自定义SpringSecurity认证方式

就理论而言,理论和实践并无差异,但真付诸实行,差异即开始显现。


Jan L.A van de Snepscheut


我们在软件开发过程中,需要针对不同的软件产品需求,提供不同的身份认证方式,纵使SpringSecurity非常强大,她所提供的身份认证方式也不足以面对各式各样的身份认证方式,所以学习如何扩展SpringSecurity的认证方式也就非常有必要了。


注意!这不是一篇对于SpringSecurity毫无了解的读者准备的,所以在阅读这篇文章之前你需要了解对SpringSecurity有一些基础的了解。


“ Spring Security的认证流程

在我们自定义SpringSecurity的认证方式之前,先从SpringSecurity的用户名/密码认证中了解SpringSecurity的认证流程,以及参与到这个流程的类它们各自的职责是什么。

用户名/密码认证流程(SecurityFilterChain中每一个橙色矩形条代表一个SecurityFilter,因为这里主要讲解用户名/密码认证,故突出显示UsernamePasswordAuthenticationFilter)


  • 当用户提交他们的用户名和密码时,这个UsernamePasswordAuthenticationFilter会从HttpServletRequest提取用户名和密码,然后使用提取出的用户名和密码创建UsernamePasswordAuthenticationToken。

  • 接下来该UsernamePasswordAuthenticationToken会作为AuthenticationManager.authentication(通常是调用AuthenticationManager的一个实现类ProviderManager重写的authentication方法)方法的参数传入。

  • ProviderManager从它所拥有的AuthenticationProvider的列表中找到一个支持认证UsernamePasswordAuthenticationToken的一个AuthenticationProvider(在这里是如右图的DaoAuthenticationProvider)。

  • DaoAuthenticationProvider会通过UserDetailsService类使用UsernamePasswordAuthenticationToken中username去查询用户,然后对该用户进行身份认证。

  • 如果认证失败:

  • SecurityContextHolder被清空。

  • RememberMeServices.loginFail会被调用,如果rememberme没有被配置,将不会有任何操作。

  • AuthenticationFailureHandler被调用。

  • 如果认证成功:

  • SessionAuthenticationStrategy会收到一个登录通知。

  • 这个Authencation会被放置到SecurityContextHolder中,RememberMeServices.loginSuccess将被调用。

  • 如果没有设置rememberme,将不会有任何操作。

  • ApplicationEventPublisher发布一个InteractiveAuthenticationSuccessEvent。


  • 从上述的用户名/密码认证的流程中,我们可以得出如下图所示的一个通用流程。

    抽象认证流程

  • 当用户提交他们的凭证的时候,AbstractAuthenticationProcessingFilter会从HttpServletRequest提取相关的数据创建一个Authentication去认证。这个被创建的Authentication的类型取决于AbstractAuthenticationProcessingFilter的子类(例如,UsernamePasswordAuthenticationFilter就是从被提交的HttpServletRequest中提取出用户名和密码,然后创建了UsernamePasswordAuthenticationToken)。
  • 接下来,这个Authentication被传入AuthenticationManager去认证,然后AuthenticationManager的实现类ProviderManager会将认证委派给支持认证该Authentication的AuthenticationProvider。
  • 如果认证失败:
  • SecurityContextHolder被清空。
  • RememberMeServices.loginFail会被调用,如果rememberme没有被配置,将不会有任何操作。
  • AuthenticationFailureHandler被调用。
  • 如果认证成功:

  • SessionAuthenticationStrategy会收到一个登录通知。
  • 这个Authencation会被放置到SecurityContextHolder中。
  • RememberMeServices.loginSuccess将被调用,如果没有设置rememberme,将不会有任何操作。
  • ApplicationEventPublisher发布一个InteractiveAuthenticationSuccessEvent。


  • “ 自定义身份认证

    在阐述完整个认证架构后,其实不难发现,在自定义认证的时候,你需要做如下准备:

    CustomAuthenticationToken


    CustomFilter

     CustomAuthenticationProvider


    你需要自定义一个 AuthenticationProvider 的实现类和一个 Authentication 的实现类,还有一个继承了AbstractAuthenticationProcessingFilter的过滤器。

    对于AuthenticationProvider 的实现类 CustomAuthenticationProvider,需要在authenticate方法中编写你自己的认证算法,并且通过实现supports方法告知调用者自己所支持认证的Authentication类型(在这里支持认证的就是CustomAuthenticationToken类型)。

    CustomAuthenticationToken是一个继承了UsernamePasswordAuthenticationToken的子类(UsernamePasswordAuthenticationToken是一个间接继承了Authentication的类,它默认实现了Authentication的所有接口,大多数情况下,你只需要继承它就可以了, 当然你也可以直接继承Authentication),你可以从图中看到它有两个构造函数,这两个构造函数的使用时机是不同的,第一个构造函数是通常由CustomFilter调用,然后将创建的CustomAuthenticationToken传递给AuthenticationManager进行认证(最终会由ProviderManager委托CustomAuthenticationProvider认证),如果认证成功,CustomAuthenticationProvider会调用第二个构造函数生成一个已认证的CustomAuthenticationToken

    对于CustomFilter,它主要要做两件事,第一,在默认构造函数中通过调用父类的setFilterProcessesUrl方法去配置需要拦截的url。第二,它需要在attemptAuthentication中,把认证相关的数据提取从HttpServletRequest中提取出来,然后调用CustomAuthenticationToken的第一个构造函数创建CustomAuthenticationToken,并将他传递给AuthenticationManager去认证


    最后,在完成了上述相关类的实现了之后,接下来我们只需要将它们按照下图的代码配置进Spring Security即可。


    SpringSecurity配置


    接下来,这里有几个小测验,可以帮助你了解你的掌握情况:

  • 你自定义的AuthenticationProvider需要实现哪两个方法,这两个方法的用途是什么?

  • 你自定义的AuthenticationProvider如何配置到SpringSecurity中?

  • 你自定义的过滤器应该要继承哪一个类?这个过滤器有哪些职责?你自定义的过滤器如何添加到SpringSecurity的过滤器链中?

  • 你可能感兴趣的:(自定义SpringSecurity认证方式)