一、认证流程
1、当用户提交了一个他的凭证(用户名、密码) AbstractAuthenticationProcessingFilter 将会创建一个凭证信息,最终,该请求会被UsernamePasswordAuthenticationFilter 拦截将请求中用户名和密码,封装为 Authentication 对象,并交给在UsernamePasswordAuthenticationFilter 的attemptAuthentication 方法中
AuthenticationManager 进行认证
2、认证成功,将认证信息存储到 SecurityContextHodler 以及调用记住我等,并回调AuthenticationSuccessHandler 处理
3、认证失败,清除SecuritvContextHodler 以及 记住我中信息,回调AuthenticationFailureHandler 处理
二、AuthenticationManager
从上面分析中得知,AuthenticatiomManager 是认证的核心类,但实际上在底层真正认证时还离不开 ProviderManager 以及 AuthenticationProvider。
1.AuthenticationManager 是一个认证管理器,它定义了 Spring Security 过滤器要执行
认证操作。
ProviderManager AuthenticationManager接口的实现类。Spring Security 认证时默认使用就是 ProviderManager。
AuthenticationProvider 就是针对不同的身份类型执行的具体的身份认证。
2.1 AuthenticationManager 与 ProviderManager 关系,其他接口都是抽象类,实际上实现类就是这一个
总结:ProviderManager是AuthenticationManager的唯一实现,也是Spring Security默认使用实现。从这里不难看出默认情况下 AuthenticationManager 就是一个ProviderManager。
2.2 AuthenticationManager/ProviderManager
在Spring Seourity中,允许系统同时支持多种不同的认证方式,例如同时支持用户名/密码认证、ReremberMe 认证、手机号码动态认证等,而不同的认证方式对应了不同的AuthenticationProvider,所以一个完整的认证流程可能由多个AuthenticationProvider 来提供。
多个AuthenticationProvider 将组成一个列表,这个列表将由 ProviderManager代理。换话说,在ProviderManager 中存在一个AuthenticationProvider列表,在Provider Manager中遍历列表中的每一个AuthenticationProvider 去执行身份认证,最终得到认证结果。
ProviderManager本身也可以再配置一个AuthenticationManager 作为 parent,这样当ProviderManager认证失败之后,就可以进入到 parent 中再次进行认证。理论上来说ProviderManager的 parent 可以是任意类型的 AuthenticationManager,但是通常都是ProviderManager 来扮演 parent 的角色,也就是 ProviderManager 是 ProviderManager的
parent.
ProviderManager 本身也可以有多个,多个ProviderManager 共用同一个parent。有时个应用程序有受保护资源的逻辑组(例如,所有符合路径模式的网络资源,如/api/**),每通常,每个组都是一个ProviderManager
2.3 关系图
三、配置自定义AuthenticationManager
1.一旦通过 configure 方法自定义 AuthenticationManager实现 就回将工厂中自动配置AuthenticationManager 进行覆盖
2.一旦通过configure 方法自定义 AuthenticationManager实现 需要在实现中指定认证数据源对象UserDetailService
java
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
/**
* 配置自定义数据源,覆盖系统默认的数据源
*/
@Bean
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager detailsManager = new InMemoryUserDetailsManager();
detailsManager.createUser(User.withUsername("test").password("{noop}123456").authorities("admin","delete","select").build());
return detailsManager;
}
/**
* 自定义自己的 AuthenticationManager,使其默认的全局manager失效,也是官方推荐的方式
* @param auth
* @throws Exception
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService());
}
}3.1 前端页面(密码输入错误)
3.2 前端页面(密码输入正确)
3.3 跳转路径配置
java
/**
* 表单配置
* @param http
* @throws Exception
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.mvcMatchers("/").permitAll()// 放行路径
.anyRequest().authenticated()// 其他路径都需要认证
.and()
.formLogin()// form表单认证
.loginPage("/")// 默认的登录页面
.loginProcessingUrl("/doLogin")// 认证的请求地址
.defaultSuccessUrl("/main.html",true)// 登录成功后默认跳转的页面 redirect
.failureUrl("/")//登录失败跳转的url
.usernameParameter("loginId")
.passwordParameter("loginPwd")
.and()
.csrf().disable();// 关闭csrf跨站攻击
}四、默认全局AuthenticationManager
1.默认自动配置创建全局AuthenticationManager 默认找当前项目中是否存在自定义UserDetailService 实例 自动将当前项目 UserDetailService 实例设置为数据源
- 默认自动配置创建全局AuthenticationManager 在工厂中使用时直接在代码中注入即
可
4.1 代码实现(只需要自定义UserDetailService 默认就是全局的了)
