Spring Security獲取認證機制的核心原理是什么

本文小編為大家詳細介紹“Spring Security獲取認證機制的核心原理是什么”，內容詳細，步驟清晰，細節處理妥當，希望這篇“Spring Security獲取認證機制的核心原理是什么”文章能幫助大家解決疑惑，下面跟著小編的思路慢慢深入，一起來學習新知識吧。

關口的自定義設置主要有三部分：通過鑰匙username獲取到寶箱；寶箱里的UserDetails通行信息設置；關口通行過往檢查SecurityConfig設置。

一.寶箱里的通行信息:

/**
* 安全用戶模型
*
* @author zhujiqian
* @date 2020/7/ 15:
*/
public class JwtUserDetails implements UserDetails {
private static final long serialVersionUID = 1L;
private String username;
private String password;
private String salt;
private Collection<? extends GrantedAuthority> authorities;
JwtUserDetails(String username, String password, String salt, Collection<? extends GrantedAuthority> authorities) {
    this.username = username;
  this.password = password;
   this.salt = salt;
   this.authorities = authorities;
}
@Override
public String getUsername() {
   return username;
}
@JsonIgnore
@Override
public String getPassword() {
    return password;
}
public String getSalt() {
    return salt;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
   return authorities;
}
@JsonIgnore
@Override
public boolean isAccountNonExpired() {
    return true;
}
@JsonIgnore
@Override
public boolean isAccountNonLocked() {
   return true;
}
@JsonIgnore
@Override
public boolean isCredentialsNonExpired() {
    return true;
}
@JsonIgnore
@Override
public boolean isEnabled() {
    return true;
}
  }

這里JwtUserDetails實現Spring Security 里的UserDetails類，這個類是長這樣的，下面對各個字段做了注釋：

 public interface UserDetails extends Serializable {
/**
*用戶權限集，默認需要添加ROLE_前綴
*/
Collection<? extends GrantedAuthority> getAuthorities();
/**
*用戶的加密密碼，不加密會使用{noop}前綴
*/
String getPassword();
/**
*獲取應用里唯一用戶名
*/
String getUsername();
/**
*檢查賬戶是否過期
*/
boolean isAccountNonExpired();
/**
*檢查賬戶是否鎖定
*/
boolean isAccountNonLocked();
/**
*檢查憑證是否過期
*/
boolean isCredentialsNonExpired();
/**
*檢查賬戶是否可用
*/
boolean isEnabled();
  }

說明：JwtUserDetails自定義實現了UserDetails類，增加username和password字段，除此之外，還可以擴展存儲更多用戶信息，例如，身份證，手機號，郵箱等等。其作用在于可構建成一個用戶安全模型，用于裝載從數據庫查詢出來的用戶及權限信息。

二.通過鑰匙username獲取到寶箱方法:

/**
 * 用戶登錄認證信息查詢
 *
 * @author zhujiqian
 * @date 2020/7/30 15:30
 */
 @Service
 public class UserDetailsServiceImpl implements UserDetailsService {
 @Resource
 private SysUserService sysUserService;
 @Override
 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 SysUser user = sysUserService.findByName(username);
 if (user == null) {
  throw new UsernameNotFoundException("該用戶不存在");
 }
 Set<String> permissions = sysUserService.findPermissions(user.getName());
 List<GrantedAuthority> grantedAuthorities = permissions.stream().map(AuthorityImpl::new).collect(Collectors.toList());
 return new JwtUserDetails(user.getName(), user.getPassword(), user.getSalt(), grantedAuthorities); 
	  }
  }

這個自定義的UserDetailsServiceImpl類實現了Spring Security框架自帶的UserDetailsService接口，這個接口只定義一個簡單的loadUserByUsername方法：

public interface UserDetailsService {
   UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
 }

根據loadUserByUsername方法名便能看出，這是一個可根據username用戶名獲取到User對象信息的方法，并返回一個UserDetails對象，即前頭的“寶箱里的通行信息”，換言之，通過重寫這個方法，我們能在該方法里實現用戶登錄認證信息的查詢，并返回對應查詢信息。

綜合以上代碼，先用開頭提到的寶箱意象做一個總結，即拿著userName這把鑰匙，通過loadUserByUsername這個方法指引，可進入到山洞（數據庫），去尋找能打開的寶箱（在數據庫里select查詢userName對應數據），若能打開其中一個寶箱（即數據庫里存在userName對應的數據），則獲取寶箱里的通行信息（實現UserDetails的JwtUserDetails對象信息）。

