詳解SpringSecurity中的Authentication信息與登錄流程

更新時間：2020年09月09日 10:06:31 作者：天喬巴夏丶

這篇文章主要介紹了SpringSecurity中的Authentication信息與登錄流程,本文給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下

Authentication

使用SpringSecurity可以在任何地方注入Authentication進而獲取到當前登錄的用戶信息，可謂十分強大。

在Authenticaiton的繼承體系中，實現(xiàn)類UsernamePasswordAuthenticationToken 算是比較常見的一個了，在這個類中存在兩個屬性：principal和credentials，其實分別代表著用戶和密碼?！井斎黄渌膶傩源嬖谟谄涓割愔?，如authorities和details?！?/p>

我們需要對這個對象有一個基本地認識，它保存了用戶的基本信息。用戶在登錄的時候，進行了一系列的操作，將信息存與這個對象中，后續(xù)我們使用的時候，就可以輕松地獲取這些信息了。

那么，用戶信息如何存，又是如何取的呢？繼續(xù)往下看吧。

登錄流程

一、與認證相關的UsernamePasswordAuthenticationFilter

通過Servlet中的Filter技術進行實現(xiàn)，通過一系列內(nèi)置的或自定義的安全Filter，實現(xiàn)接口的認證與授權。

比如：UsernamePasswordAuthenticationFilter

public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}
		//獲取用戶名和密碼
		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}
		username = username.trim();
		//構造UsernamePasswordAuthenticationToken對象
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// 為details屬性賦值
		setDetails(request, authRequest);
		// 調(diào)用authenticate方法進行校驗
		return this.getAuthenticationManager().authenticate(authRequest);
	}

獲取用戶名和密碼

從request中提取參數(shù)，這也是SpringSecurity默認的表單登錄需要通過key/value形式傳遞參數(shù)的原因。

@Nullable
	protected String obtainPassword(HttpServletRequest request) {
		return request.getParameter(passwordParameter);
	}
	@Nullable
	protected String obtainUsername(HttpServletRequest request) {
		return request.getParameter(usernameParameter);
	}

構造UsernamePasswordAuthenticationToken對象

傳入獲取到的用戶名和密碼，而用戶名對應UPAT對象中的principal屬性，而密碼對應credentials屬性。

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
 username, password);

//UsernamePasswordAuthenticationToken 的構造器
public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
 super(null);
 this.principal = principal;
 this.credentials = credentials;
 setAuthenticated(false);
}

為details屬性賦值

// Allow subclasses to set the "details" property 允許子類去設置這個屬性
setDetails(request, authRequest);

protected void setDetails(HttpServletRequest request,
    UsernamePasswordAuthenticationToken authRequest) {
 authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
}

//AbstractAuthenticationToken 是UsernamePasswordAuthenticationToken的父類
public void setDetails(Object details) {
 this.details = details;
}

details屬性存在于父類之中，主要描述兩個信息，一個是remoteAddress 和sessionId。

	public WebAuthenticationDetails(HttpServletRequest request) {
		this.remoteAddress = request.getRemoteAddr();

		HttpSession session = request.getSession(false);
		this.sessionId = (session != null) ? session.getId() : null;
	}

調(diào)用authenticate方法進行校驗

this.getAuthenticationManager().authenticate(authRequest)

二、ProviderManager的校驗邏輯

public Authentication authenticate(Authentication authentication)
 throws AuthenticationException {
 Class<? extends Authentication> toTest = authentication.getClass();
 AuthenticationException lastException = null;
 AuthenticationException parentException = null;
 Authentication result = null;
 Authentication parentResult = null;
 boolean debug = logger.isDebugEnabled();

 for (AuthenticationProvider provider : getProviders()) {
 //獲取Class，判斷當前provider是否支持該authentication
 if (!provider.supports(toTest)) {
  continue;
 }
 //如果支持，則調(diào)用provider的authenticate方法開始校驗
 result = provider.authenticate(authentication);
 
