关于验证的核心组件
介绍几个 spring security 中的核心组件
- SecurityContextHolder
- Authentication
- AuthenticationManager
- AuthenticationProvider
- UserDetailsService
SecurityContextHolder
SecurityContextHolder是存放安全上下文(security context)的位置,当前用户身份,权限都在里面,默认采用本地线程(ThreadLocal)储存。
可以通过它获取当前认证信息 Authentication
通过 Authentication 可以获取到用户信息 UserDetails
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
Object principal = auth.getPrincipal();
UserDetails userDetails = (UserDetails) principal;
Authentication
Authentication 是认证信息的接口,可以通过它获取到用户的权限,密码,用户名,身份等等。
package org.springframework.security.core;
import java.io.Serializable;
import java.security.Principal;
import java.util.Collection;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.context.SecurityContextHolder;
public interface Authentication extends Principal, Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
Object getCredentials();
Object getDetails();
Object getPrincipal();
boolean isAuthenticated();
void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}
解释如下:
- getAuthorities(),权限信息列表,未经过身份验证则为空集合。
- getCredentials(),密码信息,在认证过后通常会被移除。
- getDetails(),细节信息,默认实现接口为 WebAuthenticationDetails,它记录了访问者的ip地址和sessionId,项目中我们做了修改,增加了登陆方式的判断。
import javax.servlet.http.HttpServletRequest;
import org.springframework.security.web.authentication.WebAuthenticationDetails;
/**
* @author plsy
*/
public class CustomWebAuthenticationDetails extends WebAuthenticationDetails {
private static final long serialVersionUID = -2135894122511996600L;
/**
* 登录方式,phone:手机验证码登录,其他:用户名密码登录
*/
private String type;
/**
* 是否为门户前端登录 0 否 1 是
*/
private String front;
/**
* 是否移动端登录,用来控制设备信息
*/
private String device;
public CustomWebAuthenticationDetails(HttpServletRequest request) {
super(request);
type = request.getParameter("type");
front = request.getParameter("front");
device = request.getParameter("device");
}
public String gettype() {
return type;
}
public String getFront() {
return front;
}
public String getDevice() {
return device;
}
}
- getPrincipal(),用户身份信息,默认返回的是UserDetails接口的实现类,可以获取用户名,密码,是否过期,是否锁定等信息。
package org.springframework.security.core.userdetails;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import java.io.Serializable;
import java.util.Collection;
public interface UserDetails extends Serializable {
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}
AuthenticationManager
顾名思义 AuthenticationManager 就是用来管理 Authentication 的,它将来验证 Authentication 是否正确。
那么它是如何验证的呢,首先 AuthenticationManager 是一个接口,而 ProviderManager 是它的实现类,在 ProviderManager 中维护了一个 List<AuthenticationProvider> 的集合,这个集合中保存的就是真正的验证器,存放了多种验证方式,实际上是设计模式中的委托模式的应用。
项目中目前用到了jwt,用户名密码,手机短信,移动设备识别码这四种验证方式,在 spring security 的配置类中重写 authenticationManager 配置将 AuthenticationProvider 注册进去。
@Override
protected AuthenticationManager authenticationManager() throws Exception {
//这里会轮询符合条件的AuthenticationProvider,如果成功就终止,不成功就下一个
ProviderManager authenticationManager = new ProviderManager(Arrays.asList(jwtAuthenticationProvider(), daoAuthenticationProvider(), phoneAuthenticationProvider(), mobileDeviceAuthenticationProvider()));
return authenticationManager;
}
AuthenticationProvider
AuthenticationProvider 最常用的一个实现便是 DaoAuthenticationProvider ,也是 spring security 默认提供的,DaoAuthenticationProvider 会通过 retrieveUser 取回 UserDetails 然后与 UsernamePasswordAuthenticationToken 做对比,交给additionalAuthenticationChecks方法完成的。
/**
* 用户名密码的数据库验证器
*
* @return
*/
@Bean
DaoAuthenticationProvider daoAuthenticationProvider() {
DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
daoAuthenticationProvider.setPasswordEncoder(new PasswordEncoder() {
@Override
public String encode(CharSequence rawPassword) {
return MD5Util.encode((String) rawPassword);
}
@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
return encodedPassword.equals(MD5Util.encode((String) rawPassword));
}
});
daoAuthenticationProvider.setUserDetailsService(customUserService());
return daoAuthenticationProvider;
}
UserDetailsService
UserDetailsService 负责从数据库中加载用户信息,UserDetailsService 常见的实现类有JdbcDaoImpl,InMemoryUserDetailsManager,前者从数据库加载用户,后者从内存中加载用户。
在项目中我们自己实现 UserDetailsService,重写了 loadUserByUsername 方法,根据登录名读取整个用户信息,还设置了用户对应的权限项。
package org.springframework.security.core.userdetails;
public interface UserDetailsService {
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
网友评论