概述
Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a framework that focuses on providing both authentication and authorization to Java applications. Like all Spring projects, the real power of Spring Security is found in how easily it can be extended to meet custom requirements
[
](https://github.com/spring-projects/spring-security)
官方地址: https://spring.io/projects/spring-security
Github:https://github.com/spring-projects/spring-security
架构
maven
<!-- 用于开发 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><!-- 用于测试 --><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-test</artifactId><scope>test</scope></dependency>
核心组件
- SecurityContext:上下文对象,Authentication对象会放在里面。
- SecurityContextHolder:用于拿到上下文对象的静态工具类。
- Authentication:认证接口,定义了认证对象的数据形式。
- AuthenticationManager:用于校验Authentication,返回一个认证完成后的Authentication对象。
- 先是一个请求带着身份信息进来
2. 经过AuthenticationManager的认证,
3. 再通过SecurityContextHolder获取SecurityContext,
4. 最后将认证后的信息放入到SecurityContext
SecurityContext
上下文对象,认证后的数据就放在这里面,接口定义如下:
public interface SecurityContext extends Serializable {// 获取Authentication对象Authentication getAuthentication();// 放入Authentication对象void setAuthentication(Authentication authentication);}
SecurityContextHolder
public class SecurityContextHolder {public static void clearContext() {strategy.clearContext();}public static SecurityContext getContext() {return strategy.getContext();}public static void setContext(SecurityContext context) {strategy.setContext(context);}}
可以说是SecurityContext的工具类,用于get or set or clearSecurityContext,默认会把数据都存储到当前线程中。
Authentication
代码
public interface Authentication extends Principal, Serializable {Collection<? extends GrantedAuthority> getAuthorities();Object getCredentials();Object getDetails();Object getPrincipal();boolean isAuthenticated();void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;}
- getAuthorities: 获取用户权限,一般情况下获取到的是用户的角色信息。
- getCredentials: 获取证明用户认证的信息,通常情况下获取到的是密码等信息。
- getDetails: 获取用户的额外信息,(这部分信息可以是我们的用户表中的信息)。
- getPrincipal: 获取用户身份信息,在未认证的情况下获取到的是用户名,在已认证的情况下获取到的是 UserDetails。
- isAuthenticated: 获取当前 Authentication 是否已认证。
- setAuthenticated: 设置当前 Authentication 是否已认证(true or false)。
Authentication只是定义了一种在SpringSecurity进行认证过的数据的数据形式应该是怎么样的,要有权限,要有密码,要有身份信息,要有额外信息。
AuthenticationManager
public interface AuthenticationManager {// 认证方法Authentication authenticate(Authentication authentication)throws AuthenticationException;}
AuthenticationManager定义了一个认证方法,它将一个未认证的Authentication传入,返回一个已认证的Authentication,默认使用的实现类为:ProviderManager。
AbstractUserDetailsAuthenticationProvider
// AbstractUserDetailsAuthenticationProviderpublic Authentication authenticate(Authentication authentication){// 校验未认证的Authentication对象里面有没有用户名String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED": authentication.getName();boolean cacheWasUsed = true;// 从缓存中去查用户名为XXX的对象UserDetails user = this.userCache.getUserFromCache(username);// 如果没有就进入到这个方法if (user == null) {cacheWasUsed = false;try {// 调用我们重写UserDetailsService的loadUserByUsername方法// 拿到我们自己组装好的UserDetails对象user = retrieveUser(username,(UsernamePasswordAuthenticationToken) authentication);}catch (UsernameNotFoundException notFound) {logger.debug("User '" + username + "' not found");if (hideUserNotFoundExceptions) {throw new BadCredentialsException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials","Bad credentials"));}else {throw notFound;}}Assert.notNull(user,"retrieveUser returned null - a violation of the interface contract");}try {// 校验账号是否禁用preAuthenticationChecks.check(user);// 校验数据库查出来的密码,和我们传入的密码是否一致additionalAuthenticationChecks(user,(UsernamePasswordAuthenticationToken) authentication);}}
UserDetails
UserDetailsService
数据库自定义
命名规则 data.sql 和schema.sql 文件
jdbc
参考
若有收获,就点个赞吧
0 人点赞