		//將舊的token的details屬性拷貝到新的token中。
 if (result != null) {
  copyDetails(authentication, result);
  break;
 }
 }
 //如果上一步的結果為null，調(diào)用provider的parent的authenticate方法繼續(xù)校驗。
 if (result == null && parent != null) {
 result = parentResult = parent.authenticate(authentication);
 }

 if (result != null) {
 if (eraseCredentialsAfterAuthentication
  && (result instanceof CredentialsContainer)) {
  //調(diào)用eraseCredentials方法擦除憑證信息
  ((CredentialsContainer) result).eraseCredentials();
 }
 if (parentResult == null) {
  //publishAuthenticationSuccess將登錄成功的事件進行廣播。
  eventPublisher.publishAuthenticationSuccess(result);
 }
 return result;
 }
}

獲取Class，判斷當前provider是否支持該authentication。

如果支持，則調(diào)用provider的authenticate方法開始校驗，校驗完成之后，返回一個新的Authentication。

將舊的token的details屬性拷貝到新的token中。

如果上一步的結果為null，調(diào)用provider的parent的authenticate方法繼續(xù)校驗。

調(diào)用eraseCredentials方法擦除憑證信息，也就是密碼，具體來說就是讓credentials為空。

publishAuthenticationSuccess將登錄成功的事件進行廣播。

三、AuthenticationProvider的authenticate

public Authentication authenticate(Authentication authentication)
		throws AuthenticationException {
 //從Authenticaiton中提取登錄的用戶名。
	String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
			: authentication.getName();
 //返回登錄對象
	user = retrieveUser(username,(UsernamePasswordAuthenticationToken) authentication);
 //校驗user中的各個賬戶狀態(tài)屬性是否正常
	preAuthenticationChecks.check(user);
 //密碼比對
	additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken) authentication);
 //密碼比對
	postAuthenticationChecks.check(user);
	Object principalToReturn = user;
 //表示是否強制將Authentication中的principal屬性設置為字符串
	if (forcePrincipalAsString) {
		principalToReturn = user.getUsername();
	}
 //構建新的UsernamePasswordAuthenticationToken
	return createSuccessAuthentication(principalToReturn, authentication, user);
}

從Authenticaiton中提取登錄的用戶名。retrieveUser方法將會調(diào)用loadUserByUsername方法，這里將會返回登錄對象。preAuthenticationChecks.check(user);校驗user中的各個賬戶狀態(tài)屬性是否正常，如賬號是否被禁用，賬戶是否被鎖定，賬戶是否過期等。additionalAuthenticationChecks用于做密碼比對，密碼加密解密校驗就在這里進行。postAuthenticationChecks.check(user);用于密碼比對。forcePrincipalAsString表示是否強制將Authentication中的principal屬性設置為字符串，默認為false，也就是說默認登錄之后獲取的用戶是對象，而不是username。構建新的UsernamePasswordAuthenticationToken。

用戶信息保存

我們來到UsernamePasswordAuthenticationFilter 的父類AbstractAuthenticationProcessingFilter 中，

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
		throws IOException, ServletException {
	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;
	Authentication authResult;
	try {
 //實際觸發(fā)了上面提到的attemptAuthentication方法
		authResult = attemptAuthentication(request, response);
		if (authResult == null) {
			return;
		}
		sessionStrategy.onAuthentication(authResult, request, response);
	}
 //登錄失敗
	catch (InternalAuthenticationServiceException failed) {
		unsuccessfulAuthentication(request, response, failed);
		return;
	}
	catch (AuthenticationException failed) {
		unsuccessfulAuthentication(request, response, failed);
		return;
	}
	if (continueChainBeforeSuccessfulAuthentication) {
		chain.doFilter(request, response);
	}
 //登錄成功
	successfulAuthentication(request, response, chain, authResult);
}

關于登錄成功調(diào)用的方法：

protected void successfulAuthentication(HttpServletRequest request,
		HttpServletResponse response, FilterChain chain, Authentication authResult)
		throws IOException, ServletException {
 //將登陸成功的用戶信息存儲在SecurityContextHolder.getContext()中
	SecurityContextHolder.getContext().setAuthentication(authResult);
	rememberMeServices.loginSuccess(request, response, authResult);
	// Fire event
	if (this.eventPublisher != null) {
		eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
				authResult, this.getClass()));
	}
 //登錄成功的回調(diào)方法
	successHandler.onAuthenticationSuccess(request, response, authResult);
}

我們可以通過SecurityContextHolder.getContext().setAuthentication(authResult);得到兩點結論：

如果我們想要獲取用戶信息，我們只需要調(diào)用SecurityContextHolder.getContext().getAuthentication()即可。
如果我們想要更新用戶信息，我們只需要調(diào)用SecurityContextHolder.getContext().setAuthentication(authResult);即可。

