AuthenticationProvider

  • 默认实现:DaoAuthenticationProvider

授权方式提供者,判断授权有效性,用户有效性,在判断用户是否有效性,它依赖于UserDetailsService实例,开发人员可以自定义UserDetailsService的实现。

  1. additionalAuthenticationChecks方法校验密码有效性
  2. retrieveUser方法根据用户名获取用户
  3. createSuccessAuthentication完成授权持久化
@Component

@Slf4j

public class LindAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {

  @Autowired

  UserDetailsService userDetailsService;

  @Autowired

  private PasswordEncoder passwordEncoder;

  /**

   * 校验密码有效性.

   *

   * @param userDetails    .

   * @param authentication .

   * @throws AuthenticationException .

   */

  @Override

  protected void additionalAuthenticationChecks(

      UserDetails userDetails, UsernamePasswordAuthenticationToken authentication)

      throws AuthenticationException {

    if (authentication.getCredentials() == null) {

      logger.debug("Authentication failed: no credentials provided");

      throw new BadCredentialsException(messages.getMessage(

          "AbstractUserDetailsAuthenticationProvider.badCredentials",

          "Bad credentials"));

    }

    String presentedPassword = authentication.getCredentials().toString();

    if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {

      logger.debug("Authentication failed: password does not match stored value");

      throw new BadCredentialsException(messages.getMessage(

          "AbstractUserDetailsAuthenticationProvider.badCredentials",

          "Bad credentials"));

    }

  }

  /**

   * 获取用户.

   *

   * @param username       .

   * @param authentication .

   * @return

   * @throws AuthenticationException .

   */

  @Override

  protected UserDetails retrieveUser(

      String username, UsernamePasswordAuthenticationToken authentication)

      throws AuthenticationException {

    UserDetails loadedUser = userDetailsService.loadUserByUsername(username);

    if (loadedUser == null) {

      throw new InternalAuthenticationServiceException(

          "UserDetailsService returned null, which is an interface contract violation");

    }

    return loadedUser;

  }

}

 /**

   * 授权持久化.

   */

  @Override

  protected Authentication createSuccessAuthentication(Object principal,

                                                       Authentication authentication, UserDetails user) {

    return super.createSuccessAuthentication(principal, authentication, user);

  }

AuthenticationFilter

  • 默认实现:UsernamePasswordAuthenticationFilter

授权过滤器,你可以自定义它,并把它添加到默认过滤器前或者后去执行,主要用来到授权的持久化,它可以从请求上下文中获取你的user,password等信息,然后去判断它是否符合规则,最后通过authenticate方法去授权。默认的UsernamePasswordAuthenticationFilter过滤器,主要判断请求方式是否为post,并且对username和password进行了默认值的处理,总之,在这个过滤器里不会涉及到具体业务。

public class LindUserNameAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

  public LindUserNameAuthenticationFilter() {

    super(new AntPathRequestMatcher("/login", "GET"));

  }

  @Override

  public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {

    String username = request.getParameter("username");

    String password = request.getParameter("password");

    if (username == null) {

      throw new InternalAuthenticationServiceException("Failed to get the username");

    }

    if (password == null) {

      throw new InternalAuthenticationServiceException("Failed to get the password");

    }

    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(

        username, password);

    authRequest.setDetails(authenticationDetailsSource.buildDetails(request));

    return this.getAuthenticationManager().authenticate(authRequest);

  }

}

UserDetialsService

这是一个接口,有默认的实现方式,一般的,我们需要根据业务去重新实现它,比如从你的用户表获取当前授权的用户信息,你需要在UserDetialsService实现类里对用户表进行读取操作;它一般会在AuthenticationProvider里的retrieveUser方法中被使用,这就像面向对象里的模板方法模式一样,springSecurity把检验的步骤设计好了,咱们开发只要根据规则去实现具体细节就好。

@Component

public class MyUserDetailService implements UserDetailsService {

  @Autowired

  private PasswordEncoder passwordEncoder;

