本文介绍SpringSecurity框架的核心逻辑及三种自定义认证方法。包括扩展过滤器、重写认证流程组件等步骤,并讨论了非标准自定义流程的利弊。
用法:
Spring Security的核心逻辑全在这一套过滤器中,过滤器里会调用各种组件完成功能,掌握了这些过滤器和组件你就掌握了Spring Security!这个框架的使用方式就是对这些过滤器和组件进行扩展。
简单实用:
1、springboot加载pom
2、修改配置类当中的三个config函数。从而完成对于认证,授权的设置。
3、UserDetailService修改,扩展数据库的访问接口功能。(主要是修改用户名和密码来源于数据库)
自定义扩展使用方法一:
下面将模仿UsernamePasswordAuthenticationFilter创建一套认证使用的组件
1、写一个Filter过滤器,可以继承AbstractAuthenticationProcessingFilter(默认只拦截POST方式的’/login’的请求,具体见doFilter()方法)也可以继承GenericFilterBean
2、写AuthenticationProvider的实现类,这里使用的”认证主体“实现类是内置的UsernamePasswordAuthenticationToken,你也可以自定义一个
3、写一个UserDetialsService的实现类并注入到自定义的AuthenticationProvider的实现类中
4、写一个SecurityConfigurerAdapter的子类,将自定义的Filter和AuthenticationProvider加入到HttpSecurity对象中
自定义扩展使用方法二:
controller传递用户名和密码 – 生产内部token – 调用usernameandpasswordauthenticationfilter – 调用authenticationmanager的authenticate方法,authenticationmanager的实现providermanager,providermanager查找匹配的provider-- 调用匹配的provider的中的authenticate方法,实现验证,— 重写handler,成功返回suchandler,失败返回failhandler
所以自定义的过程就是:
1、重写过滤器
2、重写token
3、重写provider
4、重写handler,成功和失败不同的handler
5、添加进入spring security当中。httpSecurity.apply(new xxxxConfig())
自定义扩展使用方法三:
1、直接修改filter
2、直接修改provider
整理:
总体而言,就是你在写filter的时候,可以完全的抛弃spring security当中的内容,也可以在后边增加补充的认证内容。目前网络上的大部分实现,都是补充进行email认证,手机短信认证,但是用户名和密码认证都是保留spring security的usernamepasswordanthenticationfilter的内容。
其实,对于自定义方法三,就是不正宗的处理流程,虽然也进行了用户名和密码的判断,但是却破坏了spring security的流程。所以都是不正宗的做法。
扫一扫
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