三.關口通行過往檢查設置

自定義的SecurityConfig配置類是SpringBoot整合Spring Security的關鍵靈魂所在。該配置信息會在springboot啟動時進行加載。其中，authenticationManager()會創建一個可用于傳token做認證的AuthenticationManager對象，而AuthenticationManagerBuilder中的auth.authenticationProvider()則會創建一個provider提供者，并將userDetailsService注入進去，該userDetailsService的子類被自定義的UserDetailsServiceImpl類繼承，并重寫loadUserByUsername()方法，因此，當源碼里執行userDetailsService的loadUserByUsername()方法時，即會執行被重寫的子類loadUserByUsername()方法。

由此可見，在做認證的過程中，只需找到注入userDetailsService的provider對象，即可執行loadUserByUsername去根據username獲取數據庫里信息。

那具體是在哪個provider對象？請看下面詳細解析。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 @Resource
 private UserDetailsService userDetailsService;
 @Override
public void configure(AuthenticationManagerBuilder auth) {
 auth.authenticationProvider(new JwtAuthenticationProvider(userDetailsService));
}
@Bean
@Override
public AuthenticationManager authenticationManager() throws Exception {
 return super.authenticationManager();
}
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
 //使用的是JWT，禁用csrf
 httpSecurity.cors().and().csrf().disable()
//設置請求必須進行權限認證
.authorizeRequests()
//跨域預檢請求
.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
//permitAll()表示所有用戶可認證
.antMatchers( "/webjars/**").permitAll()
//首頁和登錄頁面
.antMatchers("/").permitAll()
.antMatchers("/login").permitAll()
// 驗證碼
.antMatchers("/captcha.jpg**").permitAll()
// 其他所有請求需要身份認證
.anyRequest().authenticated();
 //退出登錄處理
 httpSecurity.logout().logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler());
 //token驗證過濾器
 httpSecurity.addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);
}
  }

首先，雙擊SecurityConfig 類里的JwtAuthenticationProvider——

進入到JWTAuthenticationProvider類內部，發現原來該類是繼承了DaoAuthenticationProvider。

請注意這段話，很關鍵：

點擊setUserDetailsService(userDetailsService)。進入到方法里面后，發現這里其實是把UserDetailsService通過set方式依賴注入到DaoAuthenticationProvider類中，換言之，我們接下來在加載完成的框架里只需通過DaoAuthenticationProvider的getUserDetailsService()方法，便可獲取前面注入的userDetailsService，進而調用其子類實現的loadUserByUsername()方法。

看到這里，您須重點關注一下DaoAuthenticationProvider這個類，它將會在后面再次與我們碰面，而它是一個AuthenticationProvider。

若您還不是很明白AuthenticationProvider究竟是什么，那就暫且統一把它當做信息提供者吧，而它是ProviderManager管理員底下其中一個信息提供者Provider。

寫到這里，還有一個疑問，即security框架是如何將信息提供者Provider歸納到ProviderManager管理員手下的呢？

解答這個問題，需回到SecurityConfig配置文件里，點擊authenticationProvider進入到底層方法當中。

進入后，里面是具體的方法實現，大概功能就是把注入了userDetailsService的信息提供者DaoAuthenticationProvider添加到一個List集合里，然后再將集合里的所有提供者，通過構造器傳入ProviderManager，命名生成一個新的提供者管理員providerManager。這里面還涵蓋不少細節，感興趣的讀者可自行再擴展深入研究。

以上，就初步設置好了游戲規則。

接下來，就是主角上場了。

在所有的游戲里，都會有一個主角，而我們這個故事，自然也不例外。

此時，在一扇刻著“登錄”二字的大門前，有一個小兵正在收拾他的包袱，準備跨過大門，踏上通往SpringSecurity山谷的道路。他背負著整個家族賦予的任務，需前往Security山谷，拿到token令牌，只有把它成功帶回來，家族里的其他成員，才能有機會穿過這座山谷，前往另一頭的神秘世界，獲取到珍貴的資源。

這個小兵，便是我們這故事里的主角，我把他叫做線程，他將帶著整個線程家族的希望，尋找可通往神秘系統世界的令牌。

線程把族長給予的鑰匙和密碼放進包袱，他回頭看了一眼自己的家鄉，然后揮了揮手，跨過“登錄”這扇大門，勇敢地上路了。

線程來到戒備森嚴的security關口前，四周望了一眼，忽然發現關口旁立著一塊顯眼的石碑，上面刻著一些符號。他走上前一看，發現原來是當年軍官設置的指令與對應的說明：

