return loadedUser;

  }

}

 /**

   * 授权持久化.

   */

  @Override

  protected Authentication createSuccessAuthentication(Object principal,

                                                       Authentication authentication, UserDetails user) {

    return super.createSuccessAuthentication(principal, authentication, user);

  }

AuthenticationFilter

  • 默认实现:UsernamePasswordAuthenticationFilter

授权过滤器,你可以自定义它,并把它添加到默认过滤器前或者后去执行,主要用来到授权的持久化,它可以从请求上下文中获取你的user,password等信息,然后去判断它是否符合规则,最后通过authenticate方法去授权。默认的UsernamePasswordAuthenticationFilter过滤器,主要判断请求方式是否为post,并且对username和password进行了默认值的处理,总之,在这个过滤器里不会涉及到具体业务。

public class LindUserNameAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

  public LindUserNameAuthenticationFilter() {

    super(new AntPathRequestMatcher("/login", "GET"));

  }

  @Override

  public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {

    String username = request.getParameter("username");

    String password = request.getParameter("password");

    if (username == null) {

      throw new InternalAuthenticationServiceException("Failed to get the username");

    }

    if (password == null) {

      throw new InternalAuthenticationServiceException("Failed to get the password");

    }

    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(

        username, password);

    authRequest.setDetails(authenticationDetailsSource.buildDetails(request));

    return this.getAuthenticationManager().authenticate(authRequest);

  }

}

UserDetialsService

这是一个接口,有默认的实现方式,一般的,我们需要根据业务去重新实现它,比如从你的用户表获取当前授权的用户信息,你需要在UserDetialsService实现类里对用户表进行读取操作;它一般会在AuthenticationProvider里的retrieveUser方法中被使用,这就像面向对象里的模板方法模式一样,springSecurity把检验的步骤设计好了,咱们开发只要根据规则去实现具体细节就好。

@Component

public class MyUserDetailService implements UserDetailsService {

  @Autowired

  private PasswordEncoder passwordEncoder;

  @Override

  public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {

    /*

      设置用户和角色需要注意:

      1. commaSeparatedStringToAuthorityList放入角色时需要加前缀ROLE_,而在controller使用时不需要加ROLE_前缀

      2. 放入的是权限时,不能加ROLE_前缀,hasAuthority与放入的权限名称对应即可

    */

    List<UserDetails> userDetailsList = new ArrayList<>();

    userDetailsList.add(User.builder()

        .username("admin")

        .password(passwordEncoder.encode("123"))

        .authorities(AuthorityUtils.commaSeparatedStringToAuthorityList("read,ROLE_ADMIN")).build());

    userDetailsList.add(User.builder()

        .username("user")

        .password(passwordEncoder.encode("123"))

        .authorities(AuthorityUtils.commaSeparatedStringToAuthorityList("read,ROLE_USER"))

        .build());

    //获取用户

    return userDetailsList.stream()

        .filter(o -> o.getUsername().equals(name))

        .findFirst()

        .orElse(null);

  }

}

在WebSecurityConfig里开启它

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  @Autowired

  LindAuthenticationSuccessHandler lindAuthenticationSuccessHandler;

  @Autowired

  LindAuthenticationFailHandler lindAuthenticationFailHandler;

  @Autowired

  LindAuthenticationProvider lindAuthenticationProvider;

  @Override

  protected void configure(HttpSecurity http) throws Exception {

    http

        .authorizeRequests()

        .antMatchers("/", "/index").permitAll()

        .antMatchers("/admin/**").hasRole("ADMIN")//按路由授权

        .anyRequest().authenticated()

        .and()

        .formLogin()

        .loginPage("/login")

        .defaultSuccessUrl("/hello")//默认登录成功后跳转的页面

        .successHandler(lindAuthenticationSuccessHandler)

        .failureHandler(lindAuthenticationFailHandler)

        .permitAll()

        .and()

        .addFilterAt(lindAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class).authorizeRequests().and()

        .logout()

        .permitAll();

  }

  /**

   * 自定义的Filter.

   */

  @Bean

  LindUserNameAuthenticationFilter lindAuthenticationFilter() {

    LindUserNameAuthenticationFilter phoneAuthenticationFilter = new LindUserNameAuthenticationFilter();

    ProviderManager providerManager =

        new ProviderManager(Collections.singletonList(lindAuthenticationProvider));

    phoneAuthenticationFilter.setAuthenticationManager(providerManager);

    phoneAuthenticationFilter.setAuthenticationSuccessHandler(lindAuthenticationSuccessHandler);

    phoneAuthenticationFilter.setAuthenticationFailureHandler(lindAuthenticationFailHandler);

    return phoneAuthenticationFilter;

  }

  /**

   * 密码生成策略.