用戶信息的獲取

前面說到，我們可以利用Authenticaiton輕松得到用戶信息，主要有下面幾種方法：

通過上下文獲取。

SecurityContextHolder.getContext().getAuthentication();

直接在Controller注入Authentication。

@GetMapping("/hr/info")
public Hr getCurrentHr(Authentication authentication) {
 return ((Hr) authentication.getPrincipal());
}

為什么多次請求可以獲取同樣的信息

前面已經(jīng)談到，SpringSecurity將登錄用戶信息存入SecurityContextHolder 中，本質上，其實是存在ThreadLocal中，為什么這么說呢？

原因在于，SpringSecurity采用了策略模式，在SecurityContextHolder 中定義了三種不同的策略，而如果我們不配置，默認就是MODE_THREADLOCAL模式。

public static final String MODE_THREADLOCAL = "MODE_THREADLOCAL";
public static final String MODE_INHERITABLETHREADLOCAL = "MODE_INHERITABLETHREADLOCAL";
public static final String MODE_GLOBAL = "MODE_GLOBAL";
public static final String SYSTEM_PROPERTY = "spring.security.strategy";
private static String strategyName = System.getProperty(SYSTEM_PROPERTY);

private static void initialize() {
 if (!StringUtils.hasText(strategyName)) {
 // Set default
 strategyName = MODE_THREADLOCAL;
 }
 if (strategyName.equals(MODE_THREADLOCAL)) {
 strategy = new ThreadLocalSecurityContextHolderStrategy();
 } 
}

private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

了解這個之后，又有一個問題拋出：ThreadLocal能夠保證同一線程的數(shù)據(jù)是一份，那進進出出之后，線程更改，又如何保證登錄的信息是正確的呢。

這里就要說到一個比較重要的過濾器：SecurityContextPersistenceFilter，它的優(yōu)先級很高，僅次于WebAsyncManagerIntegrationFilter。也就是說，在進入后面的過濾器之前，將會先來到這個類的doFilter方法。

public class SecurityContextPersistenceFilter extends GenericFilterBean {
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
 if (request.getAttribute(FILTER_APPLIED) != null) {
			// 確保這個過濾器只應對一個請求
			chain.doFilter(request, response);
			return;
		}
 //分岔路口之后，表示應對多個請求
		HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request,
				response);
 //用戶信息在 session 中保存的 value。
		SecurityContext contextBeforeChainExecution = repo.loadContext(holder);
		try {
  //將當前用戶信息存入上下文
			SecurityContextHolder.setContext(contextBeforeChainExecution);
			chain.doFilter(holder.getRequest(), holder.getResponse());
		}
		finally {
  //收尾工作，獲取SecurityContext
			SecurityContext contextAfterChainExecution = SecurityContextHolder
					.getContext();
  //清空SecurityContext
			SecurityContextHolder.clearContext();
  //重新存進session中
			repo.saveContext(contextAfterChainExecution, holder.getRequest(),
					holder.getResponse());
		}
	}
}

SecurityContextPersistenceFilter 繼承自 GenericFilterBean，而 GenericFilterBean 則是 Filter 的實現(xiàn)，所以 SecurityContextPersistenceFilter 作為一個過濾器，它里邊最重要的方法就是 doFilter 了。
在 doFilter 方法中，它首先會從 repo 中讀取一個 SecurityContext 出來，這里的 repo 實際上就是 HttpSessionSecurityContextRepository，讀取 SecurityContext 的操作會進入到 readSecurityContextFromSession(httpSession) 方法中。
在這里我們看到了讀取的核心方法 Object contextFromSession = httpSession.getAttribute(springSecurityContextKey);，這里的 springSecurityContextKey 對象的值就是 SPRING_SECURITY_CONTEXT，讀取出來的對象最終會被轉為一個 SecurityContext 對象。
SecurityContext 是一個接口，它有一個唯一的實現(xiàn)類 SecurityContextImpl，這個實現(xiàn)類其實就是用戶信息在 session 中保存的 value。
在拿到 SecurityContext 之后，通過 SecurityContextHolder.setContext 方法將這個 SecurityContext 設置到 ThreadLocal 中去，這樣，在當前請求中，Spring Security 的后續(xù)操作，我們都可以直接從 SecurityContextHolder 中獲取到用戶信息了。
接下來，通過 chain.doFilter 讓請求繼續(xù)向下走（這個時候就會進入到 UsernamePasswordAuthenticationFilter 過濾器中了）。
在過濾器鏈走完之后，數(shù)據(jù)響應給前端之后，finally 中還有一步收尾操作，這一步很關鍵。這里從 SecurityContextHolder 中獲取到 SecurityContext，獲取到之后，會把 SecurityContextHolder 清空，然后調(diào)用 repo.saveContext 方法將獲取到的 SecurityContext 存入 session 中。

