SpringSecurity-3(认证和授权+SpringSecurity入门案例+自定义认证+数据库认证)
SpringSecurity使用数据库数据完成认证
- 5 SpringSecurity使用数据库数据完成认证
- 5.1 认证流程分析
- 5.1.1 UsernamePasswordAuthenticationFilter
- 5.1.2 AuthenticationManager
- 5.1.3 AbstractUserDetailsAuthenticationProvider
- 5.1.4 AbstractUserDetailsAuthenticationProvider中authenticate返回值
- 5.1.5 AbstractAuthenticationProcessingFilter
- 5.2 初步实现认证功能
- 5.2.1 编写UserService接口
- 5.2.2 实现UserService接口
- 5.2.3 在SpringSecurity主配置文件中指定认证使用的业务对象
- 5.3 加密认证
- 5.3.1 在IOC容器中提供加密对象
- 5.3.2 修改认证方法
- 5.3.3 修改添加用户的操作
5 SpringSecurity使用数据库数据完成认证
5.1 认证流程分析
5.1.1 UsernamePasswordAuthenticationFilter
还记得我们在前面将的15个过滤器吧,这个过滤器就是其中之一。
先看主要负责认证的过滤器UsernamePasswordAuthenticationFilter,看重点,注意注释。
我们首先Ctrl+N在对话框里面输入这个过滤器的名字。
我们点击最后一行代码的authenticate方法。看看具体的认证流程是什么样子的。
5.1.2 AuthenticationManager
我们进入这个方法之后,发现这个方法是一个接口提供的。
由上面源码得知,真正认证操作在AuthenticationManager里面!然后看AuthenticationManager的实现类ProviderManager:
点击进入authenticate方法,进一步观察认证流程:
我们发现这个方法也是一个接口提供的方法。我们查看其实现类。
5.1.3 AbstractUserDetailsAuthenticationProvider
在DaoAuthenticationProvider这个类里面:
我们查看this.getUsrDetailService()方法。
这个方法的返回值是UserDetailService。点击UserDetailService查看源码:
5.1.4 AbstractUserDetailsAuthenticationProvider中authenticate返回值
按理说到此已经知道自定义认证方法的怎么写了,但咱们把返回的流程也大概走一遍,上面不是说到返回了一个UserDetails对象对象吗?跟着它,就又回到了AbstractUserDetailsAuthenticationProvider对象中authenticate方法的最后一行了。
点进去看看:
来到UsernamePasswordAuthenticationToken对象发现里面有两个构造方法。
注意:这里传递的是三个参数,开局传递的是两个参数。
我们看看这个类的父类做了什么?点击super
由此,咱们需要牢记自定义认证业务逻辑返回的UserDetails对象中一定要放置权限信息啊!可是这里面也没有doFilter呀?那就从父类找!
5.1.5 AbstractAuthenticationProcessingFilter
点击successfulAuthentication方法。
可见AbstractAuthenticationProcessingFilter这个过滤器对于认证成功与否,做了两个分支,成功执行successfulAuthentication,失败执行unsuccessfulAuthentication。在successfulAuthentication内部,将认证信息存储到了SecurityContext中。并调用了loginSuccess方法,这就是常见的“记住我”功能!此功能具体应用,咱们后续再研究!
5.2 初步实现认证功能
5.2.1 编写UserService接口
让我们自己的UserService接口继承UserDetailsService。
5.2.2 实现UserService接口
定义UserServiceImpl类,实现这个接口,编写loadUserByUsername业务。
@Service("userService")
public class UserServiceImpl implements UserService {@AutowiredUserDao userDao;@AutowiredBCryptPasswordEncoder bCryptPasswordEncoder;/*** 根据用户名查询用户信息* @param username* @return* @throws UsernameNotFoundException*/public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {UserInfo userInfo = userDao.findUserByName(username);List<Role> roles = userInfo.getRoles();User user = new User(userInfo.getUsername(),”{noop}”+userInfo.getPassword(),getAuthority(roles));System.out.println(user);return user;}//封装角色信息,也就是认证信息public Collection getAuthority(List<Role> roles){List<SimpleGrantedAuthority> list = new ArrayList<SimpleGrantedAuthority>();for(Role role : roles){String roleName = role.getRoleName();list.add(new SimpleGrantedAuthority("ROLE_" + roleName));}return list;}
}
5.2.3 在SpringSecurity主配置文件中指定认证使用的业务对象
<!--配置认证管理器-->
<security:authentication-manager><security:authentication-provider user-service-ref="userService"></security:authentication-provider>
</security:authentication-manager>
5.3 加密认证
5.3.1 在IOC容器中提供加密对象
在springSecurity.xml里面配置加密对象。
<!--配置加密工具类-->
<bean id="bCryptPasswordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"></bean>
配置加密认证方式
<!--配置认证管理器-->
<security:authentication-manager><!--配置认证提供者--><security:authentication-provider user-service-ref="userService"><!-- 配置加密的方式--><security:password-encoder ref="bCryptPasswordEncoder"/></security:authentication-provider>
</security:authentication-manager>
5.3.2 修改认证方法
去掉{noop}。
@Service("userService")
public class UserServiceImpl implements UserService {@AutowiredUserDao userDao;@AutowiredBCryptPasswordEncoder bCryptPasswordEncoder;/*** 根据用户名查询用户信息* @param username* @return* @throws UsernameNotFoundException*/public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {UserInfo userInfo = userDao.findUserByName(username);List<Role> roles = userInfo.getRoles();User user = new User(userInfo.getUsername(),userInfo.getPassword(),userInfo.getStatus() == 0 ? false : true, true, true, true,getAuthority(roles));System.out.println(user);return user;}//封装角色信息,也就是认证信息public Collection getAuthority(List<Role> roles){List<SimpleGrantedAuthority> list = new ArrayList<SimpleGrantedAuthority>();for(Role role : roles){String roleName = role.getRoleName();list.add(new SimpleGrantedAuthority("ROLE_" + roleName));}return list;}
5.3.3 修改添加用户的操作
//新增用户信息
public void save(UserInfo userInfo) {//加密之后的密码信息String encode = bCryptPasswordEncoder.encode(userInfo.getPassword());userInfo.setPassword(encode);userDao.save(userInfo);
}执行新增操作:
