目录
一、过滤器链
1、概述
2、重点看三个过滤器
FilterSecurityInterceptor:
ExceptionTranslationFilter:
UsernamePasswordAuthenticationFilter:
二、过滤器加载过程
1、官方文档配图
2、源码图解
三、UserDetailsService 接口
1、概述
2、源码解析
四、PasswordEncoder 接口
1、源码解析
2、接口实现类BCryptPasswordEncoder
代码演示:
一、过滤器链
1、概述
SpringSecurity 本质是一个过滤器链,有很多过滤器;
从启动是可以获取到过滤器链:
org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFil
ter
org.springframework.security.web.context.SecurityContextPersistenceFilter
org.springframework.security.web.header.HeaderWriterFilter
org.springframework.security.web.csrf.CsrfFilter
org.springframework.security.web.authentication.logout.LogoutFilter
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
org.springframework.security.web.savedrequest.RequestCacheAwareFilter
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
org.springframework.security.web.authentication.AnonymousAuthenticationFilter
org.springframework.security.web.session.SessionManagementFilter
org.springframework.security.web.access.ExceptionTranslationFilter
org.springframework.security.web.access.intercept.FilterSecurityInterceptor
2、重点看三个过滤器
FilterSecurityInterceptor:
是一个方法级的权限过滤器, 基本位于过滤链的最底部;
super.beforeInvocation(fi);//表示查看之前的 filter 是否通过;
fi.getChain().doFilter(fi.getRequest(), fi.getResponse());//表示真正地调用后台的服务;
ExceptionTranslationFilter:
是个异常过滤器,用来处理在认证授权过程中抛出的异常;
UsernamePasswordAuthenticationFilter:
对/login 的 POST 请求做拦截,校验表单中用户名,密码;
二、过滤器加载过程
使用Spring Security首先要配置过滤器,之所以之前没配置,是因为springboot自动配置了)
1、官方文档配图
2、源码图解
三、UserDetailsService 接口
1、概述
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。 所以我们要通过自定义认证逻辑;
如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。接口定义如下:
2、源码解析
返回值UserDetails,这个类是系统默认的用户“主体”:
package org.springframework.security.core.userdetails;
import java.io.Serializable;
import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;
public interface UserDetails extends Serializable {
// 表示获取登录用户所有权限
Collection<? extends GrantedAuthority> getAuthorities();
// 表示获取密码
String getPassword();
// 表示获取用户名
String getUsername();
// 表示判断账户是否过期
boolean isAccountNonExpired();
// 表示判断账户是否被锁定
boolean isAccountNonLocked();
// 表示凭证{密码}是否过期
boolean isCredentialsNonExpired();
// 表示当前用户是否可用
boolean isEnabled();
}
UserDetails接口的实现类User,以后我们只需要使用 User 这个实体类即可:
方法参数 username:
表示用户名。此值是客户端表单传递过来的数据。默认情况下必须叫 username,否则无法接收;
四、PasswordEncoder 接口
1、源码解析
package org.springframework.security.crypto.password;
public interface PasswordEncoder {
// 表示把参数按照特定的解析规则进行解析
String encode(CharSequence rawPassword);
// 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹
// 配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二个
// 参数表示存储的密码。
boolean matches(CharSequence rawPassword, String encodedPassword);
// 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回 true,否则返回
// false。默认返回 false。
default boolean upgradeEncoding(String encodedPassword) {
return false;
}
}
2、接口实现类BCryptPasswordEncoder
BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析器;
BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现,是基于 Hash 算法实现的单向加密,可以通过 strength 控制加密强度,默认 10;
代码演示:
package com.zibo.studyspringsecurity.mt;
import org.junit.Test;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
public class MyTest {
@Test
public void test01() {
// 创建密码解析器
BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
// 对密码进行加密
String zibo = bCryptPasswordEncoder.encode("zibo");
// 打印加密之后的数据
System.out.println("加密之后数据:\t" + zibo);
//判断原字符加密后和加密之前是否匹配
boolean result = bCryptPasswordEncoder.matches("zibo", zibo);
// 打印比较结果
System.out.println("比较结果:\t" + result);
// 加密之后数据: $2a$10$ZBkPw/LuT0/rBrd5xxmfMevOsvIB4YLNanN0PuCR2RpAVd7dgZzDK
// 比较结果: true
}
}