spring security 5 (5)-自定义认证
第3篇讲过,用户登录时,系统会读取用户的UserDetails对其认证,认证过程是由系统自动完成的,主要是检查用户密码。而在现实中,登录方式并不一定是检查密码,也可能是验证码或其他,此时就需要自定义认证。
AuthenticationProvider
自定义认证逻辑在AuthenticationProvider的authenticate方法中完成,第4篇讲过,认证的入参是一个未认证Authentication,出参是一个已认证Authentication,formLogin的默认Authentication实现是UsernamePasswordAuthenticationToken。
public void configure(AuthenticationManagerBuilder auth){
auth.authenticationProvider(authenticationProvider());
}
@Bean
public AuthenticationProvider authenticationProvider() {
return new AuthenticationProvider() {
//检查入参Authentication是否是UsernamePasswordAuthenticationToken或它的子类
public boolean supports(Class authentication) {
return (UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication));
}
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
//第4篇讲过的其他参数,默认details类型中包含用户ip和sessionId
WebAuthenticationDetails details = (WebAuthenticationDetails) authentication.getDetails();
//用户名和密码
String username = authentication.getName();
String password = authentication.getCredentials().toString();
//根据以上参数,自定义认证逻辑,系统默认实现就是在此读取UserDetails认证密码
//这里只给个简化逻辑,验证密码是否是123,实际中要根据具体业务来实现
if(!password.equals("123")){
throw new BadCredentialsException("密码错误");
}
// 认证通过,从数据库中查询用户权限
List authorities = new ArrayList();
authorities.add(new SimpleGrantedAuthority("ROLE_role1"));
//生成已认证Authentication,系统会将其写入SecurityContext
return new UsernamePasswordAuthenticationToken(username, password, authorities);
}
};
} supports方法用于检查入参的类型,AuthenticationProvider只会认证符合条件的类型,下面会讲
AuthenticationManager
一个AuthenticationProvider对应一种认证逻辑,而有时用户即可选择密码登录,也可选择验证码登录,这就需要有多个认证逻辑同时存在,即多个AuthenticationProvider 。而AuthenticationManager就是用来管理多个AuthenticationProvider的。
public void configure(AuthenticationManagerBuilder auth)以上configure方法的作用是快速自动构建AuthenticationManager,而此时要自定义AuthenticationManager,就不再需要这个方法了。而是在security配置类中使用另一个方法初始化AuthenticationManager,如下加载了两个AuthenticationProvider
protected AuthenticationManager authenticationManager() throws Exception {
List list = new ArrayList();
list.add(authenticationProvider1());
list.add(authenticationProvider2());
return new ProviderManager(list);
}将前面的authenticationProvider方法复制出第二个方法,修改方法名为authenticationProvider1和authenticationProvider2,现在就有两个authenticationProvider了,AuthenticationManager构建比较简单,此时认证流程如下
多重认证流程
- 执行第1个authenticationProvider的supports方法,结果false会跳到下个authenticationProvider。结果true则执行当前authenticationProvider的认证逻辑。
- 认证不通过,会抛出相关异常,会直接跳出AuthenticationManager。
- 认证通过,返回已认证Authentication,同样跳出AuthenticationManager。
- 如果需要进一步认证,可返回null,跳到下一个authenticationProvider,可实现多重认证。
我之前说过,系统默认的Authentication入参都是UsernamePasswordAuthenticationToken类型,所以这里supports必须为true。下篇我会讲自定义认证过滤器,到时候就可以自定义不同的入参类型了,以适用于不同的AuthenticationProvider。
自定义Details
如果要实现对用户/密码以外的参数进行认证,如验证码,还需要自定义Details。上面代码中的WebAuthenticationDetails是默认的Details实现类,其中包括用户ip和sessionId两个参数。以下方式可以添加自定义参数:如验证码code。
public class MyWebAuthenticationDetails extends WebAuthenticationDetails {
private String code;
public String getCode() {
return code;
}
public void setCode(String code) {
this.code = code;
}
public MyWebAuthenticationDetails(HttpServletRequest request) {
super(request);
code=request.getParameter("code");
}修改上面的代码,WebAuthenticationDetails改成MyWebAuthenticationDetails,就可以对验证码进行认证。
MyWebAuthenticationDetails details = (MyWebAuthenticationDetails)authentication.getDetails();
if(!details.getCode().equals("123")){
throw new BadCredentialsException("验证码错误");
}上一篇讲过,Details是Authentication的一个参数,而Authentication是在认证过滤器中封装而成的。而formLogin会使用系统默认的认证过滤器,其默认Details也是WebAuthenticationDetails类型,需要以下配置将它改成MyWebAuthenticationDetails类型。
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest().authenticated().and()
.formLogin() //配置Details源
.authenticationDetailsSource(authenticationDetailsSource()).and()
.csrf().disable();
}
@Bean
public AuthenticationDetailsSource authenticationDetailsSource() {
return new AuthenticationDetailsSource() {
public WebAuthenticationDetails buildDetails(HttpServletRequest context) {
return new MyWebAuthenticationDetails(context);//配置Details类型
}
};
}