spring security 认证流程:
1. 当登录时,请求会被UsernamePasswordAuthenticationFilter 拦截, 获取用户名和密码,封装成UsernamePasswordAuthenticationToken,并交给AuthenticationManager(认证核心接口)去认证;
2. ProviderManager 是AuthenticationManager接口的实现类,也就是验证UsernamePasswordAuthenticationToken时交给它来处理。
3. ProviderManager 的authenticate(authentication) 方法,是验证UsernamePasswordAuthenticationToken的核心方法;从源码可以得知:ProviderManager 有 一个属性为:List providers; 从名称就可以看出,是一个认证器的集合;所以authenticate(authentication)方法的主要逻辑就是遍历providers, support(UsernamePasswordAuthenticationToken)的AuthenticationProvider 会去做相应的认证;
AuthenticationProvider 认证用户三步走原则:
(1)获取用户信息
(2)检查用户“是否被禁用”,“是否被锁定”,“是否过期”
(3)校验用户名和密码
4. 通过验证返回Authentication
5. 通过验证返回Authentication
6. 通过验证返回Authentication到 AbstractAuthenticationProcessingFilter
7. successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) 发布登录成功;
主要逻辑为:
(1)Authentication保存到SecurityContext中; 源码:SecurityContextHolder.getContext().setAuthentication(authResult);
(2)如果配合记住密码,则会记住密码; 源码:this.rememberMeServices.loginSuccess(request, response, authResult);
(3) 请求之前未登录状态下请求的网址; 源码:this.successHandler.onAuthenticationSuccess(request, response, authResult)
说明:SecurityContextHolder.getContext().setAuthentication(authResult),底层源码是使用new ThreadLocal() 存储的,如果不了解 ThreadLocal,请自行查阅;
spring security 权限校验流程:
1. 第一次请求http://localhost:8088/persons方法时,UsernamePasswordAuthenticationFilter 不会拦截,因为UsernamePasswordAuthenticationFilter 只会拦截/login 且为POST, 但是会被AnonymousAuthenticationFilter拦截,主要做的就是SecurityContextHolder.getContext().setAuthentication(AnonymousAuthenticationToken),具体请看源码;然后会进入到FilterSecurityInterceptor过滤器;FilterSecurityInterceptor 过滤器才是真正控制访问权限的Filter;
2. super.beforeInvocation(fi) 主要逻辑:
1)Authentication authenticated =this.authenticateIfRequired(); 获取token,从SecurityContextHolder.getContext() 获得
2)this.accessDecisionManager.decide(authenticated, object,attributes); ******这个才是重中之重*****作用就是判断是否有访问权限;
3. this.accessDecisionManager.decide(authenticated, object,attributes);会抛出AccessDeniedException |AuthenticationException异常,并被ExceptionTranslationFilter拦截,
如果为AccessDeniedException ,跳转到未授权页面
如果为AuthenticationException,跳转登录页面
4. 由于未登录跳转到登录页
5. 填写用户名和密码再次请求,会走上面的认证流程; 认证流程走完,最终还是会走到FilterSecurityInterceptor 拦截器;然后还是会从 2) 流程开始走,不同的是这回已经登录,所以Authentication authenticated =this.authenticateIfRequired();获取到的是包含用户数据,以及权限的信息;然后还是会走this.accessDecisionManager.decide(authenticated, object,attributes); 不抛出异常则到 第6步骤, 否则还是会从3 步骤开始
6. 访问到/persons 接口,进入到Controller 中;
以上流程图源自:
http://www.spring4all.com/article/439
http://www.spring4all.com/article/458
关键的类和接口介绍:
AbstractAuthenticationProcessingFilter 类:在不同maven包下的展现形式:
spring-boot-starter-security包下:
spring-security-oauth2包下:
可以看出多了一个OAuth2ClientAuthenticationProcessingFilter和ClientCredentialsTokenEndpointFilter;
当使用Oauth2认证时,主要走的两个Filter;
AuthenticationManager 接口:认证时主要是PrividerManager 实现类去做认证;
PrividerManager 实现类中主要的方法和属性介绍:
认证器集合:providers
authenticate 方法:
1. 遍历认证器.
2.判断认证器是否支持token的认证
3.如果支持,进行具体的认证逻辑
AuthenticationProvider 接口:
AbstractUserDetailsAuthenticationProvider 抽象类:
authenticate 方法:
子类实现retrieveUser 方法,通过不同的方式获取UserDetails;
DaoAuthenticationProvider 实现类(去实现retrieveUser ):
retrieveUser方法:
通过UserDetailsService 对象获取UserDetails对象;
UserDetailsService 属性:
UserDetailsService 接口:
spring-boot-starter-security包下:
spring-security-oauth2包下:
可以看出在spring-security-oauth2包下多一个ClientDetailsUserDetailsService类,这个也就是spring security实现Oauth2的主要认证类;
