Spring Security 實戰乾貨:圖解用戶是如何登錄的

来源:https://www.cnblogs.com/felordcn/archive/2020/07/25/13377831.html
-Advertisement-
Play Games

1. 前言 歡迎閱讀Spring Security 實戰乾貨系列文章,在集成Spring Security安全框架的時候我們最先處理的可能就是根據我們項目的實際需要來定製註冊登錄了,尤其是Http登錄認證。根據以前的相關文章介紹,Http登錄認證由過濾器UsernamePasswordAuthent ...


1. 前言

歡迎閱讀Spring Security 實戰乾貨系列文章,在集成Spring Security安全框架的時候我們最先處理的可能就是根據我們項目的實際需要來定製註冊登錄了,尤其是Http登錄認證。根據以前的相關文章介紹,Http登錄認證由過濾器UsernamePasswordAuthenticationFilter 進行處理。我們只有把這個過濾器搞清楚才能做一些定製化。今天我們就簡單分析它的源碼和工作流程。

2. UsernamePasswordAuthenticationFilter 源碼分析

UsernamePasswordAuthenticationFilter 繼承於AbstractAuthenticationProcessingFilter(另文分析)。它的作用是攔截登錄請求並獲取賬號和密碼,然後把賬號密碼封裝到認證憑據UsernamePasswordAuthenticationToken中,然後把憑據交給特定配置的AuthenticationManager去作認證。源碼分析如下:

public class UsernamePasswordAuthenticationFilter extends
      AbstractAuthenticationProcessingFilter {
    // 預設取賬戶名、密碼的key
	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
    // 可以通過對應的set方法修改
	private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
    // 預設只支持 POST 請求
	private boolean postOnly = true;
    
   //  初始化一個用戶密碼 認證過濾器  預設的登錄uri 是 /login 請求方式是POST
   public UsernamePasswordAuthenticationFilter() {
      super(new AntPathRequestMatcher("/login", "POST"));
   }

    // 實現其父類 AbstractAuthenticationProcessingFilter 提供的鉤子方法 用去嘗試認證
   public Authentication attemptAuthentication(HttpServletRequest request,
         HttpServletResponse response) throws AuthenticationException {
       // 判斷請求方式是否是POST
      if (postOnly && !request.getMethod().equals("POST")) {
         throw new AuthenticationServiceException(
               "Authentication method not supported: " + request.getMethod());
      }
      
       // 先去 HttpServletRequest 對象中獲取賬號名、密碼
      String username = obtainUsername(request);
      String password = obtainPassword(request);

      if (username == null) {
         username = "";
      }

      if (password == null) {
         password = "";
      }

      username = username.trim();

       // 然後把賬號名、密碼封裝到 一個認證Token對象中,這是就是一個通行證,但是這時的狀態時不可信的,一旦通過認證就變為可信的
      UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
            username, password);

      // 會將 HttpServletRequest 中的一些細節 request.getRemoteAddr()   request.getSession 存入的到Token中
      setDetails(request, authRequest);

       // 然後 使用 父類中的 AuthenticationManager 對Token 進行認證 
      return this.getAuthenticationManager().authenticate(authRequest);
   }
   // 獲取密碼 很重要 如果你想改變獲取密碼的方式要麼在此處重寫,要麼通過自定義一個前置的過濾器保證能此處能get到
   @Nullable
   protected String obtainPassword(HttpServletRequest request) {
      return request.getParameter(passwordParameter);
   }

      // 獲取賬戶很重要 如果你想改變獲取密碼的方式要麼在此處重寫,要麼通過自定義一個前置的過濾器保證能此處能get到
   @Nullable
   protected String obtainUsername(HttpServletRequest request) {
      return request.getParameter(usernameParameter);
   }

   // 參見上面對應的說明為憑據設置一些請求細節
   protected void setDetails(HttpServletRequest request,
         UsernamePasswordAuthenticationToken authRequest) {
      authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
   }

   // 設置賬戶參數的key
   public void setUsernameParameter(String usernameParameter) {
      Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
      this.usernameParameter = usernameParameter;
   }