  @Override
 protected void configure(HttpSecurity httpSecurity) throws Exception {
  //使用的是JWT，禁用csrf
  httpSecurity.cors().and().csrf().disable()
 //設置請求必須進行權限認證
 .authorizeRequests()
 //跨域預檢請求
 .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
 //首頁和登錄頁面
.antMatchers("/login").permitAll()
// 其他所有請求需要身份認證
.anyRequest().authenticated();
 //退出登錄處理
 httpSecurity.logout().logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler());
 //token驗證過濾器
 httpSecurity.addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);
}

其中，permitAll()代表所有請求都可訪問，當它設置成類似“.antMatchers("/login").permitAll()”的形式時，則代表該/login路徑請求無需認證便可通過，相反，代碼anyRequest().authenticated()則意味著其他的所有請求都必須進行身份驗證方能通過，否則，會被拒絕訪問。

下面，將通過debug一步一步揭示，線程是如何闖關升級的，最后成功獲取到傳說中的token令牌。

線程來到關口處，不久，在戍守士兵的指引下，開始往login道路走去，前面迎接他，將是一系列的關口檢查。

1.傳入userName，password屬性，封裝成一個token對象。

進入到該對象里，可看到用戶名賦值給this.principal，密碼賦值給this.credentials，其中setAuthenticated(false)意味著尚未進行認證。

注意一點是，UsernamePasswordAuthenticationToken繼承了AbstractAuthenticationToken，而AbstractAuthenticationToken實現Authentication，由傳遞關系可知，Authentication是UsernamePasswordAuthenticationToken的基類，故而UsernamePasswordAuthenticationToken是可以向上轉換為Authentication，理解這一點，就能明白，為何接下來authenticationManager.authenticate(token)方法傳進去的是UsernamePasswordAuthenticationToken，但在源碼里，方法參數則為Authentication。

2.將username，password封裝成token對象。

通過Authenticationauthentication=authenticationManager.authenticate(token)方法進行認證，里面會執行一系列認證操作，需要看懂源碼，才能知道這行代碼背后藏著的水月洞天，然，有一點是可以從表面上看懂的，即若成功認證通過，將會返回一個認證成功的Authentication對象，至于對象里是什么信息，請繼續 往下看。

3.點擊進入到AuthenticationManager里，發現該接口里只有一個方法：

Authentication authenticate(Authentication authentication)
     throws AuthenticationException;

由此可知，它的具體實現，是通過實現類來操作的，它的主要實現類有N多個，其中，在認證過程中，我們需關注的是ProviderManager這個類。

這個ProviderManager，即前面提到的Provider管理員，他管理著一堆信息提供者provider。線程此行的目的，就是先找到這個Provider管理員，再去管理員手中尋找能夠匹配到的提供者provider，只有通過匹配到的提供者，才能找到獲取數據庫的方法loadUserByUsername。

4.ProviderManager類實際上是實現AuthenticationManager接口。

重寫authenticate方法。因此，當前面代碼執行authenticationManager.authenticate(token)方法時，具體實現將由其子類重寫的方法操作，子類即ProviderManager。

debug進去后——

繼續往下執行，通過getProviders() 可獲取到內部維護在List中的AuthenticationProvider遍歷進行驗證，若該提供者能支持傳入的token進行驗證，則繼續往下執行。

其中，JwtAuthAuthenticationProvider可執行本次驗證，而JwtAuthAuthenticationProvider是繼承DaoAuthenticationProvider后自定義的類，可以理解成，進行認證驗證的Provider是前面重點提到的DaoAuthenticationProvider。

DaoAuthenticationProvider是一個具體實現類，它繼承AbstractUserDetailsAuthenticationProvider抽象類。

而AbstractUserDetailsAuthenticationProvider實現了AuthenticationProvider接口。

5.在ProviderManager中，執行到result =provider.authenticate(authentication)。

其中provider是由AuthenticationProvider定義的，但AuthenticationProvider是一個接口，需由其子類具體實現。根據上面分析，可知，AbstractUserDetailsAuthenticationProvider會具體實現provider.authenticate(authentication)方法。debug進入到其authenticate方法當中，會跳轉到AbstractUserDetailsAuthenticationProvider重寫的authenticate()方法當中，接下來會詳細介紹該authenticate()執行的代碼模塊：

5.1.首先，第一步，會執行this.userCache.getUserFromCache(username)獲取緩存里的信息。

5.2若緩存里沒有UserDetails信息，將會繼續往下執行。

執行到retrieveUser方法，該方法的總體作用是：通過登錄時傳入的userName去數據庫里做查詢，若查詢成功，便將數據庫的User信息包裝成UserDetails對象返回，當然，具體如何從數據庫里獲取到信息，則需要重寫一個方法，即前面提到的loadUserByUsername()方法。