  @Override

  public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {

    /*

      设置用户和角色需要注意:

      1. commaSeparatedStringToAuthorityList放入角色时需要加前缀ROLE_,而在controller使用时不需要加ROLE_前缀

      2. 放入的是权限时,不能加ROLE_前缀,hasAuthority与放入的权限名称对应即可

    */

    List<UserDetails> userDetailsList = new ArrayList<>();

    userDetailsList.add(User.builder()

        .username("admin")

        .password(passwordEncoder.encode("123"))

        .authorities(AuthorityUtils.commaSeparatedStringToAuthorityList("read,ROLE_ADMIN")).build());

    userDetailsList.add(User.builder()

        .username("user")

        .password(passwordEncoder.encode("123"))

        .authorities(AuthorityUtils.commaSeparatedStringToAuthorityList("read,ROLE_USER"))

        .build());

    //获取用户

    return userDetailsList.stream()

        .filter(o -> o.getUsername().equals(name))

        .findFirst()

        .orElse(null);

  }

}

在WebSecurityConfig里开启它

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  @Autowired

  LindAuthenticationSuccessHandler lindAuthenticationSuccessHandler;

  @Autowired

  LindAuthenticationFailHandler lindAuthenticationFailHandler;

  @Autowired

  LindAuthenticationProvider lindAuthenticationProvider;

  @Override

  protected void configure(HttpSecurity http) throws Exception {

    http

        .authorizeRequests()

        .antMatchers("/", "/index").permitAll()

        .antMatchers("/admin/**").hasRole("ADMIN")//按路由授权

        .anyRequest().authenticated()

        .and()

        .formLogin()

        .loginPage("/login")

        .defaultSuccessUrl("/hello")//默认登录成功后跳转的页面

        .successHandler(lindAuthenticationSuccessHandler)

        .failureHandler(lindAuthenticationFailHandler)

        .permitAll()

        .and()

        .addFilterAt(lindAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class).authorizeRequests().and()

        .logout()

        .permitAll();

  }

  /**

   * 自定义的Filter.

   */

  @Bean

  LindUserNameAuthenticationFilter lindAuthenticationFilter() {

    LindUserNameAuthenticationFilter phoneAuthenticationFilter = new LindUserNameAuthenticationFilter();

    ProviderManager providerManager =

        new ProviderManager(Collections.singletonList(lindAuthenticationProvider));

    phoneAuthenticationFilter.setAuthenticationManager(providerManager);

    phoneAuthenticationFilter.setAuthenticationSuccessHandler(lindAuthenticationSuccessHandler);

    phoneAuthenticationFilter.setAuthenticationFailureHandler(lindAuthenticationFailHandler);

    return phoneAuthenticationFilter;

  }

  /**

   * 密码生成策略.

   *

   * @return

   */

  @Bean

  public PasswordEncoder passwordEncoder() {

    return new BCryptPasswordEncoder();

  }

}

认证时执行的顺序

  1. LindUserNameAuthenticationFilter
  2. LindAuthenticationProvider.retrieveUser
  3. LindAuthenticationProvider.additionalAuthenticationChecks
  4. UserDetailsService
  5. Authentication

springSecurity源码:https://github.com/spring-projects/spring-security

SpringSecurity自定义AuthenticationProvider和AuthenticationFilter的更多相关文章

  1. SpringSecurity 自定义用户 角色 资源权限控制

    SpringSecurity 自定义用户 角色 资源权限控制 package com.joyen.learning.security; import java.sql.ResultSet; impor ...

  2. SpringSecurity 自定义表单登录

    SpringSecurity 自定义表单登录 本篇主要讲解 在SpringSecurity中 如何 自定义表单登录 , SpringSecurity默认提供了一个表单登录,但是实际项目里肯定无法使用的 ...

  3. SpringSecurity自定义登陆页面和跳转页面

    如果我们不用form-login说明登陆界面,springsecurity框架将自动为我们生成登陆界面 现在我们不想用自动生成的登陆界面了,而想使用自定义的漂亮的登陆界面 则需要使用<secur ...