   // 設置密碼參數的key
   public void setPasswordParameter(String passwordParameter) {
      Assert.hasText(passwordParameter, "Password parameter must not be empty or null");
      this.passwordParameter = passwordParameter;
   }

   // 認證的請求方式是只支持POST請求
   public void setPostOnly(boolean postOnly) {
      this.postOnly = postOnly;
   }

   public final String getUsernameParameter() {
      return usernameParameter;
   }

   public final String getPasswordParameter() {
      return passwordParameter;
   }
}

為了加強對流程的理解,我特意畫了一張圖來對這個流程進行清晰的說明:

UsernamePasswordAuthenticationFilter工作流程

3. 我們可以定製什麼

根據上面的流程,我們理解了UsernamePasswordAuthenticationFilter工作流程後可以做這些事情:

  • 定製我們的登錄請求URI和請求方式。

  • 登錄請求參數的格式定製化,比如可以使用JSON格式提交甚至幾種並存。

  • 如何將用戶名和密碼封裝入憑據UsernamePasswordAuthenticationToken,定製業務場景需要的特殊憑據。

4. 我們會有什麼疑問

AuthenticationManager從哪兒來,它又是什麼,它是如何對憑據進行認證的,認證成功的後續細節是什麼,認證失敗的後續細節是什麼。不要走開,持續關註:碼農小胖哥 為你揭曉這個答案。

關註公眾號:Felordcn 獲取更多資訊

個人博客:https://felord.cn


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 一、XML簡介 1. 什麼是xml? xml 是可擴展的標記性語言 2. xml的作用? 用來保存數據,而且這些數據具有自我描述性 它還可以做為項目或者模塊的配置文件 還可以做為網路傳輸數據的格式(現在 JSON 為主) 二、XML語法 首先創建一個xml文件 <?xml version="1.0" ...
  • 1,下載瀏覽器chrome 2,驅動下載:http://npm.taobao.org/mirrors/chromedriver/ 對應版本下載後放入path from selenium import webdriver from selenium.webdriver.chrome.options i ...
  • Python編程語言簡介 https://www.cnblogs.com/hany-postq473111315/p/12256134.html Python環境搭建及中文編碼 https://www.cnblogs.com/hany-postq473111315/p/12256337.html P ...
  • 前言 貓眼電影是淘寶聯合打造電影分類最全的電影的平臺,能夠第一時間告知用戶,最新的電影上線時間。今天教大家獲取貓眼電影的即將上映的電影詳情。 項目目標 獲取貓眼電影的即將上映的電影詳情。 項目準備 軟體:PyCharm 需要的庫:requests、lxml、random、time 插件:Xpath ...
  • · C|C++|C# 行註釋:// 註釋 塊註釋:/* 註釋 */ · Python 行註釋:# 註釋 塊註釋:''' 註釋 ''' · Java 行註釋:// 註釋 塊註釋:/* 註釋 */ · MATLAB 行註釋:% 註釋 塊註釋:%% 註釋 %% · HTML 塊註釋:<!-- 註釋 --> ...
  • 數據註釋是能夠運用於類或類成員的特點,以指定類之間的聯繫、描述數據怎麼在UI中顯現以及指定驗證規矩。本文評論數據註釋、為什麼數據註釋很有用以及怎麼在.NETCore應用程式中運用它們。 若要運用本文供給的代碼示例,您應該在體系中裝置VisualStudio2019。如果還沒有裝置,能夠在此處下載Vi ...
  • C#(讀作“SeeSharp”)是一種新式編程言語,不僅面向目標,還類型安全。C#源於C言語系列,C、C++、Java和JavaScript程式員很快就可以上手使用。 本教程概述了C#8及更高版別中該言語的首要組件。假如想要經過互動式示例探索言語,請嘗試C#簡介教程。 C#是一種面向目標的言語。不僅 ...
  • Java語言是一種面向的程式設計語言,而面向對象思想是一種程式設計思想。我們參照面向對象思想使用java語言去設計,開發電腦程式。 除去面向對象之外還有一個面向過程。 區別: 面向過程:當要實現一個功能的時候,面向過程,要處理好每一個節點,直至整個過程結束,然後得到結果。 面向對象:當要實現一個功 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...