1. 前言
歡迎閱讀Spring Security 實戰干貨系列文章,在集成Spring Security安全框架的時候我們最先處理的可能就是根據我們專案的實際需要來定制注冊登錄了,尤其是Http登錄認證,根據以前的相關文章介紹,Http登錄認證由過濾器UsernamePasswordAuthenticationFilter 進行處理,我們只有把這個過濾器搞清楚才能做一些定制化,今天我們就簡單分析它的原始碼和作業流程,
2. UsernamePasswordAuthenticationFilter 原始碼分析
UsernamePasswordAuthenticationFilter 繼承于AbstractAuthenticationProcessingFilter(另文分析),它的作用是攔截登錄請求并獲取賬號和密碼,然后把賬號密碼封裝到認證憑據UsernamePasswordAuthenticationToken中,然后把憑據交給特定配置的AuthenticationManager去作認證,原始碼分析如下:
public class UsernamePasswordAuthenticationFilter extends
AbstractAuthenticationProcessingFilter {
// 默認取賬戶名、密碼的key
public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
// 可以通過對應的set方法修改
private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
// 默認只支持 POST 請求
private boolean postOnly = true;
// 初始化一個用戶密碼 認證過濾器 默認的登錄uri 是 /login 請求方式是POST
public UsernamePasswordAuthenticationFilter() {
super(new AntPathRequestMatcher("/login", "POST"));
}
// 實作其父類 AbstractAuthenticationProcessingFilter 提供的鉤子方法 用去嘗試認證
public Authentication attemptAuthentication(HttpServletRequest request,
HttpServletResponse response) throws AuthenticationException {
// 判斷請求方式是否是POST
if (postOnly && !request.getMethod().equals("POST")) {
throw new AuthenticationServiceException(
"Authentication method not supported: " + request.getMethod());
}
// 先去 HttpServletRequest 物件中獲取賬號名、密碼
String username = obtainUsername(request);
String password = obtainPassword(request);
if (username == null) {
username = "";
}
if (password == null) {
password = "";
}
username = username.trim();
// 然后把賬號名、密碼封裝到 一個認證Token物件中,這是就是一個通行證,但是這時的狀態時不可信的,一旦通過認證就變為可信的
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
username, password);
// 會將 HttpServletRequest 中的一些細節 request.getRemoteAddr() request.getSession 存入的到Token中
setDetails(request, authRequest);
// 然后 使用 父類中的 AuthenticationManager 對Token 進行認證
return this.getAuthenticationManager().authenticate(authRequest);
}
// 獲取密碼 很重要 如果你想改變獲取密碼的方式要么在此處重寫,要么通過自定義一個前置的過濾器保證能此處能get到
@Nullable
protected String obtainPassword(HttpServletRequest request) {
return request.getParameter(passwordParameter);
}
// 獲取賬戶很重要 如果你想改變獲取密碼的方式要么在此處重寫,要么通過自定義一個前置的過濾器保證能此處能get到
@Nullable
protected String obtainUsername(HttpServletRequest request) {
return request.getParameter(usernameParameter);
}
// 參見上面對應的說明為憑據設定一些請求細節
protected void setDetails(HttpServletRequest request,
UsernamePasswordAuthenticationToken authRequest) {
authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
}
// 設定賬戶引數的key
public void setUsernameParameter(String usernameParameter) {
Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
this.usernameParameter = usernameParameter;
}
// 設定密碼引數的key
public void setPasswordParameter(String passwordParameter) {
Assert.hasText(passwordParameter, "Password parameter must not be empty or null");
this.passwordParameter = passwordParameter;
}
// 認證的請求方式是只支持POST請求
public void setPostOnly(boolean postOnly) {
this.postOnly = postOnly;
}
public final String getUsernameParameter() {
return usernameParameter;
}
public final String getPasswordParameter() {
return passwordParameter;
}
}
為了加強對流程的理解,我特意畫了一張圖來對這個流程進行清晰的說明:
3. 我們可以定制什么
根據上面的流程,我們理解了UsernamePasswordAuthenticationFilter作業流程后可以做這些事情:
-
定制我們的登錄請求URI和請求方式,
-
登錄請求引數的格式定制化,比如可以使用JSON格式提交甚至幾種并存,
-
如何將用戶名和密碼封裝入憑據
UsernamePasswordAuthenticationToken,定制業務場景需要的特殊憑據,
4. 我們會有什么疑問
AuthenticationManager從哪兒來,它又是什么,它是如何對憑據進行認證的,認證成功的后續細節是什么,認證失敗的后續細節是什么,不要走開,持續關注:碼農小胖哥 為你揭曉這個答案,
關注公眾號:Felordcn 獲取更多資訊
個人博客:https://felord.cn
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/134851.html
標籤:Java
上一篇:深入探究JVM之垃圾回收器
下一篇:面向物件(類與物件)