自己做的项目急需权限管理模块,所以赶紧就着SpringSecurity的视频看着学了学,虽然上次学习失败了,但也不影响这次从头再来,也算是为这次奠定了一点点基础了吧。通过这次学习,我也又一次意识到了,自己的学习和领悟能力有多么的弱,自己真的是水的一批,没有天赋要更加努力才行。
好了,进入正题。
SpringSecurity认证
首先大致的认证流程就是:用户请求过来,经过一系列的filter(AuthenticationFilter)来进行过滤,如果符合哪个filter中所定义的请求url,就在filter中开始认证流程,请求认证Manager进行认证。(不同的请求比如 普通的登录时/login,手机号登录可能就是/smsLogin)
然后就会牵扯到下一个类,也就是认证管理器相当于,大概名字叫做 AuthenticationManager,一看manager就知道是个管理者。里面收拢了很多用来认证的类,也就是各种各样的Provider(认证器)。在Manager中会遍历每一个provider,看看能不能对当前传递进来的用户信息进行认证,可以的话就进行到Provider中进行认证。
Provider中有着authenticate方法来对用户信息进行认证,这其中还包含了另一个实现,UserDetailService,通过这个Service来寻找对应的用户,我们的数据库查找逻辑就是从这个service中进入的。通过service拿到用户信息后,重新回到provider中进行比对,比对成功了就算是认证成功了。
这其中贯穿的还有一个类用来保存用户信息,在Security中默认是叫UsernamePasswordAuthenticationToken,说是叫一个token,就是用来保存信息的,在最一开始传入filter的时候,也会生成一个对应的登录token。
我们写自定义的时候可以比对着官方给的类来临摹,再结合着一些教学视频来看,还是比较好写出来的。
SpringSecurity鉴权踩坑
我写好了登录之类的之后,看了官方文档有介绍说每个用户可以有对应的角色,可以针对角色来定义相应的权限管理。然后我就东奔西找,死活没找到角色是怎么定义的。可能也是我是第一次接触这类权限管理框架的缘故,实在是迷。我的第一反应是,角色应该被定义在数据库中,可是看了好多篇博客,都没提数据库的事。知道有RBAC权限管理这么回事,可是RBAC功能有点太过于强大,不是我要实现的目标。。。天呐,到底该把角色定义到哪里。后来终于翻到有的博客中写到获取用户角色的方法 public Collection<? extends GrantedAuthority> getAuthorities(),看着这个我也是摸不着头脑。。想想有的人是在Security给定的User类的构造方法中传入一些角色,但是我需要编写自己的User实体类,构造方法的方法也泡汤了。。
中间还以为只要是登录上的角色默认都会加上角色,可是试了试加上 @PreAuthorize("hasRole('USER')"),还是访问不到。
最后终于迷过来,自己写的User类是实现了UserDetails接口的,里面是有上面提到的getAuthorities方法,只不过里面return了一个null,实际上是可以在这里面定义用户逻辑的。因为我的应用场景比较简单,登录上的角色都是User,所以直接在方法里返回了一个ROLE_USER
image.png
直觉告诉我,这么写很不规范,应该还是有其他的方法来设定角色的。还是再读读eladmin吧。
网友评论