本文主要整理了若依框架中有关登录认证的功能流程。
需要特别说明一下的是,本文是综合了B站视频以及他人博客整理的笔记,所以有些地方可能不能很好地说明,还望见谅。
登录接口
com.ruoyi.web.controller.system.SysLoginController#login(LoginBody)
登录验证方法
com.ruoyi.framework.web.service.SysLoginService.login(String, String, String, String)
由上图,用户验证方法,注释中有写 “该方法会去调用UserDetailsServiceImpl.loadUserByUsername
”,这里放到下面验证流程再详细说明。
对于这一部分,我推荐看下B站视频:
尚硅谷SpringSecurity框架教程(spring security源码剖析从入门到精通)
还有一篇博客(写得很详细,但是需要梯子),也是下面这张图的来源:
Spring-Security登录认证授权原理
重要的事情说三遍:
UsernamePasswordAuthenticationFilter
public Authentication attemptAuthentication(HttpServletRequest request,
HttpServletResponse response) throws AuthenticationException {
// 默认的登录请求 url 是"/login",并且只允许 POST 方式的请求
if (postOnly && !request.getMethod().equals("POST")) {
throw new AuthenticationServiceException(
"Authentication method not supported: " + request.getMethod());
}
// 从 HttpServletRequest 中获取用户名、密码
String username = obtainUsername(request);
String password = obtainPassword(request);
if (username == null) {
username = "";
}
if (password == null) {
password = "";
}
username = username.trim();
// 创建 UsernamePasswordAuthenticationToken 对象
// 任何希望创建 UsernamePasswordAuthenticationToken 的代码都可以安全地使用此构造函数,因为 isAuthenticated() 将返回 false。
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
username, password);
// 提供以便子类可以配置放入身份验证请求的详细信息属性中的内容。
// Allow subclasses to set the "details" property
setDetails(request, authRequest);
// 获取 AuthenticationManager,调用认证方法
return this.getAuthenticationManager().authenticate(authRequest);
}
AuthenticationManager
实现类 ProviderManager
查看 authenticate(Authentication)
方法:
通过 for 循环遍历 AuthenticationProvider
对象的集合,找到支持当前认证方式的 AuthenticationProvider
,找到之后调用该 AuthenticationProvider
的 authenticate
方法进行认证处理。
AuthenticationProvider
AbstractUserDetailsAuthenticationProvider
AbstractUserDetailsAuthenticationProvider
抽象类,查看 supports
方法:
说明支持 UsernamePasswordAuthenticationToken
类型。
查看 authenticate(Authentication)
方法:
由上图,从缓存中获取 UserDetails
,如果没有则调用 retrieveUser
方法获取。
UserDetails
是保存用户信息的接口。若依中的 LoginUser
也实现了这个接口用于保存登录用户的相关信息。
接着往下查看 authenticate(Authentication)
方法:
预检查 preAuthenticationChecks
:
附加检查 additionalAuthenticationChecks
是一个抽象方法,稍后再看子类具体实现。
后检查 postAuthenticationChecks
:
如果上面的检查都通过并且没有异常,表示认证通过,会调用下面的方法:
createSuccessAuthentication(principalToReturn, authentication, user);
此时会调用父类的构造方法设置权限信息,并调用父类的 setAuthenticated(true)
方法,到这里就表示认证通过了。
DaoAuthenticationProvider
附加检查 additionalAuthenticationChecks
实现:
获取用户信息 UserDetails
的方法 retrieveUser
:
this.getUserDetailsService()
获取的 UserDetailsService
是一个接口,若依也实现了该接口。
至此,终于到刚才第二部分所说的 UserDetailsServiceImpl.loadUserByUsername
的实现。
AbstractAuthenticationProcessingFilter
进入 SecurityContextHolder.getContext()
:
SecurityContextPersistenceFilter