SpringSecurity基本原理

在之前的文章《SpringBoot + Spring Security 基本使用及个性化登录配置》中对SpringSecurity进行了简单的使用介绍，基本上都是对于接口的介绍以及功能的实现。 这一篇文章尝试从源码的角度来上对用户认证流程做一个简单的分析。

在具体分析之前，我们可以先看看SpringSecurity的大概原理：



其实比较简单，主要是通过一系列的Filter对请求进行拦截处理。

认证处理流程说明

我们直接来看UsernamePasswordAuthenticationFilter类，

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter

    // 登录请求认证

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

        // 判断是否是POST请求

        if (this.postOnly && !request.getMethod().equals("POST")) {

            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());

        } else {

            // 获取用户，密码

            String username = this.obtainUsername(request);

            String password = this.obtainPassword(request);

            if (username == null) {

                username = "";

            }

            if (password == null) {

                password = "";

            }

            username = username.trim();

            // 生成Token，

            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);

            this.setDetails(request, authRequest);

            // 进一步验证

            return this.getAuthenticationManager().authenticate(authRequest);

        }

    }

}

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27

在attemptAuthentication方法中，主要是进行username和password请求值的获取，然后再生成一个UsernamePasswordAuthenticationToken 对象，进行进一步的验证。

不过我们可以先看看UsernamePasswordAuthenticationToken 的构造方法

public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {

    // 设置空的权限

    super((Collection)null);

    this.principal = principal;

    this.credentials = credentials;

    // 设置是否通过了校验

    this.setAuthenticated(false);

}

其实UsernamePasswordAuthenticationToken是继承于Authentication，该对象在上一篇文章中有提到过，它是处理登录成功回调方法中的一个参数，里面包含了用户信息、请求信息等参数。

所以接下来我们看

this.getAuthenticationManager().authenticate(authRequest);

这里有一个AuthenticationManager，但是真正调用的是ProviderManager。

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {

    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        Class<? extends Authentication> toTest = authentication.getClass();

        AuthenticationException lastException = null;

        Authentication result = null;

        boolean debug = logger.isDebugEnabled();

        Iterator var6 = this.getProviders().iterator();

        while(var6.hasNext()) {

            AuthenticationProvider provider = (AuthenticationProvider)var6.next();

            // 1.判断是否有provider支持该Authentication

            if (provider.supports(toTest)) {

                // 2. 真正的逻辑判断

                result = provider.authenticate(authentication);

            }

    }

}

1. 这里首先通过provider判断是否支持当前传入进来的Authentication，目前我们使用的是UsernamePasswordAuthenticationToken，因为除了帐号密码登录的方式，还会有其他的方式，比如SocialAuthenticationToken。
2. 根据我们目前所使用的UsernamePasswordAuthenticationToken，provider对应的是DaoAuthenticationProvider。

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

    UserDetails user = this.userCache.getUserFromCache(username);

    if (user == null) {

        cacheWasUsed = false;

        // 1.去获取UserDetails

        user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

    }

    try {

        // 2.用户信息预检查

        this.preAuthenticationChecks.check(user);

        // 3.附加的检查（密码检查）

        this.additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken)authentication);

    } catch (AuthenticationException var7) {

    }

    // 4.最后的检查

    this.postAuthenticationChecks.check(user);

    // 5.返回真正的经过认证的Authentication

    return this.createSuccessAuthentication(principalToReturn, authentication, user);

}

1. 去调用自己实现的UserDetailsService，返回UserDetails
2. 对UserDetails的信息进行校验，主要是帐号是否被冻结，是否过期等
3. 对密码进行检查，这里调用了PasswordEncoder
4. 检查UserDetails是否可用。
5. 返回经过认证的Authentication

这里的两次对UserDetails的检查，主要就是通过它的四个返回boolean类型的方法。

经过信息的校验之后，通过UsernamePasswordAuthenticationToken的构造方法，返回了一个经过认证的Authentication。

拿到经过认证的Authentication之后，会再去调用successHandler。或者未通过认证，去调用failureHandler。

认证结果如何在多个请求之间共享

再完成了用户认证处理流程之后，我们思考一下是如何在多个请求之间共享这个认证结果的呢？

因为没有做关于这方面的配置，所以可以联想到默认的方式应该是在session中存入了认证结果。

那么是什么时候存放入session中的呢？

我们可以接着认证流程的源码往后看，在通过attemptAuthentication方法后，如果认证成功，会调用successfulAuthentication，该方法中，不仅调用了successHandler，还有一行比较重要的代码

SecurityContextHolder.getContext().setAuthentication(authResult);

SecurityContextHolder是对于ThreadLocal的封装。 ThreadLocal是一个线程内部的数据存储类，通过它可以在指定的线程中存储数据，数据存储以后，只有在指定线程中可以获取到存储的数据，对于其他线程来说则无法获取到数据。 更多的关于ThreadLocal的原理可以看看我以前的文章。

一般来说同一个接口的请求和返回，都会是在一个线程中完成的。我们在SecurityContextHolder中放入了authResult，再其他地方也可以取出来的。

最后就是在SecurityContextPersistenceFilter中取出了authResult，并存入了session

SecurityContextPersistenceFilter也是一个过滤器，它处于整个Security过滤器链的最前方，也就是说开始验证的时候是最先通过该过滤器，验证完成之后是最后通过。

获取认证用户信息

/**

 * 获取当前登录的用户

 * @return 完整的Authentication

 */

@GetMapping("/me1")

public Object currentUser() {

    return SecurityContextHolder.getContext().getAuthentication();

}

@GetMapping("/me2")

public Object currentUser(Authentication authentication) {

    return authentication;

}

/**

 * @param userDetails

 * @return 只包含了userDetails

 */

@GetMapping("/me3")

public Object cuurentUser(@AuthenticationPrincipal UserDetails userDetails) {

    return userDetails;

}

原文地址：https://blog.csdn.net/u013435893/article/details/79605239