javascript
SpringSecurity认证流程分析
SpringSecurity使用數(shù)據(jù)庫數(shù)據(jù)完成認證
認證流程
先看主要負責認證的過濾器UsernamePasswordAuthenticationFilter,有刪減,注意注釋。
上面的過濾器的意思就是,我們發(fā)送的登錄請求,請求地址需要是 /login,請求方法 post,然后用戶名 username,密碼為 password
AuthenticationManager
由上面源碼得知,真正認證操作在AuthenticationManager里面!然后看AuthenticationManager的實現(xiàn)類ProviderManager:
AbstractUserDetailsAuthenticationProvider
咱們繼續(xù)再找到AuthenticationProvider的實現(xiàn)類AbstractUserDetailsAuthenticationProvider
AbstractUserDetailsAuthenticationProvider中authenticate返回值
按理說到此已經(jīng)知道自定義認證方法的怎么寫了,但咱們把返回的流程也大概走一遍,上面不是說到返回了一個 UserDetails對象對象嗎?跟著它,就又回到了AbstractUserDetailsAuthenticationProvider對象中authenticate方法的最后一行了。
UsernamePasswordAuthenticationToken
來到UsernamePasswordAuthenticationToken對象發(fā)現(xiàn)里面有兩個構造方法
AbstractAuthenticationToken
再點進去super(authorities)看看:
由此,咱們需要牢記自定義認證業(yè)務邏輯返回的UserDetails對象中一定要放置權限信息啊!
現(xiàn)在可以結(jié)束源碼分析了吧?先不要著急!
咱們回到最初的地方UsernamePasswordAuthenticationFilter,你看好看了,這可是個過濾器,咱們分析這么 久,都沒提到doFilter方法,你不覺得心里不踏實?
可是這里面也沒有doFilter呀?那就從父類找!
AbstractAuthenticationProcessingFilter
點開AbstractAuthenticationProcessingFilter,刪掉不必要的代碼!
?可見AbstractAuthenticationProcessingFilter這個過濾器對于認證成功與否,做了兩個分支,成功執(zhí)行 successfulAuthentication,失敗執(zhí)行unsuccessfulAuthentication。
在successfulAuthentication內(nèi)部,將認證信息存儲到了SecurityContext中。并調(diào)用了loginSuccess方法,這就是 常見的“記住我”功能!此功能具體應用,咱們后續(xù)再研究!
總結(jié)
以上是生活随笔為你收集整理的SpringSecurity认证流程分析的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SpringSecurity的csrf防
- 下一篇: gradle idea java ssm