  4. springSecurity自定义认证配置

    上一篇讲了springSecurity的简单入门的小demo,认证用户是在xml中写死的.今天来说一下自定义认证,读取数据库来实现认证.当然,也是非常简单的,因为仅仅是读取数据库,权限是写死的,因为相 ...

  5. SpringSecurity自定义过滤器

    applicationContext-security.xml: <beans:beans xmlns="http://www.springframework.org/schema/s ...

  6. Spring-Security 自定义Filter完成验证码校验

    Spring-Security的功能主要是由一堆Filter构成过滤器链来实现,每个Filter都会完成自己的一部分工作.我今天要做的是对UsernamePasswordAuthenticationF ...

  7. SpringSecurity自定义UsernamePasswordAuthenticationFilter

    UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationPr ...

  8. SpringSecurity自定义注解和处理器

    登录功能 添加一个配置类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Reso ...

  9. Spring-Security自定义登录页&inMemoryAuthentication验证

    Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架.框架下内容比较多,可以做到按照角色权限对请求路径进行限制.今天主要验证自定义登录页,在内存用户存储中进行请求 ...

随机推荐

  1. 理解、学习与使用 Java 中的 Optional

    从 Java 8 引入的一个很有趣的特性是 Optional  类.Optional 类主要解决的问题是臭名昭著的空指针异常(NullPointerException) -- 每个 Java 程序员都 ...

  2. 复写的Object常用方法

    复写的Object常用方法 在Java中Object类是所有类的父类,其中有几个需要override的方法比如equals,hashCode和toString等方法.每次写这几个方法都要做很多重复性的 ...

  3. 获得指定数据库中指定块表中所有实体的id

    该函数也使用外部指定图纸中的数据库中的块 Int getIdsByDwgBlkName(AcDbDatabase *pDwg, CString strBlkName, AcDbObjectIdArra ...

  4. [NOIP2014]飞扬的小鸟 D1 T3 loj2500 洛谷P1941

    分析: 这是一个DP,没什么好说的,细节很烦人. DP[i][j]表示到第i个位置,高度为j点最少的次数. 转移: 当j=m时 k属于[m-h,m]都可以向DP[i][j]转移,即dp[i][j]=m ...

  5. IOS-QQ第三方登录

    iOS QQ第三方登实现   我们经常会见到应用登陆的时候会有QQ,微信,微博等的第三方登陆 如图: 下面我们主要讲一下qq的第三方登陆如何实现 首先,到官网注册: http://wiki.conne ...

  6. (2)STM32使用HAL库操作外部中断——理论讲解

    1.中断触发过程 对主程序压栈--把中断服务函数的地址写入到程序计数器(PC)--执行中断服务函数 2.中断向量表 中断服务函数的地址在STM32的手册上的中断向量表中(如下是一部分): 如上表所示, ...

  7. Android--APP性能测试工具GT的使用总结

    GT(随身调)是APP的随身调测平台,它是直接运行在手机上的"集成调测环境"(IDTE, Integrated Debug Environment).利用GT,仅凭一部手机,无需连 ...

  8. SpringBoot进阶教程(三十)整合Redis之Sentinel哨兵模式

    Redis-Sentinel是官方推荐的高可用解决方案,当redis在做master-slave的高可用方案时,假如master宕机了,redis本身(以及其很多客户端)都没有实现自动进行主备切换,而 ...

  9. 原生js实现 五子棋

    先初始化棋盘 HTML: <!--棋盘--> <div class="grid"></div> CSS: /*棋盘*/ .grid{ posit ...

  10. Android版数据结构与算法(五):LinkedHashMap核心源码彻底分析

    版权声明:本文出自汪磊的博客,未经作者允许禁止转载. 上一篇基于哈希表实现HashMap核心源码彻底分析 分析了HashMap的源码,主要分析了扩容机制,如果感兴趣的可以去看看,扩容机制那几行最难懂的 ...