SpringSecurity 认证流程

2023-09-26 108

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 通过了解SpringSecurity核心组件后，就可以进一步了解其认证的实现流程了。

@[TOC]

前言

通过[上文]了解SpringSecurity核心组件后，就可以进一步了解其认证的实现流程了。

认证入口（过滤器）

在SpringSecurity中处理认证逻辑是在UsernamePasswordAuthenticationFilter这个过滤器中实现的。UsernamePasswordAuthenticationFilter继承于AbstractAuthenticationProcessingFilter这个父类。

而在UsernamePasswordAuthenticationFilter没有实现doFilter方法，所以认证的逻辑需要先看AbstractAuthenticationProcessingFilter中的doFilter方法。

上面的核心代码是

Authentication authenticationResult = attemptAuthentication(request, response);

attemptAuthentication方法的作用是获取Authentication对象对应的其实就是认证过程，进入到UsernamePasswordAuthenticationFilter中来查看具体的实现。

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }
        String username = obtainUsername(request);
        username = (username != null) ? username : "";
        username = username.trim();
        String password = obtainPassword(request);
        password = (password != null) ? password : "";
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
        // Allow subclasses to set the "details" property
        setDetails(request, authRequest);
        return this.getAuthenticationManager().authenticate(authRequest);
    }

上面代码的含义非常清晰

该方法只支持POST方式提交的请求
获取账号和密码
通过账号密码获取了UsernamePasswordAuthenticationToken对象
设置请求的详细信息
通过AuthenticationManager来完成认证操作

在上面的逻辑中出现了一个对象AuthenticationManager

认证管理器

AuthenticationManager接口中就定义了一个方法authenticate方法，处理认证的请求。

public interface AuthenticationManager {

    Authentication authenticate(Authentication authentication) throws AuthenticationException;

}

认证器说明

AuthenticationManager的默认实现是ProviderManager，而在ProviderManager的authenticate方法中实现的操作是循环遍历成员变量List<AuthenticationProvider> providers。该providers中如果有一个AuthenticationProvider的supports函数返回true，那么就会调用该AuthenticationProvider的authenticate函数认证，如果认证成功则整个认证过程结束。如果不成功，则继续使用下一个合适的AuthenticationProvider进行认证，只要有一个认证成功则为认证成功。

在当前环境下默认的实现提供是

默认认证器的实现

进入到AbstractUserDetailsAuthenticationProvider中的认证方法

然后进入到retrieveUser方法中，具体的实现是DaoAuthenticationProvider，getUserDetailsService会获取到我们自定义的UserServiceImpl对象，也就是会走我们自定义的认证方法了。

    @Override
    protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        prepareTimingAttackProtection();
        try {
     
            UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
            if (loadedUser == null) {
                throw new InternalAuthenticationServiceException(
                        "UserDetailsService returned null, which is an interface contract violation");
            }
            return loadedUser;
        }
        catch (UsernameNotFoundException ex) {
            mitigateAgainstTimingAttack(authentication);
            throw ex;
        }
        catch (InternalAuthenticationServiceException ex) {
            throw ex;
        }
        catch (Exception ex) {
            throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
        }
    }

如果账号存在就会开始密码的验证，不过在密码验证前还是会完成一个检查

然后就是具体的密码验证

additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);

具体的验证的逻辑

    protected void additionalAuthenticationChecks(UserDetails userDetails,
            UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        // 密码为空
        if (authentication.getCredentials() == null) {
            this.logger.debug("Failed to authenticate since no credentials provided");
            throw new BadCredentialsException(this.messages
                    .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
        // 获取表单提交的密码
        String presentedPassword = authentication.getCredentials().toString();
        // 表单提交的密码和数据库查询的密码 比较是否相对
        if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
            this.logger.debug("Failed to authenticate since password does not match stored value");
            throw new BadCredentialsException(this.messages
                    .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
    }

上面的逻辑会通过对应的密码编码器来处理，如果是非加密的情况会通过NoOpPasswordEncoder来处理

    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return rawPassword.toString().equals(encodedPassword);
    }

如果有加密处理，就选择对应的加密对象来处理，比如SpringSecurity 入门使用的BCryptPasswordEncoder来处理

总结

Spring Security认证流程：

请求首先会进入过滤器，它的作用在于验证系统设置受限资源的过滤器。
请求被过滤器接收后，会将其传递给AuthenticationProvider。AuthenticationProvider需要用户的信息以及UserDetailsService的认证实现方式。
UserDetailsService是被UserDetail继承的，UserDetail封装了User用户信息。在这个阶段，用户信息被封装进AuthenticationProvider。
接着，封装了用户信息的AuthenticationProvider会被传递给AuthenticationManager中的ProviderManager。

ProviderManager会对AuthenticationProvider进行再次审核，最终返回过滤器。

通过Spring Security的认证实现，可以看到虽然代码简洁明了，但是其扩展性极强。Spring Security支持多种认证和授权机制，包括用户名密码认证、JWT令牌认证、OAuth2认证等等。同时，Spring Security还提供了多种默认配置，可以根据需要进行调整和扩展。

SpringSecurity 认证流程

前言

认证入口（过滤器）

认证管理器

认证器说明

默认认证器的实现

总结

热门文章

最新文章

相关电子书

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

SpringSecurity 认证流程

前言

认证入口（过滤器）

认证管理器

认证器说明

默认认证器的实现

总结

热门文章

最新文章

相关电子书