Spring Security(3)——进阶篇(自定义身份验证)
原创性声明:本文完全为笔者原创,请尊重笔者劳动力。转载务必注明原文地址。
在之前的Spring Security(2)——探索篇(源码分析)中,基于官方Demo摸索了一把基于内存认证的源码。这篇尝试基于数据库做认证。
基于数据库认证,需要先做一些准备:
1.创建
User对象和UserRepository接口
2.创建users表和初始账号数据
这里就只截个表和文件结构了:
users表
新增User.java和UserRepository.java
注意:
User类必须实现UserDetails接口。并实现其中的几个方法。因为我们的users表只有id、username和password,因此,从UserDetails中继承而来的isAccountNonExpired()、isAccountNonLocked()、isCredentialsNonExpired()和isEnabled()直接返回true,即可。按理说应该映射对应的数据库属性。这里为了方便。
思路整理
回到SecurityConfig.java,再简单快速理一下思路(Spring security是如何将自定义的user对象存放,然后在登录认证的时候与它进行认证):
目前在
configureGlobal方法里,spring security通过AuthenticationManagerBuilder的inMemoryAuthentication()方法实例化AbstractDaoAuthenticationConfigurer,并初始化其属性userDetailsService和DaoAuthenticationProvider provider,向provider中注入了新创建的空的userDetailsService,但随即就通过withUser和password创建了一个UserDetailsBuilder,这里头记录了用户信息,再用initUserDetailsService将这个用户信息关联到provider的userDetailsService中。至此完成存放的工作。Spring security通过AuthenticationManager这个全局认证管理器在用户登录认证时的过滤链中触发,但认证委托给继承类ProviderManager,而真正执行认证的是这个类下面的一个属性List<AuthenticationProvider> providers, 我们又看到了这个provider,进一步发现,AuthenticationProvider就是DaoAuthenticationProvider的顶层父级接口类,因此在用List<AuthenticationProvider> providers进行认证时,就是在用DaoAuthenticationProvider provider,因此就可以获取到里面设定的用户信息了。
当然具体的代码比较复杂,我看了很多遍都没有完全理清其中具体的细节。但宏观上大致是这么个思路。
那么比较明显了,AuthenticationManagerBuilder这个类就是给我们用各种不同的方式注入用户信息,以及指定Spring security用何种方式去认证这个信息(内存、数据库等等)。我发现在这个类里除了inMemoryAuthentication(),还有几个方法:
1.
jdbcAuthentication():添加jdbc认证,可以继续调用方法dataSource指定数据源。
2.ldapAuthentication():添加LDAP认证。
3.parentAuthenticationManager(AuthenticationManager authenticationManager):如果当前AuthenticationManager无法认证,将提供给父级认证。
4.userDetailsService(T userDetailsService):根据传入的自定义UserDetailsService添加身份验证,自定义UserDetailsService就是实现spring security下org.springframework.security.core.userdetails包下的UserDetailsService接口。
那么自定义身份认证,应当使用userDetailsService()方法,先实现UserDetailsService。
创建CustomizeUserDetailsService实现UserDetailsService:
@Component("userDetailsService")
public class CustomizeUserDetailsService implements org.springframework.security.core.userdetails.UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
@Transactional
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
String lowerUsername = username.toLowerCase();
Optional<User> userFromDatabase = userRepository.findOneByUsername(lowerUsername);
return userFromDatabase.map(user -> user).orElseThrow(() -> new UsernameNotFoundException(
"User " + lowerUsername + " was not found in the " + "database"));
}
}
修改SecurityConfig
@EnableWebSecurity // 1
public class SecurityConfig extends WebSecurityConfigurerAdapter { // 2
@Autowired
private UserDetailsService userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests() // 3
.antMatchers("/index", "/css/**").permitAll() //4
.antMatchers("/user/**").authenticated()//.hasRole("USER") //5
.and() // 6
.formLogin()
.loginPage("/login")
.failureUrl("/login-error").permitAll();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { // 7
auth
// .inMemoryAuthentication() //8
// .withUser("user").password("password").roles("USER"); // 9
.userDetailsService(userDetailsService);
}
}
修改了两个地方,一个是将inMemoryAuthentication配置注释掉了,更改为userDetailsService, 另一个是将 //5处的hasRole("USER")注释了(因为没有创建角色表和用户角色关联表,在User类中getAuthorities(),只返回了一个空的Set<GrantedAuthority> authorities)。
清理项目并重新启动
首页可访问
安全页面仍需要认证
输入在数据库中预输好的admin和1234,并登陆,登陆成功:
登录成功
无论是采用内存认证还是jdbc认证(后面再记录一篇)或是自定义认证,认证机制都是一样的。下篇将创建角色表和用户角色关联表,为不同用户设置角色,从而引入Spring security的另一个重点:授权。