   *

   * @return

   */

  @Bean

  public PasswordEncoder passwordEncoder() {

    return new BCryptPasswordEncoder();

  }

}

认证时执行的顺序

  1. LindUserNameAuthenticationFilter
  2. LindAuthenticationProvider.retrieveUser
  3. LindAuthenticationProvider.additionalAuthenticationChecks
  4. UserDetailsService
  5. Authentication

springSecurity源码:https://github.com/spring-projects/spring-security

SpringSecurity自定义AuthenticationProvider和AuthenticationFilter的更多相关文章

  1. SpringSecurity 自定义用户 角色 资源权限控制

    SpringSecurity 自定义用户 角色 资源权限控制 package com.joyen.learning.security; import java.sql.ResultSet; impor ...

  2. SpringSecurity 自定义表单登录

    SpringSecurity 自定义表单登录 本篇主要讲解 在SpringSecurity中 如何 自定义表单登录 , SpringSecurity默认提供了一个表单登录,但是实际项目里肯定无法使用的 ...

  3. SpringSecurity自定义登陆页面和跳转页面

    如果我们不用form-login说明登陆界面,springsecurity框架将自动为我们生成登陆界面 现在我们不想用自动生成的登陆界面了,而想使用自定义的漂亮的登陆界面 则需要使用<secur ...

  4. springSecurity自定义认证配置

    上一篇讲了springSecurity的简单入门的小demo,认证用户是在xml中写死的.今天来说一下自定义认证,读取数据库来实现认证.当然,也是非常简单的,因为仅仅是读取数据库,权限是写死的,因为相 ...

  5. SpringSecurity自定义过滤器

    applicationContext-security.xml: <beans:beans xmlns="http://www.springframework.org/schema/s ...

  6. Spring-Security 自定义Filter完成验证码校验

    Spring-Security的功能主要是由一堆Filter构成过滤器链来实现,每个Filter都会完成自己的一部分工作.我今天要做的是对UsernamePasswordAuthenticationF ...

  7. SpringSecurity自定义UsernamePasswordAuthenticationFilter

    UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationPr ...

  8. SpringSecurity自定义注解和处理器

    登录功能 添加一个配置类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Reso ...

  9. Spring-Security自定义登录页&inMemoryAuthentication验证

    Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架.框架下内容比较多,可以做到按照角色权限对请求路径进行限制.今天主要验证自定义登录页,在内存用户存储中进行请求 ...

随机推荐

  1. TestNG进行接口测试,脚本及可维护性框架

    注: 以下内容引自http://blog.csdn.net/u010321474/article/details/49977969 TestNG进行接口测试,脚本及可维护性框架 原创 2015年11月 ...

  2. 【组合数学】Bzoj2916 [Poi1997]Monochromatic Triangles

    Description 空间中有n个点,任意3个点不共线.每两个点用红线或者蓝线连接,如果一个三角形的三边颜色相同,那么称为同色三角形.给你一组数据,告诉你哪些点间有一条红线,计算同色三角形的总数. ...

  3. [HAOI2008]移动玩具 状压

    发现自己只会打状压了. 233333 不需要考虑是否会被挡,所以直接dp #include<cstdio> #include<cstring> #include<iost ...

  4. aes 128、192、256位,cbc、cfb、ecb、ofb、pcbc加密解密

    AES加解密总共有以下这些 算法/模式/填充 字节加密后数据长度 不满16字节加密后长度 AES/CBC/NoPadding 16 不支持 AES/CBC/PKCS5Padding 32 16 AES ...

  5. hkws摄像头拆机

  6. Postman----request的body中实现数据驱动

    使用场景: 一个接口多次执行,要求body中的某个参数在每次运行时都要填写不同的值,根据不同值的传入,返回不同的结果 参考示例:通过接口测试创建5条待办名称不一样的待办事项.名称格式不作要求 解决方法 ...

  7. 用原生JS从零到一实现Redux架构

    前言 最近利用业余时间阅读了胡子大哈写的<React小书>,从基本的原理讲解了React,Redux等等受益颇丰.眼过千遍不如手写一遍,跟着作者的思路以及参考代码可以实现基本的Demo,下 ...

  8. Docker 容器

    1.  容器 在过去,如果要开始编写Python应用程序,首先要做的就是在机器上安装Python运行时环境.但是,这就造成了这样一种情况:你的机器上的环境需要完美,以便你的应用程序能够按预期运行,而且 ...

  9. 神奇的Scala Macro之旅(二)- 一个实例

    优化的日志方式 package macros_demo import scala.language.experimental.macrosimport org.slf4j._import scala. ...

  10. 半小时入门Thrift

    当一个单体软件产品体量达到一定程序,都会想到拆分为不同的模块(当今这么流行微服务).拆分后一定会存在进程之间的交互(简称:PRC),那么thrift就是facebook推出一款开源的rpc框架,且还跨 ...