值得注意一點是，一般新手接觸到security框架，都會有一個疑問，即我登錄時傳入了username，是如何獲取到數據庫里的用戶信息？

其實，這個疑問的關鍵答案，就藏在這個retrieveUser()方法里。該方法名的英文解析是：“（訓練成能尋回獵物的）獵犬”。我覺得這個翻譯在這里很有意思，暫且可以把它當成信息提供者Provider馴養的一頭獵犬，它可以幫我們的游戲主角線程在茫茫的森林里，尋找到藏匿寶箱的山洞（數據庫）。

5.3 ，接下來，就讓這頭獵犬給我們帶路吧——點擊retrieveUser()。

進入到方法當中，發現，這其實是一個抽象方法，故而其具體實現將在子類中進行。

5.4進入到其子類實現的方法當中。

發現會進入前面提到AbstractUserDetailsAuthenticationProvider的子類DaoAuthenticationProvider它也是一個AuthenticationProvider，即所謂的信息提供者之一。在DaoAuthenticationProvider類里，實現了父類的retrieveUser方法。

在獵犬的（retrieveUser）的帶路下，我們最后看到 了熟悉的老朋友，關鍵方法loadUserByUserName()。

點進loadUserByUsername()方法里，會進入到UserDetailsService接口里，該接口只有loadUserByUsername一個方法，該方法具體在子類里實現。

這個接口被我們自定義重寫了，即前面露過面的：

在DaoAuthenticationProvider類中，調用loadUserByUserName()方法時，最終會執行我們重寫的loadUserByUsername()方法，該方法將會去數據庫里查詢username的信息，并返回一個User對象，最后SysUser對象轉換成UserDetails，返回給DaoAuthenticationProvider對象里的UserDetails，跳轉如下圖：

5.5DaoAuthenticationProvider的retirieveUser執行完后。

會將數據庫查詢到的UserDetails返回給上一層，即AbstractUserDetailsAuthenticationProvider執行的retrieveUser()方法，得到的UserDetails賦值給user。

6.接下來就是各種檢查。

其中，有一個檢查方法需要特別關注

注：additionalAuthenticationChecks()方法的作用是檢查密碼是否一致的，前面已根據username去數據庫里查詢出user數據，接下來，就需要在該方法里，檢查數據庫里user的密碼與登錄時傳入的密碼是否一致了。

6.1點擊additionalAuthenticationChecks()進入到方法里。

發現AbstractUserDetailsAuthenticationProvider當中的additionalAuthenticationChecks同樣是一個抽象方法，沒有具體實現，它與前面的retrieveUser()方法一樣，具體實現都在AbstractUserDetailsAuthenticationProvider的子類DaoAuthenticationProvider中重寫了。

6.2.跳轉進入子類重寫的additionalAuthenticationChecks()當中。

先通過authentication.getCredentials().toString()從token對象中獲取登錄時輸入的密碼，再通過passwordEncoder.matches(presentedPassword,userDetails.getPassword())進行比較，即拿登錄的密碼與數據庫里取出的密碼做對比，執行到這一步，若兩個密碼一致時，即登錄的username和password能與數據庫里某個username和密碼匹配，則可登錄成功。

7.用戶名與密碼都驗證通過后，可繼續執行下一步操作。

中間還有幾個檢查方法，讀者若感興趣，可自行研究。最后會把user賦值給一個principalToReturn對象，然后連同authentication還有user，一塊傳入到createSuccessAuthentication方法當中。

8.在createSuccessAuthentication方法里，會創建一個已經認證通過的token。

點進該token對象當中，可以看到，這次的setAuthenticated設置成了true，即意味著已經認證通過。

最后，將生成一個新的token，并以Authentication對象形式返回到最開始的地方。

執行到這一步，就可以把認證通過的信息進行存儲，到這里，就完成了核心的認證部分。

接下來，我們的主角線程就可以前往JWT魔法屋獲取加密的token令牌，然后攜帶令牌返回故土，屆時，其線程家族里的其他成員，都可穿過這座Spring Security山谷，前往山谷另一邊的web系統世界了。

那是另外一個世界的故事，我們將在以后漫長的歲月當中，緩緩道來.....

而這個關于Spring Security山谷的故事，就暫且記到這里，若當中有不當之處，還需各位大佬指出而加以改進。

讀到這里，這篇“Spring Security獲取認證機制的核心原理是什么”文章已經介紹完畢，想要掌握這篇文章的知識點還需要大家自己動手實踐使用過才能領會，如果想了解更多相關內容的文章，歡迎關注億速云行業資訊頻道。