就理论而言,理论和实践并无差异,但真付诸实行,差异即开始显现。
Jan L.A van de Snepscheut
我们在软件开发过程中,需要针对不同的软件产品需求,提供不同的身份认证方式,纵使SpringSecurity非常强大,她所提供的身份认证方式也不足以面对各式各样的身份认证方式,所以学习如何扩展SpringSecurity的认证方式也就非常有必要了。
注意!这不是一篇对于SpringSecurity毫无了解的读者准备的,所以在阅读这篇文章之前你需要了解对SpringSecurity有一些基础的了解。
“ Spring Security的认证流程
在我们自定义SpringSecurity的认证方式之前,先从SpringSecurity的用户名/密码认证中了解SpringSecurity的认证流程,以及参与到这个流程的类它们各自的职责是什么。
用户名/密码认证流程(SecurityFilterChain中每一个橙色矩形条代表一个SecurityFilter,因为这里主要讲解用户名/密码认证,故突出显示UsernamePasswordAuthenticationFilter)
当用户提交他们的用户名和密码时,这个UsernamePasswordAuthenticationFilter会从HttpServletRequest提取用户名和密码,然后使用提取出的用户名和密码创建UsernamePasswordAuthenticationToken。
接下来该UsernamePasswordAuthenticationToken会作为AuthenticationManager.authentication(通常是调用AuthenticationManager的一个实现类ProviderManager重写的authentication方法)方法的参数传入。
ProviderManager从它所拥有的AuthenticationProvider的列表中找到一个支持认证UsernamePasswordAuthenticationToken的一个AuthenticationProvider(在这里是如右图的DaoAuthenticationProvider)。
DaoAuthenticationProvider会通过UserDetailsService类使用UsernamePasswordAuthenticationToken中username去查询用户,然后对该用户进行身份认证。
如果认证失败:
SecurityContextHolder被清空。
RememberMeServices.loginFail会被调用,如果rememberme没有被配置,将不会有任何操作。
AuthenticationFailureHandler被调用。
如果认证成功:
SessionAuthenticationStrategy会收到一个登录通知。
这个Authencation会被放置到SecurityContextHolder中,RememberMeServices.loginSuccess将被调用。
如果没有设置rememberme,将不会有任何操作。
ApplicationEventPublisher发布一个InteractiveAuthenticationSuccessEvent。
从上述的用户名/密码认证的流程中,我们可以得出如下图所示的一个通用流程。
抽象认证流程
如果认证成功:
“ 自定义身份认证
在阐述完整个认证架构后,其实不难发现,在自定义认证的时候,你需要做如下准备:
CustomAuthenticationToken
CustomFilter
CustomAuthenticationProvider
你需要自定义一个 AuthenticationProvider 的实现类和一个 Authentication 的实现类,还有一个继承了AbstractAuthenticationProcessingFilter的过滤器。
对于AuthenticationProvider 的实现类 CustomAuthenticationProvider,需要在authenticate方法中编写你自己的认证算法,并且通过实现supports方法告知调用者自己所支持认证的Authentication类型(在这里支持认证的就是CustomAuthenticationToken类型)。
CustomAuthenticationToken是一个继承了UsernamePasswordAuthenticationToken的子类(UsernamePasswordAuthenticationToken是一个间接继承了Authentication的类,它默认实现了Authentication的所有接口,大多数情况下,你只需要继承它就可以了, 当然你也可以直接继承Authentication),你可以从图中看到它有两个构造函数,这两个构造函数的使用时机是不同的,第一个构造函数是通常由CustomFilter调用,然后将创建的CustomAuthenticationToken传递给AuthenticationManager进行认证(最终会由ProviderManager委托CustomAuthenticationProvider认证),如果认证成功,CustomAuthenticationProvider会调用第二个构造函数生成一个已认证的CustomAuthenticationToken。
对于CustomFilter,它主要要做两件事,第一,在默认构造函数中通过调用父类的setFilterProcessesUrl方法去配置需要拦截的url。第二,它需要在attemptAuthentication中,把认证相关的数据提取从HttpServletRequest中提取出来,然后调用CustomAuthenticationToken的第一个构造函数创建CustomAuthenticationToken,并将他传递给AuthenticationManager去认证。
最后,在完成了上述相关类的实现了之后,接下来我们只需要将它们按照下图的代码配置进Spring Security即可。
SpringSecurity配置
接下来,这里有几个小测验,可以帮助你了解你的掌握情况:
你自定义的AuthenticationProvider需要实现哪两个方法,这两个方法的用途是什么?
你自定义的AuthenticationProvider如何配置到SpringSecurity中?
你自定义的过滤器应该要继承哪一个类?这个过滤器有哪些职责?你自定义的过滤器如何添加到SpringSecurity的过滤器链中?
