聊聊SpringSecurity认证流程和授权流程
聊聊SpringSecurity认证流程和授权流程
认证流程
我们先聊一下SpringSecurity的认证流程
首先是AbstractAuthenticationProcessingFilter的doFilter()方法
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
HttpServletResponse response = (HttpServletResponse) res;
if (!requiresAuthentication(request, response)) {
chain.doFilter(request, response);
return;
}
Authentication authResult;
try {
authResult = attemptAuthentication(request, response);
if (authResult == null) {
return;
}
sessionStrategy.onAuthentication(authResult, request, response);
}
catch (InternalAuthenticationServiceException failed) {
logger.error(
"An internal error occurred while trying to authenticate the user.",
failed);
unsuccessfulAuthentication(request, response, failed);
return;
}
catch (AuthenticationException failed) {
// Authentication failed
unsuccessfulAuthentication(request, response, failed);
return;
}
// Authentication success
if (continueChainBeforeSuccessfulAuthentication) {
chain.doFilter(request, response);
}
successfulAuthentication(request, response, chain, authResult);
}
attemptAuthentication()
方法中调用抽象方法attemptAuthentication()获取认证信息,实现类是UsernamePasswordAuthenticationFilter,它的attemptAuthentication()方法:
- 获取用户和密码
- 创建UsernamePasswordAuthenticationToken对象,认证结果暂时设置为false
- 调用getAuthenticationManager()方法获取认证管理器ProviderManager
- 调用authenticate()方法
ProviderManager的authenticate()方法中获取所有的AuthenticationProvider实例,遍历看哪个,最终找到AbstractUserDetailsAuthenticationProvider的supports()方法,发现支持UsernamePasswordAuthenticationToken,发现支持后调用AbstractUserDetailsAuthenticationProvider的authenticate()方法,方法中根据用户名查找缓存有没有,没有的话调用retrieveUser()方法,方法中调用
this.getUserDetailsService().loadUserByUsername(username);也就是实现UserDetailsService接口的自定义类loadUserByUsername()方法,获取用户信息和权限信息封装到UserDetails中并返回
继续看AbstractUserDetailsAuthenticationProvider的authenticate()方法,获取完UserDetails信息后进行预检查,看一下用户是否被冻结等等,然后进入DaoAuthenticationProvider的additionalAuthenticationChecks(),这个方法里进行密码的比对,看数据库的密码和表单密码是否一致,默认比对逻辑是BCryptPasswordEncoder的matches()方法完成的
然后是AbstractUserDetailsAuthenticationProvider的postAuthenticationChecks.check(user);进行后置检查,检查账户是否过期等,
然后调用createSuccessAuthentication()方法,创建UsernamePasswordAuthenticationToken对象,构造方法中设置authenticated为true,表示已经通过认证,返回UsernamePasswordAuthenticationToken对象
至此attemptAuthentication()
successfulAuthentication()
AbstractAuthenticationProcessingFilter的successfulAuthentication()方法中把认证信息写入SecurityContextHolder.getContext()中,然后调用AuthenticationSuccessHandler的onAuthenticationSuccess方法,我们可以实现AuthenticationSuccessHandler接口自定义认证成功的处理类
unsuccessfulAuthentication()
失败方法是unsuccessfulAuthentication(),方法中清空SecurityContextHolder保存的信息,调用AuthenticationFailureHandler的onAuthenticationFailure(),我们同样可以实现AuthenticationFailureHandler接口自定义认证失败处理类
授权流程
认证涉及到的过滤器为FilterSecurityInterceptor
-
调用invoke方法,
-
进入AbstractSecurityInterceptor的beforeInvocation()方法:
通过obtainSecurityMetadataSource()获取系统中的权限的配置
-
进入authenticateIfRequired()方法
获取Authentication信息,这里面有用户的权限列表,并返回
-
得到认证信息后调用AccessDecisionManager决策管理器的decide()方法
方法中获取投票者进行投票
如果投票不通过的话会抛出AccessDeniedException异常,被ExceptionTranslationFilter处理
-
-
总结
我们主要讲了一下SpringSecurity的表单认证流程和授权流程,主要是AbstractAuthenticationProcessingFilter过滤器的作用,我们对AbstractAuthenticationProcessingFilter进行代码分析,涉及过滤器UsernamePasswordAuthenticationFilter,并对其中的方法进行了分析,以及认证成功和认证失败的处理方法successfulAuthentication()和unsuccessfulAuthentication()进行了分析。授权流程主要涉及的是FilterSecurityInterceptor类,通过投票决策器进行投票来判断是否有相应的权限