總結：

每個請求到達服務端的時候，首先從session中找出SecurityContext ，為了本次請求之后都能夠使用，設置到SecurityContextHolder 中。

當請求離開的時候，SecurityContextHolder 會被清空，且SecurityContext 會被放回session中，方便下一個請求來獲取。

資源放行的兩種方式

用戶登錄的流程只有走過濾器鏈，才能夠將信息存入session中，因此我們配置登錄請求的時候需要使用configure(HttpSecurity http)，因為這個配置會走過濾器鏈。

http.authorizeRequests()
 .antMatchers("/hello").permitAll()
 .anyRequest().authenticated()

而 configure(WebSecurity web)不會走過濾器鏈，適用于靜態(tài)資源的放行。

@Override
public void configure(WebSecurity web) throws Exception {
 	web.ignoring().antMatchers("/index.html","/img/**","/fonts/**","/favicon.ico");
}

到此這篇關于SpringSecurity中的Authentication信息與登錄流程的文章就介紹到這了,更多相關SpringSecurity登錄流程內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

java中l(wèi)ist使用時需避免的場景總結
眾所周知,Java為開發(fā)者提供了多種集合類的實現(xiàn),其中幾乎所有業(yè)務代碼都需要用到List,但List的錯誤使用也會導致諸多問題,所以本文我們就來看一看幾個錯誤使用List的場景吧
2023-10-10
Java之int和string類型轉換詳解
這篇文章主要介紹了Java之int和string類型轉換詳解,本篇文章通過簡要的案例,講解了該項技術的了解與使用,以下就是詳細內(nèi)容,需要的朋友可以參考下
2021-08-08
SpringBoot okhtt工具類封裝方式
本文介紹了如何在SpringBoot項目中使用OkHttp工具類進行HTTP請求,并提供了一個封裝了GET和POST方法的工具類示例,在Controller中使用該工具類時,需要注意OkHttpClient的靜態(tài)初始化和異常處理
2025-03-03
一篇文章帶你了解JavaSE的數(shù)據(jù)類型
這篇文章主要給大家介紹了關于JavaSE的數(shù)據(jù)類型，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面來一起學習學習吧
2021-09-09
SpringBoot下RabbitMq實現(xiàn)定時任務
這篇文章主要為大家詳細介紹了SpringBoot下RabbitMq實現(xiàn)定時任務，文中示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2019-11-11
java實現(xiàn)學生信息管理系統(tǒng)
這篇文章主要為大家詳細介紹了java實現(xiàn)學生信息管理系統(tǒng)，文中示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2019-07-07
Mybatis mapper.xml使用全局變量的三種實現(xiàn)方法
文章介紹了在Mybatis的Mapper.xml文件中使用全局變量來動態(tài)配置數(shù)據(jù)庫庫名的實現(xiàn)方案,包括使用mybaits自帶全局變量、使用@value和mybatis進行全局變量定義以及使用@value和mybatis進行全局變量定義并減少形參的方案
2025-02-02
MybatisPlus查詢條件為空字符串或null問題及解決
這篇文章主要介紹了MybatisPlus查詢條件為空字符串或null問題及解決方案，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2022-06-06
MyBatis多表查詢和注解開發(fā)案例詳解
這篇文章主要介紹了MyBatis多表查詢和注解開發(fā),本文通過示例代碼給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2023-05-05
解決myBatis中openSession()自動提交的問題
在學習MySQL過程中,發(fā)現(xiàn)插入操作自動提交,問題原因可能是myBatis中的openSession()方法設置了自動提交,或者是MySQL的默認引擎設置為不支持事務的MyISAM,解決辦法包括更改myBatis的提交設置或將MySQL表的引擎改為InnoDB
2024-09-09