【SpringSecurity】五、UserDetails接口和UserDetailsService接口

文章目录

  • 1、SpringSecurity原理
  • 2、UserDetails接口
  • 3、UserDetailService接口
  • 4、权限配置

1、SpringSecurity原理

Spring Security是做安全访问控制,对所有进入系统的请求进行拦截,并做校验,这可以通过Filter或者AOP实现,Spring Security靠Filter。

【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第1张图片

  • 初始化Spring Security时,创建一个名为SpringSecurityFilterChain的Servlet过滤器,类型为org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter,因此外部的请求会经过此类
  • FilterChainProxy是一个代理,真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter,同时这些Filter作为Bean被Spring管理
  • 这些Filter不负责认证或者授权,而是交给认证管理器(AuthenticationManager)和决策管理器(AccessDecisionManager)进行处理。(过滤器嘛,就是拦截下,获取点东西、修改点东西、干点操作)

Spring Security功能的实现就是一系列过滤器链相互配合。

【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第2张图片

  • SecurityContextPersistenceFilter 这个Filter是整个拦截过程的入口和出口,也就是第一个和最后一个拦截器。会在请求开始时从配置好的 SecurityContextRepository 中获取 SecurityContext,然后把它设置给 SecurityContextHolder。在请求完成后将 SecurityContextHolder 持有的 SecurityContext 再保存到配置好的 SecurityContextRepository,同时清除 securityContextHolder 所持有的 SecurityContext;

  • UsernamePasswordAuthenticationFilter 用于处理来自表单提交的认证,该表单必须提供对应的用户名和密码,其内部还有登录成功或失败后进行处理的 AuthenticationSuccessHandler 和 AuthenticationFailureHandler,这些都可以根据需求做相关改变;(这些处理器的逻辑可自定义,重新实现一下这个处理器)

  • ExceptionTranslationFilter 能够捕获来自 FilterChain 所有的异常,并进行处理。但是它只会处理两类异常:AuthenticationException 和 AccessDeniedException,其它的异常它会继续抛出。

  • FilterSecurityInterceptor 是用于保护web资源的,使用AccessDecisionManager对当前用户进行授权访问

SpringSecurity的执行流程:

【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第3张图片

  • 用户提交用户名密码,被安全过滤器链中的UsernamePasswordAuthenticationFilter过滤器拿到,并封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类
  • 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证
  • 认证成功后,AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除)Authentication实例
  • SecurityContextHolder安全上下文容器将上一步填充了信息的Authentication,通过SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中
  • 以看出AuthenticationManager接口(认证管理器)是认证相关的核心接口,也是发起认证的出发点,它的实现类为ProviderManager
  • 而Spring Security支持多种认证方式,因此ProviderManager维护着一个List列表,存放多种认证方式,最终实际的认证工作是由AuthenticationProvider完成的。而web表单的对应的AuthenticationProvider实现类为DaoAuthenticationProvider,它的内部又维护着一个UserDetailsService负责UserDetails的获取。当UserDetailsService接口的loadUserByUsername()方法获取到的User Details对象中的密码和Authentication中的密码一致时,认证成功,最后AuthenticationProvider将UserDetails填充至Authentication

2、UserDetails接口

看完上面的UserDetails对象和UserDetailsService接口的loadUserByUsername方法后,再看之前在内存中定义用户,是这样的:

UserDetails user2 = User.builder()
        .username("liu")
        .password(passwordEncoder().encode("123456"))
        .authorities("teacher:add","teacher:update")
        .roles("teacher")
        .build();

查看User类的源码,其实现了UserDetails接口,因此上面才可以直接创建User对象。

【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第4张图片

接下来自己定义一个用户类SecurityUser类,也去实现UserDetails接口,重写UserDetails接口方法时,直接写死一个用户信息,一会儿new这个自定义的SecurityUser类,也就和上面的User.builder一个意思。

public class SecurityUser implements UserDetails {
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;   //未给权限
    }

    @Override
    public String getPassword() {
        //明文为123456
        //return "$2a$10$KyXAnVcsrLaHMWpd3e2xhe6JmzBi.3AgMhteFq8t8kjxmwL8olEDq";
        return new BCryptPasswordEncoder().encode("123456");
    }

    @Override
    public String getUsername() {
        return "liu";
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

UserDetails 接口的7个方法如下图:

方法名 作用
getAuthorities() 获取当前用户对象所具有的角色信息
getPassword() 获取当前用户对象的密码
getUsername() 获取当前用户对象的用户名
isAccountNonExpired() 当前账户是否未过期
isAccountNonLocked() 当前账户是否未锁定
isCredentialsNonExpired() 当前账户密码是否未过期
isEnabled() 当前账户是否可用

3、UserDetailService接口

UserDetails的用户对象建好了,继续看之前在内存中创建用户的实现思路:

InMemoryUserDetailsManager userDetailsManager = new InMemoryUserDetailsManager();
userDetailsManager.createUser(user1);
userDetailsManager.createUser(user2);

InMemoryUserDetailsManager类实现了UserDetailsManager接口,UserDetailsManager接口又继承了UserDetailService接口:

【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第5张图片

自己新建一个类UserServiceImpl去实现UserDetailService接口。重写loadUserByUsernam方法,并当用户名等于自定义的SecurityUser对象中的用户名时,返回SecurityUser对象。

@Service
public class UserServiceImpl implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SecurityUser securityUser= new SecurityUser();
        if(username==null || !username.equals(securityUser.getUsername())){
            throw new UsernameNotFoundException("该用户不存在");
        }
        return securityUser;
    }
}


以上其实是自己玩了下5.6两步:

【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第6张图片

重启服务,登录下,一切正常。

【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第7张图片

4、权限配置

上面自定义的SecurityUser类中,关于权限的方法返回null,写个接口返回认证信息,可以看到权限字段确实为null:
【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第8张图片
【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第9张图片

加权:

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
       GrantedAuthority g1=()->"student:query"; //使用lambda表达式
	   //GrantedAuthority g1=new SimpleGrantedAuthority("student:query");
       List<GrantedAuthority> grantedAuthorityList=new ArrayList<>();
       grantedAuthorityList.add(g1);
       return grantedAuthorityList;
    }

顺便使用@PreAuthorize注解方便后面看下效果:

@RestController
@RequestMapping("/student")
public class StudentController {
    @GetMapping("/query")
    @PreAuthorize("hasAuthority('student:query')")
    public String queryInfo(HttpServletRequest request){
        return "I am a student,My name is XXX";
    }
}

重启后查看认证信息:

【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第10张图片
【SpringSecurity】五、UserDetails接口和UserDetailsService接口_第11张图片

梳理完UserDetails和UserDetailsService接口之间的流程和细节,方便后面理解SpringSecurity基于数据库认证。

你可能感兴趣的:(SpringSecurity,Java,SpringSecurity,UserDetails)